Sie sind hier: Home » Recht » Datenschutz und Compliance

Sanktionierung von Datenschutzverstößen


Europäischer Gerichtshof verhandelte Grundsatzfrage zur Sanktionierung von Datenschutzverstößen von Unternehmen
Der EuGH interessierte sich in der mündlichen Verhandlung insbesondere dafür, inwieweit nationale Regelungen in Deutschland Hindernisse bei der europäischen Harmonisierung darstellen



Vor dem Europäischen Gerichtshof fand am 17. Januar 2023, die mündliche Verhandlung in dem Verfahren "Deutsche Wohnen" (C-807/21) statt. Hintergrund ist ein Bußgeld der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) in Höhe von 14,5 Millionen Euro gegen das Unternehmen wegen der ausufernden Speicherung von Mieterdaten. Vor dem EuGH geht es nun um die Grundsatzfrage, ob eine ein Unternehmen betreibende juristische Person in Deutschland nach den Grundsätzen des EU-Rechts unmittelbar für Datenschutzverstöße nach der Datenschutz-Grundverordnung (DSGVO) sanktioniert werden kann, ohne dass eine Ordnungswidrigkeit einer natürlichen und identifizierten Leitungsperson festgestellt werden muss. Solche Vorgaben sind der DSGVO fremd.

Entsprechend interessierte sich der EuGH in der mündlichen Verhandlung insbesondere dafür, inwieweit nationale Regelungen in Deutschland Hindernisse bei der europäischen Harmonisierung darstellen. Aufgrund der wesentlichen Bedeutung des Falls hat sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) im Vorfeld der Verhandlung mit einer rechtlichen Einschätzung (https://uldsh.de/230118-dsk) positioniert.

Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein und Vorsitzende der Datenschutzkonferenz für das Jahr 2023: "Die Entscheidung in diesem Verfahren wird für Deutschland eine grundlegende Weichenstellung bedeuten. Sie wird daher von den deutschen Datenschutzaufsichtsbehörden mit Spannung erwartet."

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit, sagte: "Die Sanktionierung von Datenschutzverstößen durch Unternehmen ist in Deutschland gegenüber anderen EU-Mitgliedstaaten derzeit deutlich erschwert. Dies widerspricht dem Ziel einer einheitlichen Durchsetzung europäischen Rechts und steht nicht im Einklang mit der DSGVO. Gerade bei großen Konzernen ist der Nachweis einer persönlichen Verursachung in der Unternehmensleitung häufig kaum zu führen. Das Verfahren vor dem EuGH wird hoffentlich in dieser Frage die erforderliche Rechtssicherheit für Unternehmen und Aufsichtsbehörden schaffen."

Zum Hintergrund:
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hatte gegen die das Unternehmen führende juristische Person im Jahr 2019 ein Bußgeld in Höhe von 14,5 Millionen Euro wegen einer ausufernden Speicherung von Mieterdaten verhängt. Das Landgericht Berlin stellte das Verfahren ein. Die Entscheidung des Landgerichts beruht auf der Rechtsauffassung, dass Bußgelder wegen Verstößen gegen die Datenschutz-Grundverordnung gegen juristische Personen nur verhängt werden könnten, wenn der Verstoß von einer Leitungsperson begangen worden ist, entweder durch eigenes Handeln oder durch Verletzung von Aufsichtspflichten. Dies entspricht dem deutschen Ordnungswidrigkeitenrecht, nicht jedoch den Grundsätzen der Sanktionierung von Ordnungswidrigkeiten im EU-Recht.

Aufgrund einer Beschwerde durch die Staatsanwaltschaft im Einvernehmen mit der Berliner Datenschutzbeauftragten ist das Verfahren nun beim Berliner Kammergericht anhängig, das die wesentlichen Rechtsfragen dem EuGH zur Vorabentscheidung vorgelegt hat.

