Auf einen Blick
Das Kassationsgericht hat mit Urteil Nr. 22791/2026 klargestellt, dass die einjährige Frist für die Entscheidung über eine Beschwerde, die in Art. 143 des Codice della privacy vorgesehen ist, die Sanktionsbefugnis des Garante nicht erlöschen lässt. Diese Befugnis ist autonom und unterliegt weiterhin der fünfjährigen Verjährungsfrist des Gesetzes Nr. 689/1981. Die einzige Voraussetzung ist die fristgerechte Anfechtung des Verstoßes, wodurch die Aufrechterhaltung der Aufsicht des Garante über die Datenschutz-Compliance gewährleistet wird. Diese Entscheidung bekräftigt die Bedeutung der kontinuierlichen Compliance für Organisationen.
Hintergrund
Das Oberste Gericht, Urteil Nr. 22791/2026, hat festgelegt, dass die einjährige Frist für die Entscheidung über eine Beschwerde, die in Art. 143 des Codice della privacy vorgesehen ist, ausschließlich das Recht des Beschwerdeführers auf eine schnelle Lösung schützt. Im Gegensatz dazu ist das Sanktionsverfahren autonom und unterliegt der fünfjährigen Verjährungsfrist des Gesetzes Nr. 689/1981, vorausgesetzt, der Verstoß wird fristgerecht beanstandet.
Der Fall geht auf eine vom Garante Privacy gegen einen Verlag verhängte Strafe von 2.000 Euro zurück. Die Strafe war fällig wegen der Veröffentlichung persönlicher Daten (Namen, akademische Titel und Berufe) der Kinder eines Verurteilten in einem Buch, die als über die Grenzen der Wesentlichkeit der Information hinausgehend erachtet wurden. Nach Ablehnung des Einspruchs durch das Gericht von Mailand legte der Verlag Berufung beim Kassationsgericht ein und argumentierte mit dem Erlöschen der Sanktionsbefugnis des Garante, da das Verfahren mehr als ein Jahr nach Einreichung der Beschwerde abgeschlossen wurde.
Das Gericht präzisierte, dass die Frist von 120 Tagen die Beanstandung des Verstoßes betrifft, nicht die Verhängung der Sanktion, und ab der endgültigen Feststellung der Verletzung läuft, die nach Kriterien der Angemessenheit zu bewerten ist. Die Jahresfrist für die Beschwerde dient als Parameter zur Überprüfung der Rechtzeitigkeit dieser Feststellung. Folglich führt die Nichteinhaltung der Jahresfrist für die Entscheidung über die Beschwerde nicht zum Erlöschen der Sanktionsbefugnis des Garante, sofern die Beanstandung der Verstöße fristgerecht mitgeteilt wurde.
Warum es wichtig ist
Dieses Urteil des Kassationsgerichts ist von grundlegender Bedeutung für DPOs und IT-Verantwortliche, da es die Art und Dauer der Sanktionsbefugnis des Garante Privacy endgültig klärt. Organisationen können sich nicht auf die Bearbeitungszeiten von Beschwerden verlassen, um das Sanktionsrisiko als erledigt zu betrachten, da die Sanktionsbefugnis autonom ist und fünf Jahre ab dem Verstoß bestehen bleibt, sofern dieser fristgerecht beanstandet wird. Dies unterstreicht die Bedeutung einer kontinuierlichen und robusten Compliance mit dem Codice della privacy und der DSGVO.
Für Organisationen bedeutet dies, dass die Verantwortung für den Datenschutz langfristig ist. Auch bei Beschwerden mit längeren Bearbeitungszeiten bleibt die Organisation für einen erheblichen Zeitraum den Sanktionsmaßnahmen des Garante unterworfen. Dies wirkt sich direkt auf die Verwaltung der Datenschutz-Governance (nützlich für ISO 27001) und die Notwendigkeit aus, hohe Informationssicherheitsstandards aufrechtzuerhalten, um Verstöße zu verhindern, die auch nach Jahren noch sanktioniert werden könnten, wenn sie fristgerecht beanstandet werden.
