Datenschutzbehörden müssen nicht zwingend Sanktionen verhängen
News
07.11.2024
EuGH-Urteil
Bild: Mauritius Iamges/imageBROKER/H.-D. Feldmann
Keine Sanktionen erforderlich, wenn Datenschutzverletzung abgestellt
Wenn eine Datenschutzbehörde über einen Verstoß gegen die Datenschutzgrundverordnung informiert wird, heißt dies nicht, dass diese den Verstoß auch automatisch ahnden muss. In seinem Urteil vom 26.9.2024 (C-768/21) hat der Europäische Gerichtshof (EuGH) entschieden, dass die Datenschutzbehörde nicht verpflichtet ist, in jedem Fall eines Verstoßes eine Abhilfemaßnahme zu ergreifen und insbesondere eine Geldbuße zu verhängen. Stellt die Aufsichtsbehörde eine Verletzung des Schutzes personenbezogener Daten fest, ist sie nicht verpflichtet, eine Abhilfemaßnahme zu ergreifen, wenn dies nicht erforderlich ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung der DSGVO zu gewährleisten. Ein solcher Fall liegt z. B. vor, wenn die für die Verarbeitung verantwortliche Person, unverzüglich die erforderlichen Maßnahmen ergriffen und dafür gesorgt hat, dass die Verletzung abgestellt wird und sich nicht wiederholt.
Sparkassenmitarbeiterin greift unerlaubt auf Daten eines Kunden zu
Im konkreten Fall hatte ein Sparkassenkunde gegen den hessischen Landesdatenschutzbeauftragten geklagt und beantragt, diesen zum Einschreiten gegen die Sparkasse zu verpflichten und eine Geldbuße gegen das Geldinstitut zu verhängen. Eine Mitarbeiterin einer hessischen Sparkasse hatte wiederholt unerlaubt auf persönliche Daten eines Kunden zugegriffen. Nachdem die Sparkasse dies entdeckt hatte, hat sie den betroffenen Kunden nicht von dem Vorfall informiert. Der Datenschutzbeauftragte der Sparkasse hielt dies für vertretbar, da er kein erhebliches Risiko für die Rechte und Freiheiten des Kunden sah. Die Mitarbeiterin hatte zuvor schriftlich bestätigt, die Daten des Kunden weder kopiert, gespeichert noch an Dritte weitergegeben zu haben und dies auch zukünftig nicht zu tun. Zudem hat die Sparkasse unverzüglich disziplinarische Schritte gegen die Mitarbeiterin eingeleitet. Trotzdem meldete die Sparkasse den Vorfall an den Landesdatenschutzbeauftragten.
Sparkassenkunde klagt gegen Landesdatenschutzbeauftragten
Der betroffene Kunde erfuhr zufällig von dem Datenverstoß und reichte daraufhin eine Beschwerde beim Landesdatenschutzbeauftragten ein. Nach einer Anhörung der Sparkasse kam dieser jedoch zu dem Schluss, dass keine Maßnahmen gegen die Bank erforderlich seien, und teilte dies dem Beschwerdeführer mit. Dieser gab sich damit nicht zufrieden, erhob Klage beim zuständigen Verwaltungsgericht Wiesbaden und beantragte, den Datenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten.
Zur Begründung führte der Kläger an, dass der Datenschutzbeauftragte gegen die Sparkasse angesichts der von ihr begangenen Verstöße nach Art. 58 Abs. 2 DSGVO eine Geldbuße hätte verhängen müssen. Im Fall eines festgestellten Verstoßes gelte nicht das Opportunitätsprinzip, sodass dem Datenschutzbeauftragten kein Entschließungsermessen, sondern allenfalls ein Auswahlermessen hinsichtlich der zu ergreifenden Maßnahmen zukomme.
Verwaltungsgericht schaltet EuGH ein
Das Verwaltungsgericht Wiesbaden hatte jedoch Zweifel an dieser Auslegung und legte dem EuGH die folgende Frage zur Vorabentscheidung vor: „Sind Art. 57 Abs. 1 Buchst. a und f sowie Art. 58 Abs. 2 Buchst. a bis j in Verbindung mit Art. 77 Abs. 1 DSGVO dahin gehend auszulegen, dass in dem Fall, dass die Aufsichtsbehörde eine Datenverarbeitung feststellt, die den Betroffenen in seinen Rechten verletzt, die Aufsichtsbehörde stets verpflichtet ist, nach Art. 58 Abs. 2 dieser Verordnung einzuschreiten?”
Nach gründlicher Abwägung lautete die Antwort des EuGH auf die Vorlagefrage, dass „Art. 57 Abs. 1 Buchst. a und f, Art. 58 Abs. 2 sowie Art. 77 Abs. 1 DSGVO dahin auszulegen sind, dass die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, nach diesem Art. 58 Abs. 2 eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen, wenn ein solches Einschreiten nicht geeignet, erforderlich oder verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten.“
(EuGH, Urteil v. 26.9.2024, C-768/21)
-
Wohnrecht auf Lebenszeit trotz Umzugs ins Pflegeheim?
1.8172
-
Italienische Bußgeldwelle trifft deutsche Autofahrer
1.642
-
Gerichtliche Ladungen richtig lesen und verstehen
1.598
-
Überbau und Konsequenzen – wenn die Grenze zum Nachbargrundstück ignoriert wurde
1.544
-
Klagerücknahme oder Erledigungserklärung?
1.475
-
Brief- und Fernmelde-/ Kommunikationsgeheimnis: Was ist erlaubt, was strafbar?
1.441
-
Wann muss eine öffentliche Ausschreibung erfolgen?
1.386
-
Wie kann die Verjährung verhindert werden?
1.300
-
Verdacht der Befangenheit auf Grund des Verhaltens des Richters
1.145
-
Formwirksamkeit von Dokumenten mit eingescannter Unterschrift
1.0191
-
Datenschutzbehörden müssen nicht zwingend Sanktionen verhängen
07.11.2024
-
Typisch stille Beteiligung an Kapitalgesellschaften – Unterschiede zwischen GmbH und AG
06.11.2024
-
Bundesnetzagentur wird nationale Marktüberwachungsbehörde bei der KI-Aufsicht
05.11.2024
-
Neue Bundesverordnung zur „Cookie-Einwilligung“
31.10.2024
-
Zahl der Datenschutz-Bußgeldverfahren steigt
24.10.2024
-
Untersuchungs- und Rügeobliegenheit im B2B-Bereich
23.10.2024
-
Fernmeldegeheimnis gilt nicht für private E-Mails und Telefonate am Arbeitsplatz
17.10.2024
-
Wirecard: Geschädigte Aktionäre sind keine nachrangigen Gläubiger!
16.10.2024
-
Entscheidung zu drittstaatlichen Subventionen billigt Durchsuchung eines chinesischen Konzerns
15.10.2024
-
Neues zur Gesellschaft mit gebundenem Vermögen
15.10.2024
Bild: Haufe Online Redaktion
Aktuelle Informationen aus dem Bereich Wirtschaftsrecht frei Haus - abonnieren Sie unseren Newsletter:
- Handels- und Gesellschaftsrecht
- Gewerblicher Rechtsschutz
- Vertriebsrecht