Für Sie gelesen

Sehr geehrte Apothekerin, sehr geehrter Apotheker,
hier ist der vollständige Text für Sie:

ApoSecur® Nachrichten - Apotheke:

APOTHEKE | Steuer & Recht |

DSGVO-Geldbußen: EuGH macht ernst

Schuld, Umsatz und Haftung - Die Paradigmenwechsel für Apotheken

Am 05. Dezember 2023 hat der Europäische Gerichtshof (EuGH) in den Urteilen C-683/21 und C-807/21 wegweisende Klarstellungen zu Geldbußen bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) getroffen. Die Urteile betreffen Fälle aus Litauen und Deutschland und präzisieren die Bedingungen, unter denen nationale Aufsichtsbehörden Geldbußen gegen Verantwortliche für Datenverarbeitung verhängen können.

Der EuGH hebt hervor, dass die Verhängung von Geldbußen schuldhaftes Verhalten voraussetzt, das heißt, der Verstoß gegen die DSGVO muss vorsätzlich oder fahrlässig begangen worden sein. Besonders interessant ist die Feststellung, dass bei Konzernen die Geldbuße anhand des Jahresumsatzes des gesamten Konzerns bemessen wird. Diese Entscheidung setzt klare Maßstäbe für die Sanktionierung von Datenschutzverstößen in großen Unternehmensstrukturen.

In einem litauischen Fall geht es um das Nationale Zentrum für öffentliche Gesundheit, dem eine Geldbuße von 12.000 Euro auferlegt wurde. Diese Strafe steht im Zusammenhang mit der Entwicklung einer mobilen Anwendung zur Erfassung und Überwachung von Daten von Personen, die dem COVID-19-Virus ausgesetzt waren. Im deutschen Fall wiederum hat das Immobilienunternehmen Deutsche Wohnen eine Geldbuße von über 14 Millionen Euro erhalten, weil es personenbezogene Daten von Mietern länger als notwendig gespeichert hat.

Die EuGH-Entscheidung stellt klar, dass eine Geldbuße gegen einen Verantwortlichen nur dann verhängt werden kann, wenn der Verstoß schuldhaft begangen wurde. Dies setzt voraus, dass der Verantwortliche sich der Rechtswidrigkeit seines Verhaltens bewusst war. Besonders relevant ist dabei die Feststellung, dass bei juristischen Personen nicht zwingend das Leitungsorgan für den Verstoß verantwortlich sein muss. Die juristische Person haftet vielmehr für Verstöße, die von ihren Vertretern, Leitungspersonen oder Geschäftsführern begangen wurden, sowie für Verstöße von Personen, die in ihrem Namen im Rahmen ihrer unternehmerischen Tätigkeit handeln.

Interessant ist auch die Aussage des EuGH, dass Geldbußen gegen Verantwortliche auch für Verarbeitungsvorgänge verhängt werden können, die von einem Auftragsverarbeiter durchgeführt wurden, sofern diese dem Verantwortlichen zugeordnet werden können. In Bezug auf die gemeinsame Verantwortlichkeit von zwei oder mehr Einrichtungen betont der EuGH, dass diese allein aus der Mitwirkung an Entscheidungen über Zwecke und Mittel der Verarbeitung resultiert. Es bedarf keiner förmlichen Vereinbarung, jedoch müssen die beteiligten Einrichtungen in einer Vereinbarung ihre jeweiligen Pflichten festlegen.

Abschließend betont der EuGH, dass bei der Bemessung der Geldbuße die Aufsichtsbehörde, insbesondere bei Unternehmen, den wettbewerbsrechtlichen Begriff "Unternehmen" nutzen soll. Der Höchstbetrag der Geldbuße wird demnach auf Basis eines Prozentsatzes des gesamten Jahresumsatzes des betreffenden Unternehmens im vorangegangenen Geschäftsjahr weltweit berechnet.

Diese EuGH-Entscheidung setzt klare Richtlinien für die Ahndung von Datenschutzverstößen und hat weitreichende Implikationen für Unternehmen innerhalb der Europäischen Union.

 
Kommentar:

Die jüngsten Entscheidungen des Europäischen Gerichtshofs (EuGH) zu den Urteilen C-683/21 und C-807/21 vom 05. Dezember 2023 sind von großer Bedeutung für den Datenschutz in der Europäischen Union. Die Klarstellungen des EuGH betonen die Verantwortlichkeit von Unternehmen und die Schuldhaftigkeit von Datenschutzverstößen.

Die Feststellung, dass Geldbußen nur bei schuldhaftem Verhalten verhängt werden können, schafft eine klare Grundlage für die Sanktionierung von Datenschutzverletzungen. Insbesondere die Unterscheidung zwischen vorsätzlichem und fahrlässigem Handeln trägt dazu bei, dass Unternehmen sich bewusst werden, dass nachlässige Praktiken in Bezug auf den Datenschutz ernsthafte Konsequenzen haben können.

Die Berücksichtigung des Konzernumsatzes bei der Bemessung von Geldbußen ist ein weiterer Schritt in Richtung effektiver Sanktionen. Dies trägt dazu bei, dass große Unternehmen angemessen für Datenschutzverstöße zur Rechenschaft gezogen werden und sendet gleichzeitig eine klare Botschaft an die Geschäftswelt.

Besonders wichtig ist auch die Feststellung, dass juristische Personen nicht nur für Verstöße ihres Leitungsorgans haften, sondern für Verstöße von Vertretern, Leitungspersonen oder Geschäftsführern sowie für Verstöße von Personen, die in ihrem Namen handeln. Dies schließt eine Haftungslücke und stellt sicher, dass Unternehmen die volle Verantwortung für ihre Datenverarbeitungspraktiken tragen.

Die Entscheidungen des EuGH tragen dazu bei, die Rechte der Einzelpersonen zu stärken und den Schutz personenbezogener Daten in der EU zu gewährleisten. Gleichzeitig senden sie eine klare Botschaft an Unternehmen, dass die Einhaltung der Datenschutzbestimmungen nicht nur eine rechtliche Verpflichtung ist, sondern auch wirtschaftliche Konsequenzen haben kann. Es bleibt zu hoffen, dass diese Klarstellungen dazu beitragen, einen Kulturwandel in Bezug auf den Datenschutz in Unternehmen zu fördern.

Von Engin Günder, Fachjournalist

Zurück zur Übersicht