Datenschutzbehörden müssen nicht zwingend Sanktionen verhängen
News
07.11.2024
EuGH-Urteil
Bild: Mauritius Iamges/imageBROKER/H.-D. Feldmann
Keine Sanktionen erforderlich, wenn Datenschutzverletzung abgestellt
Wenn eine Datenschutzbehörde über einen Verstoß gegen die Datenschutzgrundverordnung informiert wird, heißt dies nicht, dass diese den Verstoß auch automatisch ahnden muss. In seinem Urteil vom 26.9.2024 (C-768/21) hat der Europäische Gerichtshof (EuGH) entschieden, dass die Datenschutzbehörde nicht verpflichtet ist, in jedem Fall eines Verstoßes eine Abhilfemaßnahme zu ergreifen und insbesondere eine Geldbuße zu verhängen. Stellt die Aufsichtsbehörde eine Verletzung des Schutzes personenbezogener Daten fest, ist sie nicht verpflichtet, eine Abhilfemaßnahme zu ergreifen, wenn dies nicht erforderlich ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung der DSGVO zu gewährleisten. Ein solcher Fall liegt z. B. vor, wenn die für die Verarbeitung verantwortliche Person, unverzüglich die erforderlichen Maßnahmen ergriffen und dafür gesorgt hat, dass die Verletzung abgestellt wird und sich nicht wiederholt.
Sparkassenmitarbeiterin greift unerlaubt auf Daten eines Kunden zu
Im konkreten Fall hatte ein Sparkassenkunde gegen den hessischen Landesdatenschutzbeauftragten geklagt und beantragt, diesen zum Einschreiten gegen die Sparkasse zu verpflichten und eine Geldbuße gegen das Geldinstitut zu verhängen. Eine Mitarbeiterin einer hessischen Sparkasse hatte wiederholt unerlaubt auf persönliche Daten eines Kunden zugegriffen. Nachdem die Sparkasse dies entdeckt hatte, hat sie den betroffenen Kunden nicht von dem Vorfall informiert. Der Datenschutzbeauftragte der Sparkasse hielt dies für vertretbar, da er kein erhebliches Risiko für die Rechte und Freiheiten des Kunden sah. Die Mitarbeiterin hatte zuvor schriftlich bestätigt, die Daten des Kunden weder kopiert, gespeichert noch an Dritte weitergegeben zu haben und dies auch zukünftig nicht zu tun. Zudem hat die Sparkasse unverzüglich disziplinarische Schritte gegen die Mitarbeiterin eingeleitet. Trotzdem meldete die Sparkasse den Vorfall an den Landesdatenschutzbeauftragten.
Sparkassenkunde klagt gegen Landesdatenschutzbeauftragten
Der betroffene Kunde erfuhr zufällig von dem Datenverstoß und reichte daraufhin eine Beschwerde beim Landesdatenschutzbeauftragten ein. Nach einer Anhörung der Sparkasse kam dieser jedoch zu dem Schluss, dass keine Maßnahmen gegen die Bank erforderlich seien, und teilte dies dem Beschwerdeführer mit. Dieser gab sich damit nicht zufrieden, erhob Klage beim zuständigen Verwaltungsgericht Wiesbaden und beantragte, den Datenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten.
Zur Begründung führte der Kläger an, dass der Datenschutzbeauftragte gegen die Sparkasse angesichts der von ihr begangenen Verstöße nach Art. 58 Abs. 2 DSGVO eine Geldbuße hätte verhängen müssen. Im Fall eines festgestellten Verstoßes gelte nicht das Opportunitätsprinzip, sodass dem Datenschutzbeauftragten kein Entschließungsermessen, sondern allenfalls ein Auswahlermessen hinsichtlich der zu ergreifenden Maßnahmen zukomme.
Verwaltungsgericht schaltet EuGH ein
Das Verwaltungsgericht Wiesbaden hatte jedoch Zweifel an dieser Auslegung und legte dem EuGH die folgende Frage zur Vorabentscheidung vor: „Sind Art. 57 Abs. 1 Buchst. a und f sowie Art. 58 Abs. 2 Buchst. a bis j in Verbindung mit Art. 77 Abs. 1 DSGVO dahin gehend auszulegen, dass in dem Fall, dass die Aufsichtsbehörde eine Datenverarbeitung feststellt, die den Betroffenen in seinen Rechten verletzt, die Aufsichtsbehörde stets verpflichtet ist, nach Art. 58 Abs. 2 dieser Verordnung einzuschreiten?”
Nach gründlicher Abwägung lautete die Antwort des EuGH auf die Vorlagefrage, dass „Art. 57 Abs. 1 Buchst. a und f, Art. 58 Abs. 2 sowie Art. 77 Abs. 1 DSGVO dahin auszulegen sind, dass die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, nach diesem Art. 58 Abs. 2 eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen, wenn ein solches Einschreiten nicht geeignet, erforderlich oder verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten.“
(EuGH, Urteil v. 26.9.2024, C-768/21)
-
Wohnrecht auf Lebenszeit trotz Umzugs ins Pflegeheim?
1.8172
-
Löschung von Kundenkonten
1.603
-
Klagerücknahme oder Erledigungserklärung?
1.486
-
Gerichtliche Ladungen richtig lesen und verstehen
1.421
-
Wann muss eine öffentliche Ausschreibung erfolgen?
1.373
-
Brief- und Fernmelde-/ Kommunikationsgeheimnis: Was ist erlaubt, was strafbar?
1.323
-
Wie kann die Verjährung verhindert werden?
1.322
-
KI-Kompetenz ist Pflicht ab 2025
1.1261
-
Überbau und Konsequenzen – wenn die Grenze zum Nachbargrundstück ignoriert wurde
1.068
-
Formwirksamkeit von Dokumenten mit eingescannter Unterschrift
1.0451
-
Bundestag verabschiedet vor den Neuwahlen zahlreiche Gesetze im Energiewirtschaftsrecht
14.02.2025
-
Internationale Arbeitsgruppe unter Vorsitz der BfDI beschließt Papiere zu LLMs und Data Sharing
11.02.2025
-
Employee-Buy-Out als Nachfolgelösung für Unternehmen
28.01.2025
-
Geschäftsaufgabe und Überbrückungshilfen: Herausforderungen und rechtliche Risiken
15.01.2025
-
Sozialversicherungspflicht von GmbH-Geschäftsführern
14.01.2025
-
Seit dem 1.11.2024 gelten neue Meldepflichten für wirtschaftlich Berechtigte in China
13.01.2025
-
Bürokratieentlastungsgesetz IV schafft Meldepflicht in Beherbergungsstätten für deutsche Gäste ab
10.01.2025
-
Cyberangriff: Wer kommt für den Schaden auf?
07.01.2025
-
900.000 EUR Bußgeld, weil Daten nicht gelöscht wurden
31.12.2024
-
Zulässigkeit von Hinauskündigungsklauseln in Form einer Vesting-Regelung bei Start-ups
30.12.2024
Bild: Haufe Online Redaktion
Aktuelle Informationen aus dem Bereich Wirtschaftsrecht frei Haus - abonnieren Sie unseren Newsletter:
- Handels- und Gesellschaftsrecht
- Gewerblicher Rechtsschutz
- Vertriebsrecht