DSGVO-Verstoß: Datenschutzbehörde muss nicht zwingend handeln

Erlangt eine Datenschutzbehörde Kenntnis von einem Verstoß gegen die Datenschutz-Grundverordnung, heißt das nicht automatisch, dass sie diesen ahnden, also zum Beispiel eine Geldbuße verhängen muss. Das geht aus einem Urteil des EuGH hervor.

Die Mitarbeiterin einer hessischen Sparkasse hatte mehrmals unbefugt auf personenbezogene Daten eines Kunden zugegriffen. Nachdem die Sparkasse das bemerkt hatte, informierte sie den Kunden hierüber nicht. Denn ihr Datenschutzbeauftragter sah kein hohes Risiko für die Rechte und Freiheiten des Kunden. Zuvor hatte die Mitarbeiterin nämlich schriftlich bestätigt, dass sie die Daten weder kopiert oder gespeichert noch an Dritte übermittelt habe und dass sie dies auch zukünftig nicht tun werde. Die Sparkasse hatte zudem bereits Disziplinarmaßnahmen gegen die Angestellte ergriffen.

Gleichwohl meldete die Sparkasse den Verstoß dem Landesdatenschutzbeauftragten. Nachdem der Kunde nebenbei von diesem Vorfall Kenntnis erlangt hatte, reichte er beim Landesdatenschutzbeauftragten eine Beschwerde ein. Nach Anhörung der Sparkasse teilte der Landesdatenschutzbeauftragte dem Kunden mit, dass er es nicht für erforderlich halte, gegen die Sparkasse Abhilfemaßnahmen zu ergreifen.

Das reichte dem Kunden nicht; er klagte mit dem Ziel, den Landesdatenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten, insbesondere eine Geldbuße zu verhängen.

Ermessen der Aufsichtsbehörde

Der vom VG Wiesbaden angerufene EuGH stellte klar, dass die Aufsichtsbehörde bei einer festgestellten Verletzung des Schutzes personenbezogener Daten nicht immer verpflichtet ist, eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen. Tätig werden müsse die Datenschutzbehörde nur, wenn dies erforderlich sei, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung der DSGVO zu gewährleisten (Urteil vom 26.09.2024 – C-768/21).

Denn die DSGVO räume der Aufsichtsbehörde ein Ermessen hinsichtlich der Art und Weise ein, wie sie der festgestellten Unzulänglichkeit Abhilfe leiste. Wenn der für die Verarbeitung Verantwortliche, sobald er von der Verletzung Kenntnis erlangt, die erforderlichen Maßnahmen ergreift, damit die Verletzung abgestellt wird und sich nicht wiederholt, könne eine Ahnung unterbleiben. 

Das behördliche Ermessen werde lediglich durch das Erfordernis begrenzt, durch den klar durchsetzbaren Rechtsrahmen der DSGVO ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu gewährleisten. Ob der Landesdatenschutzbeauftragte diese Grenzen eingehalten habe, müsse nun das VG Wiesbaden prüfen.

EuGH, Urteil vom 26.09.2024 - C-768/21

Redaktion beck-aktuell, gk, 26. September 2024.

Weiterführende Links

Aus der Datenbank beck-online

Generalanwalt beim EuGH, Schlussantrag, BeckRS 2024, 6717

VG Wiesbaden, EuGH-Vorlage zur Pflicht einer Datenschutzaufsichtsbehörde zum Einschreiten, ZD 2022, 352 (Vorlagebeschluss)

Bußgelder wegen Datenschutzverstößen – aus Sicht von Aufsichtsbehörden und Unternehmen, ZD 2020, 3

Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.