公司违反数据保护规定可能会被处以罚款。即使无法证明个别员工存在不当行为,也适用此规定。即使整个法人实体存在过错(例如,由于缺乏合规性),公司仍然有义务支付罚款。.
欧洲法院(ECJ,2023年12月5日判决,案件编号C-807/21 – Deutsche Wohnen)的裁决基于对房地产公司Deutsche Wohnen SE的罚款程序。该公司自2021年起成为Vonovia SE的一部分。柏林数据保护专员于2020年对Deutsche Wohnen处以约1450万欧元的罚款。原因是该公司存储租户个人数据的时间超过了必要期限。.
作为该程序的一部分,柏林主管高等地区法院将一些根本性问题提交给欧洲法院,要求其就公司在数据保护违规行为中的责任作出裁决,前提是该违规行为不能归咎于公司中的特定人员。.
法院现已裁定,与德国《在线数据保护法》(OWiG)规定的行政违法行为不同,公司因违反欧洲数据保护法而承担的责任,无需证明该公司特定员工存在不当行为。相反,根据反垄断法规定的广泛责任范围,只要责任法人实体(即公司)存在过失行为,即可对其处以罚款。.
在这方面,决定性因素是,由于公司的组织和合规工作,公司全体员工是否应该了解违规行为的基本事实。.
现在,各国法院需要根据具体案件具体解释欧盟法院确立的广泛责任框架。这项裁决应促使各公司认真审视其数据保护管理措施,以及为提高员工数据保护法规意识而采取的培训和措施。鉴于罚款金额取决于公司的经济实力,如果是集团公司,则取决于整个集团的营业额,而非单个公司的营业额,这一点尤为重要。.
我们的数据保护业务团队乐意解答您关于所有数据保护问题的任何疑问。.