chb_rsw_logo_mit_welle_trans
Banner Jubiläumslogo

NVwZ Website Banner Newsletter

Der schnelle Überblick per E-Mail

Immer auf dem Laufenden mit dem kostenlosen NVwZ-Newsletter: Dieser informiert Sie pünktlich über das neue Heft und punktet mit einer qualifizierten Inhaltsübersicht mit Abstracts der Aufsätze und den amtlichen Leitsätzen der Rechtsprechung. Selbstverständlich vollverlinkt zu beck-online. Ideal für den schnellen Überblick auf dem Smartphone!

Gleich anmelden und von den Vorteilen profitieren!

NVwZ Nachrichten

DSGVO-Verstoß: Datenschutzbehörde muss nicht zwingend handeln

Von EuGH | Sep 26, 2024
Er­langt eine Da­ten­schutz­be­hör­de Kennt­nis von einem Ver­stoß gegen die Da­ten­schutz-Grund­ver­ord­nung, heißt das nicht au­to­ma­tisch, dass sie die­sen ahn­den, also zum Bei­spiel eine Geld­bu­ße ver­hän­gen muss. Das geht aus einem Ur­teil des EuGH her­vor.

Die Mitarbeiterin einer hessischen Sparkasse hatte mehrmals unbefugt auf personenbezogene Daten eines Kunden zugegriffen. Nachdem die Sparkasse das bemerkt hatte, informierte sie den Kunden hierüber nicht. Denn ihr Datenschutzbeauftragter sah kein hohes Risiko für die Rechte und Freiheiten des Kunden. Zuvor hatte die Mitarbeiterin nämlich schriftlich bestätigt, dass sie die Daten weder kopiert oder gespeichert noch an Dritte übermittelt habe und dass sie dies auch zukünftig nicht tun werde. Die Sparkasse hatte zudem bereits Disziplinarmaßnahmen gegen die Angestellte ergriffen.

Gleichwohl meldete die Sparkasse den Verstoß dem Landesdatenschutzbeauftragten. Nachdem der Kunde nebenbei von diesem Vorfall Kenntnis erlangt hatte, reichte er beim Landesdatenschutzbeauftragten eine Beschwerde ein. Nach Anhörung der Sparkasse teilte der Landesdatenschutzbeauftragte dem Kunden mit, dass er es nicht für erforderlich halte, gegen die Sparkasse Abhilfemaßnahmen zu ergreifen.

Das reichte dem Kunden nicht; er klagte mit dem Ziel, den Landesdatenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten, insbesondere eine Geldbuße zu verhängen.

Ermessen der Aufsichtsbehörde

Der vom VG Wiesbaden angerufene EuGH stellte klar, dass die Aufsichtsbehörde bei einer festgestellten Verletzung des Schutzes personenbezogener Daten nicht immer verpflichtet ist, eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen. Tätig werden müsse die Datenschutzbehörde nur, wenn dies erforderlich sei, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung der DSGVO zu gewährleisten (Urteil vom 26.09.2024 – C-768/21).

Denn die DSGVO räume der Aufsichtsbehörde ein Ermessen hinsichtlich der Art und Weise ein, wie sie der festgestellten Unzulänglichkeit Abhilfe leiste. Wenn der für die Verarbeitung Verantwortliche, sobald er von der Verletzung Kenntnis erlangt, die erforderlichen Maßnahmen ergreift, damit die Verletzung abgestellt wird und sich nicht wiederholt, könne eine Ahnung unterbleiben. 

Das behördliche Ermessen werde lediglich durch das Erfordernis begrenzt, durch den klar durchsetzbaren Rechtsrahmen der DSGVO ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu gewährleisten. Ob der Landesdatenschutzbeauftragte diese Grenzen eingehalten habe, müsse nun das VG Wiesbaden prüfen (Urteil vom 26.09.2024 - C-768/21).

Weiterführende Links

Aus der Datenbank beck-online

Generalanwalt beim EuGH, Schlussantrag, BeckRS 2024, 6717

VG Wiesbaden, EuGH-Vorlage zur Pflicht einer Datenschutzaufsichtsbehörde zum Einschreiten, ZD 2022, 352 (Vorlagebeschluss)

Bußgelder wegen Datenschutzverstößen – aus Sicht von Aufsichtsbehörden und Unternehmen, ZD 2020, 3


Kommentar abgeben

Anzeigen:

NvWZ Werbebanner
VerwaltungsR PLUS Werbebanner

BECK Stellenmarkt

Teilen:

Menü