EuGH: Betroffener einer Datenschutzverletzung hat keinen Anspruch gegen datenschutzrechtliche Aufsichtsbehörde auf Verhängung einer Geldbuße oder sonstiger Abhilfemaßnahmen
EuGH
Urteil vom 26.08.2024
C-768/21
Land Hessen (Handlungspflicht der Datenschutzbehörde)
Der EuGH hat entschieden, dass der Betroffene einer Datenschutzverletzung keinen Anspruch gegen die datenschutzrechtliche Aufsichtsbehörde auf Verhängung einer Geldbuße oder sonstiger Abhilfemaßnahmen hat.
Tenor der Entscheidung:
Art. 57 Abs. 1 Buchst. a und f, Art. 58 Abs. 2 sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
sind dahin auszulegen, dass
die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, nach diesem Art. 58 Abs. 2 eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen, wenn ein solches Einschreiten nicht geeignet, erforderlich oder verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten.
Die Pressemitteilung des EuGH:
Schutz personenbezogener Daten: Die Aufsichtsbehörde ist nicht verpflichtet, in jedem Fall eines Verstoßes eine Abhilfemaßnahme zu ergreifen und insbesondere eine Geldbuße zu verhängen
Sie kann davon absehen, wenn der Verantwortliche bereits von sich aus die erforderlichen Maßnahmen ergriffen hat
In Deutschland stellte eine Sparkasse fest, dass eine Mitarbeiterin mehrmals unbefugt auf personenbezogene Daten eines Kunden zugegriffen hatte. Die Sparkasse setzte den Kunden hiervon nicht in Kenntnis, da ihr Datenschutzbeauftragter der Ansicht war, dass für diesen Kunden kein hohes Risiko bestehe. Denn die Mitarbeiterin hatte schriftlich bestätigt, dass sie die Daten weder kopiert oder gespeichert noch an Dritte übermittelt habe und dass sie dies auch zukünftig nicht tun werde. Außerdem hatte die Sparkasse gegen die Mitarbeiterin Disziplinarmaßnahmen ergriffen. Gleichwohl meldete die Sparkasse diesen Verstoß dem Landesdatenschutzbeauftragten.
Nachdem der Kunde nebenbei von diesem Vorfall Kenntnis erlangt hatte, reichte er bei dem Landesdatenschutzbeauftragten eine Beschwerde ein. Nach Anhörung der Sparkasse teilte der Landesdatenschutzbeauftragte dem Kunden mit, dass er es nicht für erforderlich halte, gegen die Sparkasse Abhilfemaßnahmen zu ergreifen.
Der Kunde erhob daraufhin Klage bei einem deutschen Gericht und beantragte, den Landesdatenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten und insbesondere dazu, gegen die Sparkasse eine Geldbuße zu verhängen.
Das deutsche Gericht hat den Gerichtshof ersucht, die Datenschutz-Grundverordnung (DSGVO) im Hinblick auf diese Fragestellung auszulegen.
In seinem Urteil antwortet der Gerichtshof, dass die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, eine Abhilfemaßnahme zu ergreifen , insbesondere eine Geldbuße zu verhängen, wenn dies nicht erforderlich ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung der DSGVO zu gewährleisten. Ein solcher Fall könnte u. a. dann vorliegen, wenn der für die Verarbeitung Verantwortliche, sobald er von der Verletzung Kenntnis erlangt hat, die erforderlichen Maßnahmen ergriffen hat, damit die Verletzung abgestellt wird und sich nicht wiederholt.
Die DSGVO räumt der Aufsichtsbehörde ein Ermessen hinsichtlich der Art und Weise ein, wie sie der festgestellten Unzulänglichkeit abhilft.
Dieses Ermessen wird durch das Erfordernis begrenzt, durch den klar durchsetzbaren Rechtsrahmen der DSGVO ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu gewährleisten.
