Das Urteil des Europäischen Gerichtshofs (EuGH) vom 26.09.2024 (C-768/21) bringt Klarheit in die Frage, ob Datenschutzbehörden bei einem Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) zwingend Abhilfemaßnahmen ergreifen müssen.
Sachverhalt
Im vorliegenden Fall hatte eine Mitarbeiterin einer hessischen Bank mehrfach unbefugt auf personenbezogene Daten eines Kunden zugegriffen. Nachdem die Bank den Vorfall bemerkt hatte, ergriff sie Disziplinarmaßnahmen gegen die Mitarbeiterin und meldete den Verstoß an den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI). Der betroffene Kunde erfuhr jedoch erst später von dem Vorfall und reichte eine Beschwerde beim HBDI ein. Er forderte, dass die Behörde gegen die Bank einschreitet und eine Geldbuße verhängt. Der HBDI entschied jedoch, dass keine weiteren Maßnahmen erforderlich seien, da die Bank bereits angemessene Schritte unternommen habe, um den Verstoß zu beheben und zukünftige Verstöße zu verhindern.
Die DS-GVO sieht in Art. 58 Abs. 2 verschiedene Abhilfemaßnahmen vor, die von Verwarnungen bis hin zur Verhängung von Geldbußen reichen. Die Entscheidung, welche Maßnahme ergriffen wird, liegt im Ermessen der Aufsichtsbehörde. Dabei sind die Umstände des Einzelfalls zu berücksichtigen, insbesondere ob der Verantwortliche bereits Maßnahmen ergriffen hat, um den Verstoß zu beheben.
Das Verwaltungsgericht Wiesbaden legte dem EuGH die Frage vor, ob die Aufsichtsbehörde bei einem festgestellten Verstoß gegen die DS-GVO stets verpflichtet ist, nach Art. 58 Abs. 2 DS-GVO Abhilfemaßnahmen zu ergreifen.
Entscheidung des Gerichts
Der EuGH stellte in seinem Urteil klar, dass Datenschutzbehörden bei einem festgestellten Verstoß gegen die DS-GVO nicht zwingend Abhilfemaßnahmen ergreifen müssen. Vielmehr räumt die DS-GVO den Aufsichtsbehörden ein Ermessen ein, wie sie auf einen Verstoß reagieren. Dies bedeutet, dass die Behörde nicht in jedem Fall eine Geldbuße verhängen oder andere Sanktionen ergreifen muss, wenn der Verantwortliche bereits Maßnahmen ergriffen hat, um den Verstoß zu beheben und zukünftige Verstöße zu verhindern. Der EuGH betonte, dass die Aufsichtsbehörde nur dann tätig werden muss, wenn dies erforderlich ist, um die umfassende Einhaltung der DS-GVO zu gewährleisten.
Diese Entscheidung stützt sich auf den Erwägungsgrund 129 der DS-GVO, der festlegt, dass Maßnahmen der Aufsichtsbehörden verhältnismäßig und angemessen sein müssen.
Die DS-GVO sieht in Art. 58 Abs. 2 verschiedene Abhilfemaßnahmen vor, darunter Verwarnungen, Anweisungen und Geldbußen. Die Entscheidung, welche Maßnahme ergriffen wird, liegt im Ermessen der Aufsichtsbehörde. Art. 83 Abs. 2 DS-GVO ergänzt, dass Geldbußen zusätzlich oder anstelle von anderen Maßnahmen verhängt werden können, wobei die Umstände des Einzelfalls zu berücksichtigen sind.
Der EuGH betonte, dass die Aufsichtsbehörde in jedem Einzelfall die Umstände berücksichtigen muss, insbesondere ob der Verantwortliche bereits Maßnahmen ergriffen hat, um den Verstoß zu beheben. Ziel ist es, die Einhaltung der DS-GVO sicherzustellen und ein hohes Schutzniveau für personenbezogene Daten zu gewährleisten.
Praxishinweis
Unternehmen sollten sicherstellen, dass sie bei einem Datenschutzverstoß unverzüglich Maßnahmen ergreifen, um den Verstoß zu beheben und zukünftige Verstöße zu verhindern. Dies kann dazu beitragen, dass die Aufsichtsbehörde von der Verhängung einer Geldbuße absieht. Wichtig ist zudem, dass Unternehmen ihre internen Datenschutzprozesse regelmäßig überprüfen und sicherstellen, dass sie den Anforderungen der DS-GVO entsprechen. Unternehmen müssen auch darauf achten, dass sie Datenschutzverstöße ordnungsgemäß dokumentieren und der zuständigen Aufsichtsbehörde rechtzeitig melden, auch um mögliche Sanktionen zu vermeiden.