Eine Aufsichtsbehörde ist nicht verpflichtet, in jedem Fall eines Verstoßes eine Abhilfemaßnahme zu ergreifen
Die DSGVO räumt den Aufsichtsbehörden ein Ermessen hinsichtlich der Art und Weise ein, wie sie der festgestellten Unzulänglichkeit abhilft. Dieses Ermessen wird allerdings durch das Erfordernis begrenzt, durch den klar durchsetzbaren Rechtsrahmen der DSGVO ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu gewährleisten.
In Deutschland stellte eine Sparkasse fest, dass eine Mitarbeiterin mehrmals unbefugt auf personenbezogene Daten eines Kunden zugegriffen hatte. Die Sparkasse setzte den Kunden hiervon nicht in Kenntnis, da ihr Datenschutzbeauftragter der Ansicht war, dass für diesen Kunden kein hohes Risiko bestehe. Denn die Mitarbeiterin hatte schriftlich bestätigt, dass sie die Daten weder kopiert oder gespeichert noch an Dritte übermittelt habe und dass sie dies auch zukünftig nicht tun werde. Außerdem hatte die Sparkasse gegen die Mitarbeiterin Disziplinarmaßnahmen ergriffen. Gleichwohl meldete die Sparkasse diesen Verstoß dem Landesdatenschutzbeauftragten.
Nachdem der Kunde nebenbei von diesem Vorfall Kenntnis erlangt hatte, reichte er bei dem Landesdatenschutzbeauftragten eine Beschwerde ein. Nach Anhörung der Sparkasse teilte der Landesdatenschutzbeauftragte dem Kunden mit, dass er es nicht für erforderlich halte, gegen die Sparkasse Abhilfemaßnahmen zu ergreifen.
Der Kunde erhob daraufhin Klage bei einem deutschen Gericht und beantragte, den Landesdatenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten und insbesondere dazu, gegen die Sparkasse eine Geldbuße zu verhängen.
Das deutsche Gericht hat den Europäischen Gerichtshof (EuGH) ersucht, die Datenschutz-Grundverordnung (DSGVO) im Hinblick auf diese Fragestellung auszulegen.
In seinem Urteil antwortet der Gerichtshof, dass die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen, wenn dies nicht erforderlich ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung der DSGVO zu gewährleisten. Ein solcher Fall könnte u. a. dann vorliegen, wenn der für die Verarbeitung Verantwortliche, sobald er von der Verletzung Kenntnis erlangt hat, die erforderlichen Maßnahmen ergriffen hat, damit die Verletzung abgestellt wird und sich nicht wiederholt.
Es ist nun Sache des deutschen Gerichts, zu prüfen, ob der betreffende Landesdatenschutzbeauftragte diese Grenzen eingehalten hat.
Fundstelle: Pressemitteilung Nr. 149/24 zum Urteil des EuGH vom 26. September 2024, Rechtssache C-768/21 – abrufbar im Internet unter https://curia.europa.eu/jcms/jcms/p1_4573519/de/