EuGH, Urt. 26.9.2024 - C-768/21
Keine Pflicht der Datenschutzaufsichtsbehörde zum Ergreifen von Abhilfemaßnahmen
Autor: RA Nicolas Kötter, CSW Rechtsanwälte, München
Aus: IT-Rechtsberater, Heft 12/2024
Aus: IT-Rechtsberater, Heft 12/2024
Eine Datenschutzaufsichtsbehörde ist nicht verpflichtet, eine Abhilfemaßnahme zu ergreifen oder eine Geldbuße zu verhängen, wenn dies unter Berücksichtigung der besonderen Umstände des konkreten Einzelfalls nicht geboten ist, um die Verarbeitung der personenbezogenen Daten in Einklang mit der DSGVO zu bringen.
DSGVO Art. 57 Abs. 1 lit. a und f, Art. 58 Abs. 2 lit. a bis f, Art. 77 Abs. 1 und Art. 83
Der HBDI hörte die Sparkasse an und entschied, dass kein Verstoß gegen Art. 34 DSGVO vorlag, da kein hohes Risiko für den Betroffenen bestanden hatte, indem eine Speicherung oder Weitergabe seiner Daten ausgeschlossen werden konnte. Zudem verzichtete der HBDI auf Maßnahmen nach Art. 58 Abs. 2 DSGVO, da die Sparkasse bereits Maßnahmen zur Verhinderung ähnlicher Vorfälle ergriffen und Disziplinarmaßnahmen gegen die Mitarbeiterin verhängt hatte. Die Sparkasse wurde zudem vom HBDI aufgefordert, zukünftig Zugriffsprotokolle länger als drei Monate zu speichern.
Diese Entscheidung wurde dem Betroffenen per Bescheid mitgeteilt, worauf er Klage beim VG Wiesbaden erhob. Das Gericht setzte das Verfahren aus und legte dem EuGH die Frage vor, ob eine Aufsichtsbehörde bei festgestelltem Verstoß gegen die DSGVO zwingend Maßnahmen nach Art. 58 Abs. 2 DSGVO ergreifen muss oder ein Ermessen hat, im Einzelfall von Maßnahmen abzusehen.
Geeignete Reaktion der Behörde: Die Verpflichtung der Aufsichtsbehörde bestehe nur darin, in geeigneter Weise zu reagieren, um den festgestellten Verstoß abzuhelfen. Sie könne unter Berücksichtigung der Umstände des Einzelfalls auch vom Ergreifen einer Abhilfemaßnahme absehen, wenn die festgestellte Verletzung bereits behoben und die Einhaltung der DSGVO gewährleistet sei. Der Betroffene habe daher kein subjektives Recht, dass eine Aufsichtsbehörde Maßnahmen gegen den Verantwortlichen ergreife.
Entbehrlichkeit einer Maßnahme: Eine Datenschutzaufsichtsbehörde sei nur zum Einschreiten verpflichtet, wenn dies unter Berücksichtigung aller Umstände des Einzelfalls geeignet, erforderlich und verhältnismäßig sei, um dem Verstoß abzuhelfen und eine Einhaltung der DSGVO zu gewährleisten. Vor diesem Hintergrund könne nicht ausgeschlossen werden, dass eine Aufsichtsbehörde ausnahmsweise unter Berücksichtigung aller Umstände des Einzelfalls vom Ergreifen einer Abhilfemaßnahme absehe. Dies sei vorliegend gerechtfertigt gewesen, weil der Verantwortliche durch das Ergreifen der Disziplinarmaßnahmen und die Verlängerung der Speicherdauer der Zugriffsprotokolle bereits für Abhilfe gesorgt habe.
Übereinstimmung der Datenverarbeitung mit Unionsrecht: Diese Auslegung werde durch Erwgrd. 129 der DSGVO bestätigt, wonach durch die Abhilfemaßnahmen des Art. 58 Abs. 2 sichergestellt werden solle, dass durch das Eingreifen der Aufsichtsbehörden die Verarbeitung personenbezogener Daten wieder in Einklang mit dem Unionsrecht gebracht werde. Zu verweisen sei diesbezüglich auf EuGH v. 14.3.2024 – C-46/23 – Újpesti Polgármesteri Hivatal Rz. 40, CR 2024, 310. Ein Eingreifen sei dementsprechend nicht erforderlich, wenn dem Verstoß bereits abgeholfen worden sei und der Verantwortlichen gewährleisten könne, dass die Verarbeitung wieder in Einklang mit der Verordnung stehe.
