[et_pb_section fb_built=“1″ _builder_version=“4.27.0″ _module_preset=“default“ global_colors_info=“{}“][et_pb_row _builder_version=“4.27.0″ _module_preset=“default“ global_colors_info=“{}“][et_pb_column type=“4_4″ _builder_version=“4.27.0″ _module_preset=“default“ global_colors_info=“{}“][et_pb_text _builder_version=“4.27.0″ _module_preset=“default“ hover_enabled=“0″ global_colors_info=“{}“ sticky_enabled=“0″]<\/p>\n
EuGH-Urteil vom 26.9.2024, Rechtssache C\u2011768\/21<\/p>\n
<\/p>\n
Sachverhalt:<\/strong><\/p>\n In Deutschland stellte eine Sparkasse fest, dass eine Mitarbeiterin mehrmals unbefugt auf personenbezogene Daten eines Kunden zugegriffen<\/strong> hatte. Die Sparkasse setzte den Kunden hiervon nicht in Kenntnis, da ihr Datenschutzbeauftragter der Ansicht war, dass f\u00fcr diesen Kunden kein hohes Risiko bestehe. Denn die Mitarbeiterin hatte schriftlich best\u00e4tigt, dass sie die Daten weder kopiert oder gespeichert noch an Dritte \u00fcbermittelt habe und dass sie dies auch zuk\u00fcnftig nicht tun werde. Au\u00dferdem hatte die Sparkasse gegen die Mitarbeiterin Disziplinarma\u00dfnahmen ergriffen. Die Sparkasse meldete den Versto\u00df allerdings dem Hessischen Beauftragten f\u00fcr Datenschutz und Informationsfreiheit (HBDI).<\/p>\n Nachdem der Kunde \u201enebenbei\u201c von dem Vorfall Kenntnis erlangt hatte, reichte er beim HBDI gem\u00e4\u00df Art\u00a077 DSGVO eine Beschwerde ein. In dieser Beschwerde r\u00fcgte er, dass er unter Versto\u00df gegen Art\u00a034 dieser Verordnung von der Verletzung des Schutzes seiner personenbezogenen Daten nicht benachrichtigt worden sei. Ferner kritisierte er die Speicherdauer der Zugriffsprotokolle der Sparkasse, die nur drei Monate betrage, sowie die umfassenden Zugriffsrechte, \u00fcber die die Mitarbeiter der Sparkasse verf\u00fcgten.<\/p>\n Nach Anh\u00f6rung der Sparkasse teilte der HBDI dem Kunden mit, dass er es nicht f\u00fcr erforderlich halte, gegen die Sparkasse Abhilfema\u00dfnahmen zu ergreifen. Der Kunde erhob daraufhin Klage und beantragte, den HBDI zum Einschreiten gegen die Sparkasse zu verpflichten und insbesondere dazu, gegen die Sparkasse eine Geldbu\u00dfe zu verh\u00e4ngen. Das Verwaltungsgericht Wiesbaden legte das Verfahren dem EuGH vor.<\/p>\n <\/p>\n Entscheidung:<\/strong><\/p>\n Der EuGH wies eingangs darauf hin, dass die DSGVO Aufsichtsbeh\u00f6rden ein Ermessen hinsichtlich der Art und Weise einr\u00e4umt, wie sie festgestellten Unzul\u00e4nglichkeit abhilft<\/strong>, da Art\u00a058 DSGVO der Aufsichtsbeh\u00f6rde die Befugnis verleiht, verschiedene Abhilfema\u00dfnahmen zu ergreifen. So hat der EuGH bereits entschieden, dass es der Aufsichtsbeh\u00f6rde obliegt, unter Ber\u00fccksichtigung aller Umst\u00e4nde des konkreten Falles das geeignete und erforderliche Mittel zu w\u00e4hlen<\/strong>. Dieses Ermessen wird jedoch durch das Erfordernis begrenzt, durch einen klar durchsetzbaren Rechtsrahmen ein gleichm\u00e4\u00dfiges und hohes Schutzniveau f\u00fcr personenbezogene Daten zu gew\u00e4hrleisten.<\/p>\n Der Unionsgesetzgeber hat somit ein Sanktionssystem vorgesehen, das es den Aufsichtsbeh\u00f6rden erm\u00f6glicht, die Sanktionen zu verh\u00e4ngen, die je nach den Umst\u00e4nden des konkreten Falles am besten geeignet und gerechtfertigt sind. Somit kann weder aus Art\u00a058 noch aus Art\u00a083 DSGVO abgeleitet werden, dass die Aufsichtsbeh\u00f6rde verpflichtet w\u00e4re<\/strong>, in jedem Fall, wenn sie eine Verletzung des Schutzes personenbezogener Daten feststellt, eine Abhilfema\u00dfnahme zu ergreifen, insbesondere eine Geldbu\u00dfe zu verh\u00e4ngen. Daher steht dem Beschwerdef\u00fchrer, dessen Rechte verletzt wurden, kein subjektives Recht zu, dass die Aufsichtsbeh\u00f6rde gegen den f\u00fcr die Verarbeitung Verantwortlichen eine Geldbu\u00dfe verh\u00e4ngt<\/strong>.