Datenschutzbehörden müssen nicht zwingend Sanktionen verhängen
News
07.11.2024
EuGH-Urteil
Bild: Mauritius Iamges/imageBROKER/H.-D. Feldmann
Keine Sanktionen erforderlich, wenn Datenschutzverletzung abgestellt
Wenn eine Datenschutzbehörde über einen Verstoß gegen die Datenschutzgrundverordnung informiert wird, heißt dies nicht, dass diese den Verstoß auch automatisch ahnden muss. In seinem Urteil vom 26.9.2024 (C-768/21) hat der Europäische Gerichtshof (EuGH) entschieden, dass die Datenschutzbehörde nicht verpflichtet ist, in jedem Fall eines Verstoßes eine Abhilfemaßnahme zu ergreifen und insbesondere eine Geldbuße zu verhängen. Stellt die Aufsichtsbehörde eine Verletzung des Schutzes personenbezogener Daten fest, ist sie nicht verpflichtet, eine Abhilfemaßnahme zu ergreifen, wenn dies nicht erforderlich ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung der DSGVO zu gewährleisten. Ein solcher Fall liegt z. B. vor, wenn die für die Verarbeitung verantwortliche Person, unverzüglich die erforderlichen Maßnahmen ergriffen und dafür gesorgt hat, dass die Verletzung abgestellt wird und sich nicht wiederholt.
Sparkassenmitarbeiterin greift unerlaubt auf Daten eines Kunden zu
Im konkreten Fall hatte ein Sparkassenkunde gegen den hessischen Landesdatenschutzbeauftragten geklagt und beantragt, diesen zum Einschreiten gegen die Sparkasse zu verpflichten und eine Geldbuße gegen das Geldinstitut zu verhängen. Eine Mitarbeiterin einer hessischen Sparkasse hatte wiederholt unerlaubt auf persönliche Daten eines Kunden zugegriffen. Nachdem die Sparkasse dies entdeckt hatte, hat sie den betroffenen Kunden nicht von dem Vorfall informiert. Der Datenschutzbeauftragte der Sparkasse hielt dies für vertretbar, da er kein erhebliches Risiko für die Rechte und Freiheiten des Kunden sah. Die Mitarbeiterin hatte zuvor schriftlich bestätigt, die Daten des Kunden weder kopiert, gespeichert noch an Dritte weitergegeben zu haben und dies auch zukünftig nicht zu tun. Zudem hat die Sparkasse unverzüglich disziplinarische Schritte gegen die Mitarbeiterin eingeleitet. Trotzdem meldete die Sparkasse den Vorfall an den Landesdatenschutzbeauftragten.
Sparkassenkunde klagt gegen Landesdatenschutzbeauftragten
Der betroffene Kunde erfuhr zufällig von dem Datenverstoß und reichte daraufhin eine Beschwerde beim Landesdatenschutzbeauftragten ein. Nach einer Anhörung der Sparkasse kam dieser jedoch zu dem Schluss, dass keine Maßnahmen gegen die Bank erforderlich seien, und teilte dies dem Beschwerdeführer mit. Dieser gab sich damit nicht zufrieden, erhob Klage beim zuständigen Verwaltungsgericht Wiesbaden und beantragte, den Datenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten.
Zur Begründung führte der Kläger an, dass der Datenschutzbeauftragte gegen die Sparkasse angesichts der von ihr begangenen Verstöße nach Art. 58 Abs. 2 DSGVO eine Geldbuße hätte verhängen müssen. Im Fall eines festgestellten Verstoßes gelte nicht das Opportunitätsprinzip, sodass dem Datenschutzbeauftragten kein Entschließungsermessen, sondern allenfalls ein Auswahlermessen hinsichtlich der zu ergreifenden Maßnahmen zukomme.
Verwaltungsgericht schaltet EuGH ein
Das Verwaltungsgericht Wiesbaden hatte jedoch Zweifel an dieser Auslegung und legte dem EuGH die folgende Frage zur Vorabentscheidung vor: „Sind Art. 57 Abs. 1 Buchst. a und f sowie Art. 58 Abs. 2 Buchst. a bis j in Verbindung mit Art. 77 Abs. 1 DSGVO dahin gehend auszulegen, dass in dem Fall, dass die Aufsichtsbehörde eine Datenverarbeitung feststellt, die den Betroffenen in seinen Rechten verletzt, die Aufsichtsbehörde stets verpflichtet ist, nach Art. 58 Abs. 2 dieser Verordnung einzuschreiten?”
Nach gründlicher Abwägung lautete die Antwort des EuGH auf die Vorlagefrage, dass „Art. 57 Abs. 1 Buchst. a und f, Art. 58 Abs. 2 sowie Art. 77 Abs. 1 DSGVO dahin auszulegen sind, dass die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, nach diesem Art. 58 Abs. 2 eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen, wenn ein solches Einschreiten nicht geeignet, erforderlich oder verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten.“
(EuGH, Urteil v. 26.9.2024, C-768/21)
-
Italienische Bußgeldwelle trifft deutsche Autofahrer
2.943
-
Wie kann die Verjährung verhindert werden?
2.041
-
Klagerücknahme oder Erledigungserklärung?
1.654
-
Wohnrecht auf Lebenszeit trotz Umzugs ins Pflegeheim?
1.5782
-
Diese Compliance-Regelungen gelten für Geschenke und Einladungen
1.381
-
Brief- und Fernmelde-/ Kommunikationsgeheimnis: Was ist erlaubt, was strafbar?
1.380
-
Gerichtliche Ladungen richtig lesen und verstehen
1.340
-
Patronatserklärungen: Wirkung, Varianten und praktische Bedeutung
1.333
-
Überbau und Konsequenzen – wenn die Grenze zum Nachbargrundstück ignoriert wurde
1.169
-
Wann muss eine öffentliche Ausschreibung erfolgen?
1.110
-
Rechtsunsicherheit für die Kundenanlage
17.12.2024
-
Die Verordnung über das Verbot von Produkten, die in Zwangsarbeit hergestellt wurden
11.12.2024
-
Änderungen des Energiewirtschaftsrechts – Was kommt noch nach dem Ampel-Aus?
10.12.2024
-
Anteil der Zahlungen von Cyber-Versicherungen wegen Datenschutzverstößen steigt stetig
06.12.2024
-
Das Scraping-Urteil des BGH zum Facebook-Datenleck
04.12.2024
-
BGH begrenzt Zulässigkeit von Skonti auf verschreibungspflichtige Arzneimittel
03.12.2024
-
Microsoft Advertising haftet bei fehlender Einwilligung automatisch gesetzter Cookies
28.11.2024
-
Rückbeteiligung bei Unternehmensverkäufen: Chancen und Herausforderungen
26.11.2024
-
Diese Compliance-Regelungen gelten für Geschenke und Einladungen
25.11.2024
-
Risiko der Betriebsstättenbegründung durch mobiles Arbeiten im Ausland
18.11.2024
Bild: Haufe Online Redaktion
Aktuelle Informationen aus dem Bereich Wirtschaftsrecht frei Haus - abonnieren Sie unseren Newsletter:
- Handels- und Gesellschaftsrecht
- Gewerblicher Rechtsschutz
- Vertriebsrecht