Sie sind hier: Home » Recht » Datenschutz und Compliance

Sanktionierung von Datenschutzverstößen

Europäischer Gerichtshof verhandelte Grundsatzfrage zur Sanktionierung von Datenschutzverstößen von Unternehmen
Der EuGH interessierte sich in der mündlichen Verhandlung insbesondere dafür, inwieweit nationale Regelungen in Deutschland Hindernisse bei der europäischen Harmonisierung darstellen

Vor dem Europäischen Gerichtshof fand am 17. Januar 2023, die mündliche Verhandlung in dem Verfahren "Deutsche Wohnen" (C-807/21) statt. Hintergrund ist ein Bußgeld der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) in Höhe von 14,5 Millionen Euro gegen das Unternehmen wegen der ausufernden Speicherung von Mieterdaten. Vor dem EuGH geht es nun um die Grundsatzfrage, ob eine ein Unternehmen betreibende juristische Person in Deutschland nach den Grundsätzen des EU-Rechts unmittelbar für Datenschutzverstöße nach der Datenschutz-Grundverordnung (DSGVO) sanktioniert werden kann, ohne dass eine Ordnungswidrigkeit einer natürlichen und identifizierten Leitungsperson festgestellt werden muss. Solche Vorgaben sind der DSGVO fremd.

Entsprechend interessierte sich der EuGH in der mündlichen Verhandlung insbesondere dafür, inwieweit nationale Regelungen in Deutschland Hindernisse bei der europäischen Harmonisierung darstellen. Aufgrund der wesentlichen Bedeutung des Falls hat sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) im Vorfeld der Verhandlung mit einer rechtlichen Einschätzung (https://uldsh.de/230118-dsk) positioniert.

Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein und Vorsitzende der Datenschutzkonferenz für das Jahr 2023: "Die Entscheidung in diesem Verfahren wird für Deutschland eine grundlegende Weichenstellung bedeuten. Sie wird daher von den deutschen Datenschutzaufsichtsbehörden mit Spannung erwartet."

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit, sagte: "Die Sanktionierung von Datenschutzverstößen durch Unternehmen ist in Deutschland gegenüber anderen EU-Mitgliedstaaten derzeit deutlich erschwert. Dies widerspricht dem Ziel einer einheitlichen Durchsetzung europäischen Rechts und steht nicht im Einklang mit der DSGVO. Gerade bei großen Konzernen ist der Nachweis einer persönlichen Verursachung in der Unternehmensleitung häufig kaum zu führen. Das Verfahren vor dem EuGH wird hoffentlich in dieser Frage die erforderliche Rechtssicherheit für Unternehmen und Aufsichtsbehörden schaffen."

Zum Hintergrund:
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hatte gegen die das Unternehmen führende juristische Person im Jahr 2019 ein Bußgeld in Höhe von 14,5 Millionen Euro wegen einer ausufernden Speicherung von Mieterdaten verhängt. Das Landgericht Berlin stellte das Verfahren ein. Die Entscheidung des Landgerichts beruht auf der Rechtsauffassung, dass Bußgelder wegen Verstößen gegen die Datenschutz-Grundverordnung gegen juristische Personen nur verhängt werden könnten, wenn der Verstoß von einer Leitungsperson begangen worden ist, entweder durch eigenes Handeln oder durch Verletzung von Aufsichtspflichten. Dies entspricht dem deutschen Ordnungswidrigkeitenrecht, nicht jedoch den Grundsätzen der Sanktionierung von Ordnungswidrigkeiten im EU-Recht.

Aufgrund einer Beschwerde durch die Staatsanwaltschaft im Einvernehmen mit der Berliner Datenschutzbeauftragten ist das Verfahren nun beim Berliner Kammergericht anhängig, das die wesentlichen Rechtsfragen dem EuGH zur Vorabentscheidung vorgelegt hat.

Das Landgericht Bonn erkannte als deutsches Gericht in einem anderen Verfahren, dass der Unionsgesetzgeber durch die europäische Vorschrift zur Ahndung von Datenschutzverstößen im Interesse der Durchsetzung eines einheitlichen unionsweiten Datenschutzstandards die Sanktionierung unmittelbar von juristischen Personen voraussetzt. Abweichend vom europäischen Kontext geht das deutsche Ordnungswidrigkeitenrecht davon aus, dass Verstöße gegen nationale Bußgeldtatbestände nur von natürlichen Personen begangen werden können (sog. Rechtsträgerprinzip). Im europäischen Kartellrecht bedarf es hingegen für eine direkte Sanktionierung des Unternehmens nur der Feststellung, dass Mitarbeitende eines Unternehmens einen Verstoß begangen haben, ohne dass die konkret handelnden Personen ermittelt werden oder Leitungspersonen des Unternehmens sein müssen (Funktionsträgerprinzip). (ULD: ra)

