EuGH-Urteil
Datenschutzbehörden müssen nicht zwingend Sanktionen verhängen
News
07.11.2024 | 08:00 Uhr
Bild: Mauritius Iamges/imageBROKER/H.-D. Feldmann
Keine Sanktionen erforderlich, wenn Datenschutzverletzung abgestellt
Wenn eine Datenschutzbehörde über einen Verstoß gegen die Datenschutzgrundverordnung informiert wird, heißt dies nicht, dass diese den Verstoß auch automatisch ahnden muss. In seinem Urteil vom 26.9.2024 (C-768/21) hat der Europäische Gerichtshof (EuGH) entschieden, dass die Datenschutzbehörde nicht verpflichtet ist, in jedem Fall eines Verstoßes eine Abhilfemaßnahme zu ergreifen und insbesondere eine Geldbuße zu verhängen. Stellt die Aufsichtsbehörde eine Verletzung des Schutzes personenbezogener Daten fest, ist sie nicht verpflichtet, eine Abhilfemaßnahme zu ergreifen, wenn dies nicht erforderlich ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung der DSGVO zu gewährleisten. Ein solcher Fall liegt z. B. vor, wenn die für die Verarbeitung verantwortliche Person, unverzüglich die erforderlichen Maßnahmen ergriffen und dafür gesorgt hat, dass die Verletzung abgestellt wird und sich nicht wiederholt.
Sparkassenmitarbeiterin greift unerlaubt auf Daten eines Kunden zu
Im konkreten Fall hatte ein Sparkassenkunde gegen den hessischen Landesdatenschutzbeauftragten geklagt und beantragt, diesen zum Einschreiten gegen die Sparkasse zu verpflichten und eine Geldbuße gegen das Geldinstitut zu verhängen. Eine Mitarbeiterin einer hessischen Sparkasse hatte wiederholt unerlaubt auf persönliche Daten eines Kunden zugegriffen. Nachdem die Sparkasse dies entdeckt hatte, hat sie den betroffenen Kunden nicht von dem Vorfall informiert. Der Datenschutzbeauftragte der Sparkasse hielt dies für vertretbar, da er kein erhebliches Risiko für die Rechte und Freiheiten des Kunden sah. Die Mitarbeiterin hatte zuvor schriftlich bestätigt, die Daten des Kunden weder kopiert, gespeichert noch an Dritte weitergegeben zu haben und dies auch zukünftig nicht zu tun. Zudem hat die Sparkasse unverzüglich disziplinarische Schritte gegen die Mitarbeiterin eingeleitet. Trotzdem meldete die Sparkasse den Vorfall an den Landesdatenschutzbeauftragten.
Sparkassenkunde klagt gegen Landesdatenschutzbeauftragten
Der betroffene Kunde erfuhr zufällig von dem Datenverstoß und reichte daraufhin eine Beschwerde beim Landesdatenschutzbeauftragten ein. Nach einer Anhörung der Sparkasse kam dieser jedoch zu dem Schluss, dass keine Maßnahmen gegen die Bank erforderlich seien, und teilte dies dem Beschwerdeführer mit. Dieser gab sich damit nicht zufrieden, erhob Klage beim zuständigen Verwaltungsgericht Wiesbaden und beantragte, den Datenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten.
Zur Begründung führte der Kläger an, dass der Datenschutzbeauftragte gegen die Sparkasse angesichts der von ihr begangenen Verstöße nach Art. 58 Abs. 2 DSGVO eine Geldbuße hätte verhängen müssen. Im Fall eines festgestellten Verstoßes gelte nicht das Opportunitätsprinzip, sodass dem Datenschutzbeauftragten kein Entschließungsermessen, sondern allenfalls ein Auswahlermessen hinsichtlich der zu ergreifenden Maßnahmen zukomme.
Verwaltungsgericht schaltet EuGH ein
Das Verwaltungsgericht Wiesbaden hatte jedoch Zweifel an dieser Auslegung und legte dem EuGH die folgende Frage zur Vorabentscheidung vor: „Sind Art. 57 Abs. 1 Buchst. a und f sowie Art. 58 Abs. 2 Buchst. a bis j in Verbindung mit Art. 77 Abs. 1 DSGVO dahin gehend auszulegen, dass in dem Fall, dass die Aufsichtsbehörde eine Datenverarbeitung feststellt, die den Betroffenen in seinen Rechten verletzt, die Aufsichtsbehörde stets verpflichtet ist, nach Art. 58 Abs. 2 dieser Verordnung einzuschreiten?”
Nach gründlicher Abwägung lautete die Antwort des EuGH auf die Vorlagefrage, dass „Art. 57 Abs. 1 Buchst. a und f, Art. 58 Abs. 2 sowie Art. 77 Abs. 1 DSGVO dahin auszulegen sind, dass die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, nach diesem Art. 58 Abs. 2 eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen, wenn ein solches Einschreiten nicht geeignet, erforderlich oder verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten.“
(EuGH, Urteil v. 26.9.2024, C-768/21)
-
Wohnrecht auf Lebenszeit trotz Umzugs ins Pflegeheim?
1.3202
-
Überbau und Konsequenzen – wenn die Grenze zum Nachbargrundstück ignoriert wurde
861
-
Klagerücknahme oder Erledigungserklärung?
755
-
Einseitige Preisanpassung von Amazon Prime ist rechtswidrig
649
-
Wie kann die Verjährung verhindert werden?
549
-
Minderung schlägt auf Betriebskostenabrechnung durch
538
-
Eigenbedarfskündigung bei Senioren – Ausschluss wegen unzumutbarer Härte?
472
-
Wann muss eine öffentliche Ausschreibung erfolgen?
466
-
Wann ist ein Anspruch verwirkt? Worauf beruht die Verwirkung?
449
-
Was ist bei der sofortigen Beschwerde zu beachten?
431
-
Ladung zur Gesellschafterversammlung: Prüfungsumfang des Registergerichts
12.11.2025
-
Kein Ausgleichsanspruch für Vertragshändler?
05.11.2025
-
China: Rechte und Pflichten von Gesellschaftern
05.11.2025
-
BGH kippt HV-Zustimmung zum D&O-Vergleich im Diesel-Skandal
29.10.2025
-
Eintragung des Eigentümers in das Grundbuch nach Ausscheiden des vorletzten Gesellschafters
22.10.2025
-
Die Haftung von Geschäftsleitern bei Unternehmenstransaktionen
08.10.2025
-
Erste deutsche Entscheidung zur Anerkennung eines englischen Part-26A-Verfahrens in Deutschland
07.10.2025
-
Online-Beglaubigung von Registervollmachten
06.10.2025
-
Keine Vermengung von Umwandlungsrecht und Barkapitalerhöhung mit Sachagio
02.10.2025
-
5 Minuten Handelsvertreterrecht für Entscheider
24.09.2025
Noch keine Kommentare - teilen Sie Ihre Sicht und starten Sie die Diskussion
Aktuelle Informationen aus dem Bereich Wirtschaftsrecht frei Haus - abonnieren Sie unseren Newsletter:
- Handels- und Gesellschaftsrecht
- Gewerblicher Rechtsschutz
- Vertriebsrecht