Was zu tun ist
- Eine konstante Einhaltung der Grundsätze der Verarbeitung personenbezogener Daten, insbesondere des Minimierungs- und Wesentlichkeitsprinzips, in jedem Kontext der Verbreitung oder Veröffentlichung gewährleisten.
- Robuste Verfahren zur Überwachung und rechtzeitigen Reaktion auf mögliche Beanstandungen von Datenschutzverstößen durch den Garante implementieren, da die Rechtzeitigkeit der Beanstandung für die Ausübung der Sanktionsbefugnis entscheidend ist.
- Das Personal, einschließlich DPOs und IT-Verantwortlichen, über die Auswirkungen dieses Urteils schulen und dabei betonen, dass die Überschreitung der Jahresfrist für Beschwerden die Sanktionsbefugnis des Garante nicht erlöschen lässt.
Was zu vermeiden ist
- Personenbezogene Daten verarbeiten oder veröffentlichen, die über den erklärten Zweck oder das Wesentlichkeitsprinzip der Information hinausgehen.
- Die Überschreitung der Jahresfrist für die Entscheidung über eine Beschwerde als Garantie für Straffreiheit betrachten, da die Sanktionsbefugnis des Garante autonom ist und einer fünfjährigen Verjährungsfrist unterliegt.
- Die Bedeutung einer fristgerechten Beanstandung des Verstoßes durch den Garante als Bedingung für die Verhängung der Sanktion unterschätzen.
Praktische Auswirkungen
Organisationen müssen verstehen, dass die Sanktionsbefugnis des Garante Privacy unabhängig von der Geschwindigkeit ist, mit der Beschwerden von Betroffenen bearbeitet werden. Das Urteil legt fest, dass der Garante seine Sanktionsbefugnis für einen Zeitraum von fünf Jahren ab dem Verstoß ausüben kann, sofern die Beanstandung des Verstoßes fristgerecht erfolgt, wodurch jede Strategie unwirksam wird, die auf Abwarten oder Verzögerungen bei der Bearbeitung von Beschwerden zur Vermeidung von Sanktionen basiert.
Zu vermeidende Fehler
- Annehmen, dass die seit Einreichung einer Beschwerde verstrichene Zeit automatisch das Risiko von Sanktionen durch den Garante aufheben kann.
- Die Implementierung von Sicherheits- und Datenschutzmaßnahmen ignorieren oder verzögern, basierend auf vermeintlichen Fristen für den Verfall der Sanktionsbefugnis.
Fragen zur Selbsteinschätzung
- Stellen unsere Datenverarbeitungsverfahren die vollständige Einhaltung des Minimierungs- und Wesentlichkeitsprinzips der Information in allen operativen Kontexten sicher?
- Können wir die Einhaltung der gesetzlichen Fristen für die Beanstandung von Verstößen nachweisen, falls der Garante ein Sanktionsverfahren einleitet?
- Ist unser Schlüsselpersonal sich bewusst, dass die Sanktionsbefugnis des Garante 5 Jahre lang bestehen bleibt, unabhängig von der Dauer einer Beschwerde?
- Haben wir wirksame Kontrollen implementiert, um die Veröffentlichung oder Verbreitung von personenbezogenen Daten zu verhindern, die nicht streng notwendig oder relevant sind?
Verweise
Nationales Recht: Cassazione, sentenza n. 22791/2026 · Legge n. 689/1981 · Articolo 143 del Codice della privacy · Corte di giustizia Ue, sentenza C-588/24 del 15 gennaio 2026
Zum Originalartikel auf ntplusdiritto.ilsole24ore.com ↗
Lesen Sie auch
- PL Consulting und Studio Pfeifer & Partners: Pioniererfolg mit ISO 9001 und BIM 11 Jul 2026
- Die Rolle des DSB: Wann er Pflicht ist und warum er strategisch für Ihr Unternehmen ist 11 Jul 2026
- Chatkontrolle in Europa: Vorschlag, Debatte und Implikationen für Datenschutz und Cybersicherheit 10 Jul 2026