Es ist Sache des deutschen Gerichts, zu prüfen, ob der Landesdatenschutzbeauftragte diese Grenzen eingehalten hat
Den Volltext der Entscheidung finden Sie hier:
Urteil vom 26.08.2024
C-768/21
Land Hessen (Handlungspflicht der Datenschutzbehörde)
Der EuGH hat entschieden, dass der Betroffene einer Datenschutzverletzung keinen Anspruch gegen die datenschutzrechtliche Aufsichtsbehörde auf Verhängung einer Geldbuße oder sonstiger Abhilfemaßnahmen hat.
Tenor der Entscheidung:
Art. 57 Abs. 1 Buchst. a und f, Art. 58 Abs. 2 sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
sind dahin auszulegen, dass
die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, nach diesem Art. 58 Abs. 2 eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen, wenn ein solches Einschreiten nicht geeignet, erforderlich oder verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten.
Die Pressemitteilung des EuGH:
Schutz personenbezogener Daten: Die Aufsichtsbehörde ist nicht verpflichtet, in jedem Fall eines Verstoßes eine Abhilfemaßnahme zu ergreifen und insbesondere eine Geldbuße zu verhängen
Sie kann davon absehen, wenn der Verantwortliche bereits von sich aus die erforderlichen Maßnahmen ergriffen hat
In Deutschland stellte eine Sparkasse fest, dass eine Mitarbeiterin mehrmals unbefugt auf personenbezogene Daten eines Kunden zugegriffen hatte. Die Sparkasse setzte den Kunden hiervon nicht in Kenntnis, da ihr Datenschutzbeauftragter der Ansicht war, dass für diesen Kunden kein hohes Risiko bestehe. Denn die Mitarbeiterin hatte schriftlich bestätigt, dass sie die Daten weder kopiert oder gespeichert noch an Dritte übermittelt habe und dass sie dies auch zukünftig nicht tun werde. Außerdem hatte die Sparkasse gegen die Mitarbeiterin Disziplinarmaßnahmen ergriffen. Gleichwohl meldete die Sparkasse diesen Verstoß dem Landesdatenschutzbeauftragten.
Nachdem der Kunde nebenbei von diesem Vorfall Kenntnis erlangt hatte, reichte er bei dem Landesdatenschutzbeauftragten eine Beschwerde ein. Nach Anhörung der Sparkasse teilte der Landesdatenschutzbeauftragte dem Kunden mit, dass er es nicht für erforderlich halte, gegen die Sparkasse Abhilfemaßnahmen zu ergreifen.
Der Kunde erhob daraufhin Klage bei einem deutschen Gericht und beantragte, den Landesdatenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten und insbesondere dazu, gegen die Sparkasse eine Geldbuße zu verhängen.
Das deutsche Gericht hat den Gerichtshof ersucht, die Datenschutz-Grundverordnung (DSGVO) im Hinblick auf diese Fragestellung auszulegen.
In seinem Urteil antwortet der Gerichtshof, dass die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, eine Abhilfemaßnahme zu ergreifen , insbesondere eine Geldbuße zu verhängen, wenn dies nicht erforderlich ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung der DSGVO zu gewährleisten. Ein solcher Fall könnte u. a. dann vorliegen, wenn der für die Verarbeitung Verantwortliche, sobald er von der Verletzung Kenntnis erlangt hat, die erforderlichen Maßnahmen ergriffen hat, damit die Verletzung abgestellt wird und sich nicht wiederholt.
Die DSGVO räumt der Aufsichtsbehörde ein Ermessen hinsichtlich der Art und Weise ein, wie sie der festgestellten Unzulänglichkeit abhilft.
Dieses Ermessen wird durch das Erfordernis begrenzt, durch den klar durchsetzbaren Rechtsrahmen der DSGVO ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu gewährleisten.
Es ist Sache des deutschen Gerichts, zu prüfen, ob der Landesdatenschutzbeauftragte diese Grenzen eingehalten hat
Den Volltext der Entscheidung finden Sie hier: