DS-GVO-Verstoß: Aufsichtsbehörde muss nicht unbedingt einschreiten

Wird gegen den in der Datenschutz-Grundverordnung (DS-GVO) verbürgten Schutz personenbezogener Daten verstoßen, so heißt das nicht, dass die zuständige Aufsichtsbehörde immer eine Abhilfemaßnahme ergreifen und insbesondere eine Geldbuße verhängen muss. Laut Europäischem Gerichtshof (EuGH) kann die Aufsichtsbehörde hiervon absehen, wenn der Verantwortliche bereits von sich aus die erforderlichen Maßnahmen ergriffen hat.

In Deutschland stellte eine Sparkasse fest, dass eine Mitarbeiterin mehrmals unbefugt auf personenbezogene Daten eines Kunden zugegriffen hatte. Die Sparkasse setzte den Kunden hiervon nicht in Kenntnis, da ihr Datenschutzbeauftragter der Ansicht war, dass für diesen Kunden kein hohes Risiko bestehe. Denn die Mitarbeiterin hatte schriftlich bestätigt, dass sie die Daten weder kopiert oder gespeichert noch an Dritte übermittelt habe und dass sie dies auch zukünftig nicht tun werde.

Außerdem hatte die Sparkasse gegen die Mitarbeiterin Disziplinarmaßnahmen ergriffen. Gleichwohl meldete die Sparkasse diesen Verstoß dem Landesdatenschutzbeauftragten. Nachdem der Kunde nebenbei von diesem Vorfall Kenntnis erlangt hatte, reichte er bei dem Landesdatenschutzbeauftragten eine Beschwerde ein. Nach Anhörung der Sparkasse teilte dieser dem Kunden mit, dass er es nicht für erforderlich halte, gegen die Sparkasse Abhilfemaßnahmen zu ergreifen.

Der Kunde klagte daraufhin bei einem deutschen Gericht und beantragte, den Landesdatenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten und insbesondere dazu, gegen die Sparkasse eine Geldbuße zu verhängen.

Das deutsche Gericht hat den EuGH ersucht, die DS-GVO im Hinblick auf diese Fragestellung auszulegen.

Der EuGH antwortet, dass die Aufsichtsbehörde (hier also der Landesdatenschutzbeauftragte) im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen, wenn dies nicht erforderlich ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung der DS-GVO zu gewährleisten.

Ein solcher Fall kann aus Sicht des EuGH unter anderem dann vorliegen, wenn der für die Verarbeitung Verantwortliche, sobald er von der Verletzung Kenntnis erlangt hat, die erforderlichen Maßnahmen ergriffen hat, damit die Verletzung abgestellt wird und sich nicht wiederholt. Die DS-GVO räume der Aufsichtsbehörde ein Ermessen hinsichtlich der Art und Weise ein, wie sie der festgestellten Unzulänglichkeit abhilft. Dieses Ermessen werde durch das Erfordernis begrenzt, durch den klar durchsetzbaren Rechtsrahmen der DS-GVO ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu gewährleisten.

Es sei nun Sache des deutschen Gerichts, zu prüfen, ob der Landesdatenschutzbeauftragte diese Grenzen eingehalten hat.

Gerichtshof der Europäischen Union, Urteil vom 26.09.2024, C-768/21