EuGH-Urteil vom 26.9.2024, Rechtssache C‑768/21
Sachverhalt:
In Deutschland stellte eine Sparkasse fest, dass eine Mitarbeiterin mehrmals unbefugt auf personenbezogene Daten eines Kunden zugegriffen hatte. Die Sparkasse setzte den Kunden hiervon nicht in Kenntnis, da ihr Datenschutzbeauftragter der Ansicht war, dass für diesen Kunden kein hohes Risiko bestehe. Denn die Mitarbeiterin hatte schriftlich bestätigt, dass sie die Daten weder kopiert oder gespeichert noch an Dritte übermittelt habe und dass sie dies auch zukünftig nicht tun werde. Außerdem hatte die Sparkasse gegen die Mitarbeiterin Disziplinarmaßnahmen ergriffen. Die Sparkasse meldete den Verstoß allerdings dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI).
Nachdem der Kunde „nebenbei“ von dem Vorfall Kenntnis erlangt hatte, reichte er beim HBDI gemäß Art 77 DSGVO eine Beschwerde ein. In dieser Beschwerde rügte er, dass er unter Verstoß gegen Art 34 dieser Verordnung von der Verletzung des Schutzes seiner personenbezogenen Daten nicht benachrichtigt worden sei. Ferner kritisierte er die Speicherdauer der Zugriffsprotokolle der Sparkasse, die nur drei Monate betrage, sowie die umfassenden Zugriffsrechte, über die die Mitarbeiter der Sparkasse verfügten.
Nach Anhörung der Sparkasse teilte der HBDI dem Kunden mit, dass er es nicht für erforderlich halte, gegen die Sparkasse Abhilfemaßnahmen zu ergreifen. Der Kunde erhob daraufhin Klage und beantragte, den HBDI zum Einschreiten gegen die Sparkasse zu verpflichten und insbesondere dazu, gegen die Sparkasse eine Geldbuße zu verhängen. Das Verwaltungsgericht Wiesbaden legte das Verfahren dem EuGH vor.
Entscheidung:
Der EuGH wies eingangs darauf hin, dass die DSGVO Aufsichtsbehörden ein Ermessen hinsichtlich der Art und Weise einräumt, wie sie festgestellten Unzulänglichkeit abhilft, da Art 58 DSGVO der Aufsichtsbehörde die Befugnis verleiht, verschiedene Abhilfemaßnahmen zu ergreifen. So hat der EuGH bereits entschieden, dass es der Aufsichtsbehörde obliegt, unter Berücksichtigung aller Umstände des konkreten Falles das geeignete und erforderliche Mittel zu wählen. Dieses Ermessen wird jedoch durch das Erfordernis begrenzt, durch einen klar durchsetzbaren Rechtsrahmen ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu gewährleisten.
Der Unionsgesetzgeber hat somit ein Sanktionssystem vorgesehen, das es den Aufsichtsbehörden ermöglicht, die Sanktionen zu verhängen, die je nach den Umständen des konkreten Falles am besten geeignet und gerechtfertigt sind. Somit kann weder aus Art 58 noch aus Art 83 DSGVO abgeleitet werden, dass die Aufsichtsbehörde verpflichtet wäre, in jedem Fall, wenn sie eine Verletzung des Schutzes personenbezogener Daten feststellt, eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen. Daher steht dem Beschwerdeführer, dessen Rechte verletzt wurden, kein subjektives Recht zu, dass die Aufsichtsbehörde gegen den für die Verarbeitung Verantwortlichen eine Geldbuße verhängt.
Insoweit ist nicht ausgeschlossen, dass die Aufsichtsbehörde ausnahmsweise und unter Berücksichtigung der besonderen Umstände des konkreten Falles vom Ergreifen einer Abhilfemaßnahme absehen kann, obwohl eine Verletzung des Schutzes personenbezogener Daten festgestellt wurde. Ein solcher Fall könnte dann vorliegen, wenn die festgestellte Verletzung nicht lange angedauert hat und der Verantwortliche umgehend die geeigneten und erforderlichen Maßnahmen ergriffen hat, damit die Verletzung abgestellt wird und sich nicht wiederholt.
Die Sparkasse hatte im vorliegenden Fall dem HBDI gemäß Art 33 DSGVO die Rechtsverletzung gemeldet. Außerdem gab die Sparkasse an, Disziplinarmaßnahmen gegen diese Mitarbeiterin ergriffen zu haben und die Speicherdauer der Zugriffsprotokolle überprüfen zu lassen. Infolgedessen sah der HBDI davon ab, eine Abhilfemaßnahme zu ergreifen, und insbesondere davon, eine Geldbuße zu verhängen.
Der EuGH kam schließlich zu dem Ergebnis, dass die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen, wenn ein solches Einschreiten nicht geeignet, erforderlich oder verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten.
Es ist nun Sache des deutschen Gerichts, zu prüfen, ob der Hessische Beauftragte für Datenschutz und Informationsfreiheit diese Grenzen eingehalten hat.
Weitere Blog-Beiträge zum Thema Datenschutzverletzung:
Datenschutzrecht: Herausgabe personenbezogener Daten an einen Genossenschafter