<\/p>\n Insoweit ist nicht ausgeschlossen, dass die Aufsichtsbeh\u00f6rde ausnahmsweise und unter Ber\u00fccksichtigung der besonderen Umst\u00e4nde des konkreten Falles vom Ergreifen einer Abhilfema\u00dfnahme absehen kann<\/strong>, obwohl eine Verletzung des Schutzes personenbezogener Daten<\/strong> festgestellt<\/strong> wurde. Ein solcher Fall k\u00f6nnte dann vorliegen, wenn die festgestellte Verletzung nicht lange angedauert hat und der Verantwortliche umgehend die geeigneten und erforderlichen Ma\u00dfnahmen ergriffen hat, damit die Verletzung abgestellt wird und sich nicht wiederholt.<\/p>\n Die Sparkasse hatte im vorliegenden Fall dem HBDI\u00a0gem\u00e4\u00df Art\u00a033 DSGVO die Rechtsverletzung gemeldet. Au\u00dferdem gab die Sparkasse an, Disziplinarma\u00dfnahmen gegen diese Mitarbeiterin ergriffen zu haben und die Speicherdauer der Zugriffsprotokolle \u00fcberpr\u00fcfen zu lassen. Infolgedessen sah der HBDI davon ab, eine Abhilfema\u00dfnahme zu ergreifen, und insbesondere davon, eine Geldbu\u00dfe zu verh\u00e4ngen.<\/p>\n Der EuGH kam schlie\u00dflich zu dem Ergebnis, dass die Aufsichtsbeh\u00f6rde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, eine Abhilfema\u00dfnahme zu ergreifen, insbesondere eine Geldbu\u00dfe zu verh\u00e4ngen, wenn ein solches Einschreiten nicht geeignet, erforderlich oder verh\u00e4ltnism\u00e4\u00dfig ist, um der festgestellten Unzul\u00e4nglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gew\u00e4hrleisten.<\/strong><\/p>\n Es ist nun Sache des deutschen Gerichts, zu pr\u00fcfen, ob der Hessische Beauftragte f\u00fcr Datenschutz und Informationsfreiheit\u00a0diese Grenzen eingehalten hat.<\/p>\n <\/p>\n Link zur Entscheidung<\/a><\/p>\n Link zur Pressemitteilung<\/a><\/p>\n <\/p>\n Weitere Blog-Beitr\u00e4ge zum Thema Datenschutzverletzung:<\/strong><\/p>\n EuGH: Verbandsklagen bei Datenschutzverst\u00f6\u00dfen m\u00f6glich, wenn bei Datenverarbeitung DSGVO-Informationspflichten verletzt wurden.<\/a><\/p>\n EuGH zum immateriellen DSGVO-Schadensersatz: \u201eVerlust der Kontrolle\u201c \u00fcber personenbezogene Daten ist Schaden. Keine Straf- sondern Ausgleichsfunktion.<\/a><\/p>\n EuGH: Keine Bagatellgrenze f\u00fcr immateriellen Schaden infolge DSGVO-Versto\u00df. Jedoch Nachweis erforderlich, dass immaterieller Schaden tats\u00e4chlich entstanden ist.<\/a><\/p>\n EuGH: Datenschutzverletzung allein begr\u00fcndet nicht Unangemessenheit von Sicherheitsma\u00dfnahmen. Bef\u00fcrchtung eines Datenmissbrauchs kann immateriellen Schaden darstellen.<\/a><\/p>\n EuGH zu DSGVO-Geldbu\u00dfen: Versto\u00df muss schuldhaft begangen worden sein. H\u00f6he richtet sich nach weltweitem Jahresumsatz.<\/a><\/p>\n EuGH: DSGVO gew\u00e4hrt Recht auf Auskunft \u00fcber Zeitpunkt und Grund f\u00fcr Abfrage personenbezogener Daten. Jedoch zumeist keine Auskunft \u00fcber konkreten Arbeitnehmer, der die Abfrage vornimmt.<\/a><\/p>\n EuGH: Datenschutzbeh\u00f6rde kann auch ohne Antrag betroffener Personen die L\u00f6schung unrechtm\u00e4\u00dfig verarbeiteter Daten anordnen.<\/a><\/p>\n Politische Partei ver\u00f6ffentlicht Stand-Bild von Live-Stream auf Facebook: DSGVO-Versto\u00df. Anspr\u00fcche auf L\u00f6schung, Unterlassung und Schadenersatz.<\/a><\/p>\n EuGH zu \u201eReal Time Bidding\u201c: In Zeichenketten gespeicherte Nutzerpr\u00e4ferenzen sind personenbezogene Daten iSd DSGVO.<\/a><\/p>\n EuGH: DSGVO gew\u00e4hrt Recht auf Auskunft \u00fcber Zeitpunkt und Grund f\u00fcr Abfrage personenbezogener Daten. Jedoch zumeist keine Auskunft \u00fcber konkreten Arbeitnehmer, der die Abfrage vornimmt.<\/a><\/p>\n EuGH: Recht auf \u201eKopie\u201c von verarbeiteten personenbezogenen Daten = Ausfolgung originalgetreuer und verst\u00e4ndlicher Reproduktion aller dieser Daten.<\/a><\/p>\n EuGH: Versch\u00e4rfte Auskunftspflicht bei Weitergabe personenbezogener Daten. Identit\u00e4t der Empf\u00e4nger mitzuteilen.<\/a><\/p>\n