欧洲法院裁定：

企业在发生数据保护违规时，可以被处以罚款——即使无法证明某个具体员工存在不当行为。只要法人本身（例如因合规不足）存在过失，企业仍须承担支付义务。

该案源于欧洲法院（EuGH，2023年12月5日判决，案号C-807/21 - Deutsche Wohnen）对房地产公司 Deutsche Wohnen SE 的罚款程序。该公司自2021年起属于 Vonovia SE。2020年，柏林数据保护专员对Deutsche Wohnen处以约 1450万欧元罚款，原因是其长期存储租户的个人数据，超过了必要期限。

在诉讼过程中，柏林高等法院向欧洲法院提交了基本性问题：如果企业违规，但无法将过失归因于某个具体员工，企业是否仍应对数据保护违规负责？

欧洲法院现已裁定：

• 企业在违反欧洲数据保护法时，并不需要像在德国《行政违法法》（OWiG）下那样，必须证明某一具体员工存在失误；
• 相反，只要负责的法人（即企业本身）至少存在过失行为，就足以作为处以罚款的理由；
• 这一标准与欧盟竞争法中的广泛责任原则相一致；
• 关键在于：从企业的整体组织与合规措施来看，其员工整体上是否本应知晓相关违规事实。

接下来，由各国法院在具体案件中对欧洲法院设定的广泛责任范围进行细化。

该判决再次提醒企业：

• 必须认真审查自身的数据保护管理体系；
• 加强员工在数据保护规定方面的培训与意识提升；
• 特别要注意，罚款金额会根据企业的经济实力来衡量，对于企业集团而言，并非仅以某一子公司的营业额为基准，而是参考整个集团的总营业额。

如您对任何数据保护相关问题有疑问，我们的数据保护团队随时乐意为您提供支持。

返回