Das Landgericht Bonn erkannte als deutsches Gericht in einem anderen Verfahren, dass der Unionsgesetzgeber durch die europäische Vorschrift zur Ahndung von Datenschutzverstößen im Interesse der Durchsetzung eines einheitlichen unionsweiten Datenschutzstandards die Sanktionierung unmittelbar von juristischen Personen voraussetzt. Abweichend vom europäischen Kontext geht das deutsche Ordnungswidrigkeitenrecht davon aus, dass Verstöße gegen nationale Bußgeldtatbestände nur von natürlichen Personen begangen werden können (sog. Rechtsträgerprinzip). Im europäischen Kartellrecht bedarf es hingegen für eine direkte Sanktionierung des Unternehmens nur der Feststellung, dass Mitarbeitende eines Unternehmens einen Verstoß begangen haben, ohne dass die konkret handelnden Personen ermittelt werden oder Leitungspersonen des Unternehmens sein müssen (Funktionsträgerprinzip). (ULD: ra)

eingetragen: 15.11.22
Newsletterlauf: 07.02.23


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Datenschutz und Compliance

  • BfDI begrüßt die Meta-Entscheidung des EuGH

    Am 04. Juli 2023 hat der Gerichtshof der Europäischen Union (EuGH) sein Urteil zur Meta-Entscheidung des Bundeskartellamts verkündet. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) begrüßte das Urteil in seiner Bedeutung für den Datenschutz.

  • Datenschutz & Bußgeldpraxis

    Der Europäische Datenschutzausschuss (EDSA) hat die endgültigen Leitlinien zur Bußgeldzumessung nach einer öffentlichen Konsultation angenommen. Damit erfolgt die Bußgeldpraxis der Datenschutzaufsichtsbehörden in Europa nun nach einheitlichen Maßstäben. Als Repräsentantinnen der deutschen Datenschutzaufsicht waren auf europäischer Ebene die Datenschutzaufsichtsbehörden Berlins, Hessens und des Bundes beteiligt.

  • Code of Conduct (CoC)

    Die Datenschutz-Grundverordnung (DSGVO) ist durch eine Vielzahl unbestimmter Rechtsbegriffe gekennzeichnet. Die Grundzüge des einheitlichen europäischen Datenschutzrechts sollen im Hinblick auf möglichst viele Lebenssachverhalte Anwendung finden können. Die dortigen, teils abstrakten Vorgaben, wie beispielsweise die "Erforderlichkeit der Verarbeitung", das "berechtigte Interesse" oder die "Sicherheit der Verarbeitung", sind von allen Verantwortlichen zu beachten, unabhängig davon, welche Branche betroffen ist oder wie "umfangreich" die Verarbeitung personenbezogener Daten im Einzelfall ausfällt.

  • Gegen Betrieb von Facebook-Fanpages

    Als Unterrichtung (20/6000) liegt der "Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit" für das Jahr 2022 vor. Darin empfiehlt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, der Bundesregierung, ein Beschäftigtendatenschutzgesetz zu erlassen, in dem etwa der Einsatz Künstlicher Intelligenz (KI) im Beschäftigungskontext, die Grenzen der Verhaltens- und Leistungskontrolle sowie typische Datenverarbeitungen im Bewerbungs- und Auswahlverfahren klar geregelt werden.

  • Datenschutzbericht für das Jahr 2022

    Dr. h. c. Marit Hansen, die Landesbeauftragte für Datenschutz und Landesbeauftragte für Informationszugang Schleswig-Holstein, hat ihren Tätigkeitsbericht für das Jahr 2022 vorgelegt. Der Bericht gibt einen Überblick über die vielfältigen Themen des Datenschutzes und der Informationsfreiheit, die von Hansen und ihren Mitarbeitenden im Unabhängigen Landeszentrum für Datenschutz (ULD) im vergangenen Jahr bearbeitet wurden. Zum täglichen Geschäft gehören leider auch zahlreiche Datenpannen, die vermieden hätten werden müssen - und dies selbst im sensiblen Gesundheitsbereich.

Personenbezogene Daten wirksam schützen Maßnahme zu Cloud-Diensten

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen