EuGH-Urteil
Datenschutzbehörden müssen nicht zwingend Sanktionen verhängen
News
07.11.2024 | 08:00 Uhr
Bild: Mauritius Iamges/imageBROKER/H.-D. Feldmann
Keine Sanktionen erforderlich, wenn Datenschutzverletzung abgestellt
Wenn eine Datenschutzbehörde über einen Verstoß gegen die Datenschutzgrundverordnung informiert wird, heißt dies nicht, dass diese den Verstoß auch automatisch ahnden muss. In seinem Urteil vom 26.9.2024 (C-768/21) hat der Europäische Gerichtshof (EuGH) entschieden, dass die Datenschutzbehörde nicht verpflichtet ist, in jedem Fall eines Verstoßes eine Abhilfemaßnahme zu ergreifen und insbesondere eine Geldbuße zu verhängen. Stellt die Aufsichtsbehörde eine Verletzung des Schutzes personenbezogener Daten fest, ist sie nicht verpflichtet, eine Abhilfemaßnahme zu ergreifen, wenn dies nicht erforderlich ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung der DSGVO zu gewährleisten. Ein solcher Fall liegt z. B. vor, wenn die für die Verarbeitung verantwortliche Person, unverzüglich die erforderlichen Maßnahmen ergriffen und dafür gesorgt hat, dass die Verletzung abgestellt wird und sich nicht wiederholt.
Sparkassenmitarbeiterin greift unerlaubt auf Daten eines Kunden zu
Im konkreten Fall hatte ein Sparkassenkunde gegen den hessischen Landesdatenschutzbeauftragten geklagt und beantragt, diesen zum Einschreiten gegen die Sparkasse zu verpflichten und eine Geldbuße gegen das Geldinstitut zu verhängen. Eine Mitarbeiterin einer hessischen Sparkasse hatte wiederholt unerlaubt auf persönliche Daten eines Kunden zugegriffen. Nachdem die Sparkasse dies entdeckt hatte, hat sie den betroffenen Kunden nicht von dem Vorfall informiert. Der Datenschutzbeauftragte der Sparkasse hielt dies für vertretbar, da er kein erhebliches Risiko für die Rechte und Freiheiten des Kunden sah. Die Mitarbeiterin hatte zuvor schriftlich bestätigt, die Daten des Kunden weder kopiert, gespeichert noch an Dritte weitergegeben zu haben und dies auch zukünftig nicht zu tun. Zudem hat die Sparkasse unverzüglich disziplinarische Schritte gegen die Mitarbeiterin eingeleitet. Trotzdem meldete die Sparkasse den Vorfall an den Landesdatenschutzbeauftragten.
Sparkassenkunde klagt gegen Landesdatenschutzbeauftragten
Der betroffene Kunde erfuhr zufällig von dem Datenverstoß und reichte daraufhin eine Beschwerde beim Landesdatenschutzbeauftragten ein. Nach einer Anhörung der Sparkasse kam dieser jedoch zu dem Schluss, dass keine Maßnahmen gegen die Bank erforderlich seien, und teilte dies dem Beschwerdeführer mit. Dieser gab sich damit nicht zufrieden, erhob Klage beim zuständigen Verwaltungsgericht Wiesbaden und beantragte, den Datenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten.
Zur Begründung führte der Kläger an, dass der Datenschutzbeauftragte gegen die Sparkasse angesichts der von ihr begangenen Verstöße nach Art. 58 Abs. 2 DSGVO eine Geldbuße hätte verhängen müssen. Im Fall eines festgestellten Verstoßes gelte nicht das Opportunitätsprinzip, sodass dem Datenschutzbeauftragten kein Entschließungsermessen, sondern allenfalls ein Auswahlermessen hinsichtlich der zu ergreifenden Maßnahmen zukomme.
Verwaltungsgericht schaltet EuGH ein
Das Verwaltungsgericht Wiesbaden hatte jedoch Zweifel an dieser Auslegung und legte dem EuGH die folgende Frage zur Vorabentscheidung vor: „Sind Art. 57 Abs. 1 Buchst. a und f sowie Art. 58 Abs. 2 Buchst. a bis j in Verbindung mit Art. 77 Abs. 1 DSGVO dahin gehend auszulegen, dass in dem Fall, dass die Aufsichtsbehörde eine Datenverarbeitung feststellt, die den Betroffenen in seinen Rechten verletzt, die Aufsichtsbehörde stets verpflichtet ist, nach Art. 58 Abs. 2 dieser Verordnung einzuschreiten?”
Nach gründlicher Abwägung lautete die Antwort des EuGH auf die Vorlagefrage, dass „Art. 57 Abs. 1 Buchst. a und f, Art. 58 Abs. 2 sowie Art. 77 Abs. 1 DSGVO dahin auszulegen sind, dass die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, nach diesem Art. 58 Abs. 2 eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen, wenn ein solches Einschreiten nicht geeignet, erforderlich oder verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten.“
(EuGH, Urteil v. 26.9.2024, C-768/21)
-
Wohnrecht auf Lebenszeit trotz Umzugs ins Pflegeheim?
1.2472
-
Wie kann die Verjährung verhindert werden?
932
-
Minderung schlägt auf Betriebskostenabrechnung durch
720
-
Klagerücknahme oder Erledigungserklärung?
690
-
Diese Compliance-Regelungen gelten für Geschenke und Einladungen
550
-
Überbau und Konsequenzen – wenn die Grenze zum Nachbargrundstück ignoriert wurde
490
-
Transparenzregister: Wirtschaftlich Berechtigter nach GWG
448
-
Brief- und Fernmelde-/ Kommunikationsgeheimnis: Was ist erlaubt, was strafbar?
434
-
Eigenbedarfskündigung bei Senioren – Ausschluss wegen unzumutbarer Härte?
419
-
Wann ist ein Anspruch verwirkt? Worauf beruht die Verwirkung?
413
-
Cybersicherheit: Die NIS2-Richtlinie und ihre Folgen für Unternehmen
23.12.2025
-
Der Gesellschafterstreit – Streitbeilegung
17.12.2025
-
Der Gesellschafterstreit - Prävention
17.12.2025
-
Der Gesellschafterstreit – Vor Gericht
17.12.2025
-
Außergerichtliche Erscheinungsformen eines Gesellschafterstreits
17.12.2025
-
China führt elektronische Stempel ein: Was Unternehmen jetzt beachten müssen
09.12.2025
-
Wie Unternehmen und Manager mit Nachhaltigkeit umgehen sollten
02.12.2025
-
Internationale Zuständigkeiten deutscher Gerichte im Zusammenhang mit dem Brexit
02.12.2025
-
Revision von CSRD und CSDDD: EU-Parlament beschließt Verhandlungsposition
26.11.2025
-
Ladung zur Gesellschafterversammlung: Prüfungsumfang des Registergerichts
12.11.2025
Noch keine Kommentare - teilen Sie Ihre Sicht und starten Sie die Diskussion
Aktuelle Informationen aus dem Bereich Wirtschaftsrecht frei Haus - abonnieren Sie unseren Newsletter:
- Handels- und Gesellschaftsrecht
- Gewerblicher Rechtsschutz
- Vertriebsrecht