Aufsichtsbehörde muss DSGVO-Verstöße nicht automatisch bestrafen

Aufsichtsbehörden müssen bei Datenschutzverstößen nicht automatisch Geldbußen verhängen. Vielmehr steht ihnen nach der Datenschutzgrundverordnung (DSGVO) ein Ermessen zu, um Abhilfe gegen festgestellte Unzulänglichkeiten zu schaffen. Das geht aus einem aktuellen Urteil des Europäischen Gerichtshofs (EuGH) hervor (Az.: C-768/21 vom 26.09.2024).

In dem vorliegenden Fall hatte eine Sparkassenmitarbeiterin unbefugt auf Daten eines Kunden zugegriffen, ohne diesen darüber zu informieren. Der Datenschutzbeauftragte der Sparkasse konnte kein Risiko für den Kunden erkennen, weil die Mitarbeiterin die Daten weder kopiert noch gespeichert hatte. Zudem ergriff die Sparkasse Disziplinarmaßnahmen gegen die Mitarbeiterin und informierte den Landesdatenschutzbeauftragten. An ihn wandte sich auch der betroffene Kunde. Als der Landesdatenschutzbeauftragte nach Anhörung der Sparkasse ebenfalls keine weiteren Maßnahmen für erforderlich hielt, klagte der Kunde und wollte den Landesdatenschutzbeauftragten dazu verpflichten, gegen die Sparkasse eine Geldbuße zu verhängen.

Das Verwaltungsgericht Wiesbaden wies den Fall zur Klärung an den EuGH weiter. Dieser stellte nun noch einmal klar, dass eine Ahndung unterbleiben kann, wenn zeitnah nach Kenntnis des Verstoßes alle erforderlichen Maßnahmen ergriffen werden, um eine abermalige Datenschutzverletzung zu vermeiden. Das behördliche Ermessen werde „durch das Erfordernis begrenzt, durch den klar durchsetzbaren Rechtsrahmen der DSGVO ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu gewährleisten“, heißt es in der Pressemitteilung des EuGH. Ob der Landesdatenschutzbeauftragte diese Grenzen eingehalten hat, muss nun wieder das VG Wiesbaden entscheiden.

Ansprechpartner für alle Fragen des Datenschutzes und des Informationszugangs in unserer Praxis ist Rechtsanwalt Dr. Dominik Lück.

 

 

 

« zurück