11.04.2024

Müssen Datenschutzbeauftragte bei festgestellten Verstößen einschreiten?

Die für Datenschutz zuständige Aufsichtsbehörde ist zum Einschreiten verpflichtet, wenn sie bei der Prüfung einer Beschwerde einen Verstoß feststellt. Die Entscheidung über die zu ergreifende Abhilfemaßnahme hängt jedoch von den konkreten Umständen des jeweiligen Einzelfalls ab.

EuGH, C-768/21: Schlussanträge des Generalanwalts vom 11.4.2024
Der Sachverhalt:
Ein Kunde einer Sparkasse ersuchte den Hessischen Beauftragten für Datenschutz und Informationsfreiheit, gegen die Sparkasse wegen einer Verletzung des Schutzes seiner personenbezogenen Daten einzuschreiten. Eine Mitarbeiterin der Sparkasse hatte mehrmals unbefugt auf seine Daten zugegriffen.

Der Datenschutzbeauftragte stellte eine Verletzung des in der DSGVO vorgesehenen Datenschutzes fest. Er kam jedoch zu dem Ergebnis, dass ein Einschreiten gegen die Sparkasse nicht geboten sei, da diese gegen die betreffende Mitarbeiterin bereits Disziplinarmaßnahmen ergriffen habe. Der Kunde geht gerichtlich gegen diese Weigerung vor und beantragt, den Datenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten. Er macht u.a. geltend, dass der Datenschutzbeauftragte gegen die Sparkasse Bußgelder hätte verhängen müssen.

Das VG hat das Verfahren ausgesetzt und dem EuGH folgende Frage zur Vorabentscheidung vorgelegt: Sind Art. 57 Abs. 1 Buchst. a und f sowie Art. 58 Abs. 2 Buchst. a bis j i.Vm. Art. 77 Abs. 1 DSGVO dahin auszulegen, dass in dem Fall, dass die Aufsichtsbehörde eine Datenverarbeitung feststellt, die den Betroffenen in seinen Rechten verletzt, die Aufsichtsbehörde stets verpflichtet ist, nach Art. 58 Abs. 2 DSGVO einzuschreiten?

Die Gründe:
Die Aufsichtsbehörde ist zum Einschreiten verpflichtet, wenn sie bei der Prüfung einer Beschwerde eine Verletzung des Schutzes personenbezogener Daten feststellt. Insbesondere hat sie die Abhilfemaßnahmen zu ermitteln, die zur Behebung des Verstoßes und zur Durchsetzung der Rechte der betroffenen Person am besten geeignet sind.

Die DSGVO räumt der Aufsichtsbehörde in diesem Zusammenhang zwar ein gewisses Ermessen ein, verlangt jedoch, dass die Maßnahmen geeignet, erforderlich und verhältnismäßig sind. Daraus ergibt sich zum einen, dass das Ermessen bei der Wahl der Mittel beschränkt ist, wenn der erforderliche Schutz nur durch ganz bestimmte Maßnahmen gewährleistet werden kann. Zum anderen darf die Aufsichtsbehörde unter bestimmten Voraussetzungen auf die Maßnahmen nach der DSGVO verzichten, wenn dies durch die besonderen Umstände des Einzelfalls gerechtfertigt ist.

Dies kann insbesondere dann der Fall sein, wenn der Verantwortliche bestimmte Maßnahmen aus eigener Initiative ergriffen hat. Jedenfalls hat die betroffene Person keinen Anspruch auf Erlass einer bestimmten Maßnahme. Es sei denn, das Ermessen ist je nach den besonderen Umständen des Einzelfalls auf den Erlass der geeigneten Maßnahme beschränkt. Ein subjektives Recht der betroffenen Person auf Verhängung einer Geldbuße aufgrund des mit dieser verfolgten Strafzwecks ist indes kategorisch auszuschließen. Diese Grundsätze gälten auch für die Geldbußenregelung.

Mehr zum Thema:

Beratermodul Datenschutzrecht:

Die perfekte Online-Ausstattung für das Datenschutzrecht (DSGVO/BDSG). Jetzt mit Top-Inhalten zum Datenschutzrecht aus dem C.F. Müller Verlag. Hier das informative Rezensions- und Anwendungsvideo von RA Michael Rohrlich und Marc Oliver Thoma ansehen! Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!
EuGH PM Nr. 63 vom 11.4.2024
Zurück