Am 26. September 2024 entschied der Europäische Gerichtshof (EuGH) in einem wegweisenden Urteil über die Pflichten von Datenschutzaufsichtsbehörden bei festgestellten Datenschutzverletzungen. In der Rechtssache C‑768/21 ging es um die Frage, ob Aufsichtsbehörden stets verpflichtet sind, nach Art. 58 Abs. 2 der Datenschutz-Grundverordnung (DSGVO) Abhilfemaßnahmen zu ergreifen, insbesondere Geldbußen zu verhängen, wenn sie einen Verstoß feststellen.
Hintergrund des Falls
Der Kläger, TR, hatte beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) Beschwerde eingereicht, nachdem eine Mitarbeiterin der Sparkasse X unbefugt auf seine personenbezogenen Daten zugegriffen hatte. TR bemängelte zudem die kurze Speicherdauer der Zugriffsprotokolle und die umfangreichen Zugriffsrechte der Bankmitarbeiter. Der HBDI untersuchte den Fall, entschied jedoch, keine Maßnahmen gegen die Sparkasse zu ergreifen, da diese bereits interne Maßnahmen ergriffen hatte und kein hohes Risiko für die Rechte und Freiheiten von TR bestand.
Unzufrieden mit dieser Entscheidung klagte TR vor dem Verwaltungsgericht Wiesbaden. Das Gericht wandte sich mit der Frage an den EuGH, ob die Aufsichtsbehörde verpflichtet sei, bei festgestellten Verstößen stets einzuschreiten.
Entscheidung des EuGH
Der EuGH stellte klar, dass Aufsichtsbehörden nicht in jedem Fall verpflichtet sind, Abhilfemaßnahmen zu ergreifen. Die Behörden haben ein Ermessen und müssen entscheiden, ob ein Einschreiten geeignet, erforderlich und verhältnismäßig ist, um die festgestellte Unzulänglichkeit zu beheben und die vollständige Einhaltung der DSGVO zu gewährleisten. Ein verpflichtendes Einschreiten in jedem Fall würde dem flexiblen Ansatz der DSGVO widersprechen.
Auswirkungen auf Praxis und Rechtsprechung
Dieses Urteil betont den Ermessensspielraum der Datenschutzbehörden und unterstreicht die Bedeutung einer fallbezogenen Bewertung. Für Unternehmen bedeutet dies, dass proaktive Maßnahmen zur Behebung von Datenschutzverstößen und zur Verhinderung zukünftiger Vorfälle positiv berücksichtigt werden können. Betroffene Personen sollten wissen, dass ein Beschwerdeverfahren nicht automatisch zu Sanktionen führt, die Aufsichtsbehörde aber dennoch verpflichtet ist, die Beschwerde sorgfältig zu prüfen.
Stefan Lutz, LL.M.
Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU
Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.
Telefon: 0751 / 27 088 530