DSGVO Art. 57 Abs. 1 lit. a und f, Art. 58 Abs. 2 lit. a bis f, Art. 77 Abs. 1 und Art. 83
Das Problem
Eine Mitarbeiterin einer Sparkasse in Hessen griff wiederholt unbefugt auf die personenbezogenen Daten eines Kunden zu. Die Sparkasse meldete diesen Vorfall gem. Art. 33 DSGVO an den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI), informierte jedoch nicht den Betroffenen gem. Art. 34 DSGVO. Dieser erfuhr auf anderem Weg von dem Vorfall und beschwerte sich beim HBDI, kritisierte die nur dreimonatige Speicherung der Zugriffsprotokolle und bemängelte zu umfassende Zugriffsrechte der Mitarbeiter.Der HBDI hörte die Sparkasse an und entschied, dass kein Verstoß gegen Art. 34 DSGVO vorlag, da kein hohes Risiko für den Betroffenen bestanden hatte, indem eine Speicherung oder Weitergabe seiner Daten ausgeschlossen werden konnte. Zudem verzichtete der HBDI auf Maßnahmen nach Art. 58 Abs. 2 DSGVO, da die Sparkasse bereits Maßnahmen zur Verhinderung ähnlicher Vorfälle ergriffen und Disziplinarmaßnahmen gegen die Mitarbeiterin verhängt hatte. Die Sparkasse wurde zudem vom HBDI aufgefordert, zukünftig Zugriffsprotokolle länger als drei Monate zu speichern.
Diese Entscheidung wurde dem Betroffenen per Bescheid mitgeteilt, worauf er Klage beim VG Wiesbaden erhob. Das Gericht setzte das Verfahren aus und legte dem EuGH die Frage vor, ob eine Aufsichtsbehörde bei festgestelltem Verstoß gegen die DSGVO zwingend Maßnahmen nach Art. 58 Abs. 2 DSGVO ergreifen muss oder ein Ermessen hat, im Einzelfall von Maßnahmen abzusehen.
Die Entscheidung des Gerichts
Der EuGH entschied, dass weder aus Art. 58 Abs. 2 DSGVO noch aus Art. 83 DSGVO eine Pflicht zum Ergreifen einer Abhilfemaßnahme abgleitet werden kann.Geeignete Reaktion der Behörde: Die Verpflichtung der Aufsichtsbehörde bestehe nur darin, in geeigneter Weise zu reagieren, um den festgestellten Verstoß abzuhelfen. Sie könne unter Berücksichtigung der Umstände des Einzelfalls auch vom Ergreifen einer Abhilfemaßnahme absehen, wenn die festgestellte Verletzung bereits behoben und die Einhaltung der DSGVO gewährleistet sei. Der Betroffene habe daher kein subjektives Recht, dass eine Aufsichtsbehörde Maßnahmen gegen den Verantwortlichen ergreife.
Entbehrlichkeit einer Maßnahme: Eine Datenschutzaufsichtsbehörde sei nur zum Einschreiten verpflichtet, wenn dies unter Berücksichtigung aller Umstände des Einzelfalls geeignet, erforderlich und verhältnismäßig sei, um dem Verstoß abzuhelfen und eine Einhaltung der DSGVO zu gewährleisten. Vor diesem Hintergrund könne nicht ausgeschlossen werden, dass eine Aufsichtsbehörde ausnahmsweise unter Berücksichtigung aller Umstände des Einzelfalls vom Ergreifen einer Abhilfemaßnahme absehe. Dies sei vorliegend gerechtfertigt gewesen, weil der Verantwortliche durch das Ergreifen der Disziplinarmaßnahmen und die Verlängerung der Speicherdauer der Zugriffsprotokolle bereits für Abhilfe gesorgt habe.
Übereinstimmung der Datenverarbeitung mit Unionsrecht: Diese Auslegung werde durch Erwgrd. 129 der DSGVO bestätigt, wonach durch die Abhilfemaßnahmen des Art. 58 Abs. 2 sichergestellt werden solle, dass durch das Eingreifen der Aufsichtsbehörden die Verarbeitung personenbezogener Daten wieder in Einklang mit dem Unionsrecht gebracht werde. Zu verweisen sei diesbezüglich auf EuGH v. 14.3.2024 – C-46/23 – Újpesti Polgármesteri Hivatal Rz. 40, CR 2024, 310. Ein Eingreifen sei dementsprechend nicht erforderlich, wenn dem Verstoß bereits abgeholfen worden sei und der Verantwortlichen gewährleisten könne, dass die Verarbeitung wieder in Einklang mit der Verordnung stehe.