eingetragen: 15.11.22
Newsletterlauf: 07.02.23

Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>

Meldungen: Datenschutz und Compliance

Maßnahme zu Cloud-Diensten
Der Europäische Datenschutzausschuss (EDSA) ist in seiner Sitzung mit der Task Force Cookie-Banner sowie mit seiner koordinierten Maßnahme zu Cloud-Diensten zu Ergebnissen gekommen. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, begrüßt die Fortschritte zu einer einheitlicheren Aufsicht in diesen Bereichen.
Verstoß gegen die DSGVO
Der Bundesbeauftragter für den Datenschutz (BfDI), Prof. Ulrich Kelber, erteilt der unsicheren Feature-Spezifikationsvariante "Abruf der E-Rezepte in der Apotheke nach Autorisierung" kein Einvernehmen. Die geplante Schnittstelle ist nicht nach dem Stand der Technik abgesichert und verstößt damit gegen die DSGVO. Er schlägt eine sichere, für die Versicherten, Ärzte und Apotheker vollkommen funktionsgleiche Alternative vor, bei der im Hintergrund andere Verfahren genutzt werden.
Einigung der G7-Digitalministerien
Der BfDI, Prof. Ulrich Kelber, zeigt sich zufrieden mit dem Ergebnis des diesjährigen G7-Roundtable der Datenschutzaufsichts- und Privacy-Behörden: "Wir haben uns darauf geeinigt, gemeinsam an Grundlagen für einen freien und vertrauensvollen Datenfluss zu arbeiten und hierbei den Schutz der persönlichen Daten der Bürgerinnen und Bürger in den Fokus zu stellen. Für diesen Weg des "Data Free Flow with Trust" oder DFFT werden wir bei unseren jeweiligen Regierungen werben."
EU-Kommission evaluiert JI-Richtlinie
Die EU-Kommission hat am 26. Juli 2022 ihren Bericht zur Evaluierung der JI-Richtlinie (Datenschutz-Richtlinie im Bereich von Justiz und Inneres) vorgelegt. Die Kommission stellt in ihrem Bericht fest, dass die JI-Richtlinie insgesamt ein hohes Datenschutzniveau gewährleistet, allerdings noch Defizite bei der Umsetzung in die nationalen Rechtsvorschriften bestehen.
BfDI genehmigt Verhaltensregeln für Notare
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, hat datenschutzrechtliche Verhaltensregeln für Notare in Deutschland genehmigt. Es ist die erste Genehmigung auf Bundesebene nach Art. 40 DSGVO.

Personenbezogene Daten wirksam schützen Maßnahme zu Cloud-Diensten

Fachartikel

Cyberkrieg: Wenn der Verhandlungspartner fehlt
Produzenten und Versorger in den Bereichen Energie, Wasser, Finanzwesen und Gesundheit sowie Industrieunternehmen geraten zunehmend ins Visier von Angreifern. Die Folge: millionenschwere Produktionsausfälle und Versorgungsengpässe, bis hin zur Gefährdung von Menschenleben. Jüngste Beispiele sind etwa Attacken auf die größte Pipeline der USA, die irische Gesundheitsbehörde oder ein Vorfall in einem kroatischen Umspannwerk, der Europa an den Rand eines Strom-Blackouts führte.
Nutzung von "Compliance-Storage"
Auf dem Weg zur Digitalisierung von Akten müssen Unternehmen gesetzliche Vorgaben, Branchenanforderungen sowie Vorschriften für spezielle Akten oder Steuerunterlagen berücksichtigen. Das macht ihnen die Wahl einer geeigneten IT-Lösung nicht unbedingt leichter. Eine Orientierungshilfe bieten hier Zertifizierungen die den Nachweis für die Konformität der Archivierungsmaßnahmen mit gesetzlichen Vorschriften wie der GoBD oder der Schweizer GeBüV erbringen. In Zusammenarbeit mit Daniel Spichty, Partner beim Schweizer Kompetenzzentrum Records Management, gibt DMS-Spezialist Kendox einen Überblick über den Status Quo, die Anforderungen sowie Herausforderungen und fasst zusammen, worauf Unternehmen zukünftig bei der digitalen Archivierung achten müssen und warum die GeBüV als Benchmark für Compliance-Anforderungen gilt.