欧洲法院(EuGH)通过一项具有里程碑意义的判决,明确了成员国数据保护机构在何种条件下可以对涉事企业处以罚款。根据《通用数据保护条例》(DSGVO)的规定,处以罚款需要以存在过错为前提。欧洲法院明确指出,“过错”包含故意或过失行为,处以罚款的关键不在于责任方是否意识到其行为的违法性,而在于其是否能够识别出该行为的违法性。
裁决背景:
根据《联邦数据保护法》(BDSG)第41条因此规定,在根据《通用数据保护条例》进行罚款程序时,应适用《德国行政违法法》的相关规定。
同时,根据《德国行政违法法》(Ordnungswidrigkeitengesetz, OWiG)第30条以及第130条的,通常适用主体责任原则(Rechtsträgerprinzip)。根据该原则,企业或法人实体通常只有在责任人实施了违法行为,或至少可以间接归责于责任人时,才会被处以罚款。
比如,根据《德国行政违法法》第130条第1款的规定:
作为企业或公司的负责人,如果故意或过失地未能采取必要的监督措施,以防止在该企业或公司中发生违反负责人所负义务的行为,而这些义务的违反会受到刑事或行政处罚,则在此类违反行为发生时,如果适当的监督本可以阻止或显著阻碍该行为的发生,即构成违规。必要的监督措施包括指定、谨慎选择和监督管理人员。
https://www.gesetze-im-internet.de/owig_1968/__130.html
在此背景下,相关责任人通常是那些定期做出战略决策的员工,如公司管理层以及高管。
然而,《通用数据保护条例》等上位法并不承认这种归责方式。也就是说,虽然《通用数据保护条例》作为一项欧洲条例在成员国中直接适用,但在具体的罚款程序中,各成员国数据保护机构在依照国家法层面进行具体操作中会面临巨大的困难。
比如,德国数据保护机构将数据保护违规行为归责于企业时,是否应适用《德国行政违法法》第30条和第130条的严格规定,一直存在法律争议。特别是在针对大型跨国企业的罚款程序中,基于《德国行政违法法》第30条和第130条,往往难以证明公司管理层或董事会成员的具体责任。德国这一规定会直接导致了欧盟内部制裁实践的不统一。
柏林数据保护和信息自由专员(BInBDI)对Deutsche Wohnen SE展开了罚款程序。在柏林地方法院认为《德国行政违法法》第30条和第130条不适用归责问题而终止了该程序后,检察院对此提出了上诉。案件被移交至柏林高等法院后,该法院向欧洲法院(EuGH)提交了相关的法律问题的问询,尤其是关于《德国行政违法法》第30条和第130条的欧洲法合规性问题,并提请欧洲法院作出初步裁决:
罚款是否必须事先认定法人组织内具体的管理人员违法行为? 对违法行为进行处罚是否必须以故意或过失的行为认定为前提?对违法行为进行处罚是否必须以故意或过失的行为认定为前提?
裁决结果:
欧洲法院现已裁定,《德国行政违法法》第30条和第130条的归责方式不能在依据《通用数据保护条例》处罚程序中适用(2023年12月5日判决,案号C-807/21)。欧洲法院认为,企业(作为法人实体)只要在数据保护法的意义上可以被认定为数据处理者,并可以根据《通用数据保护条例》因违反规定而直接受到罚款处罚时,不必将数据保护违规行为归因于公司的管理层,甚至不需要将违规行为归责于任何具体的自然人。
欧洲法院指出,成员国如果设定比《通用数据保护条例》更为严格的罚款认定标准,将违背GDPR的立法目的,最终将可能削弱罚款的有效性和威慑力。
扫二维码联系专业客服
