Datenschutzaufsichtsbehörden
Wann besteht die Pflicht, Sanktionen zu verhängen?
Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 26.09.2024 (C-768/21) entschieden, dass Aufsichtsbehörden nicht in jedem Fall verpflichtet sind, bei Datenschutzverstößen eine Abhilfemaßnahme zu ergreifen, insbesondere kein Bußgeld zu verhängen, wenn ein solches Eingreifen nicht geeignet, erforderlich oder verhältnismäßig ist, um die festgestellte Unzulänglichkeit zu beheben oder die Einhaltung der Datenschutzgrundverordnung (DSGVO) zu gewährleisten.
Welche Aufgaben und Befugnisse haben Aufsichtsbehörden in Bezug auf Datenschutzverstöße?
Nach Art. 57 Abs. 1 lit. a und lit. f DSGVO hat jede Aufsichtsbehörde die Anwendung der DSGVO zu überwachen und durchzusetzen sowie Beschwerden von Betroffenen zu untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über das Ergebnis oder den Fortgang der Untersuchung zu unterrichten.
Darüber hinaus regelt Art. 58 Abs. 2 DSGVO die Pflicht der Aufsichtsbehörden, Maßnahmen zu ergreifen, wenn diese notwendig, verhältnismäßig und geeignet sind, um eine Datenschutzverletzung zu beheben. Die DSGVO räumt den Aufsichtsbehörden die Möglichkeit ein, von der Verhängung eines Bußgeldes abzusehen, wenn andere Maßnahmen nach Art. 58 Abs. 2 DSGVO, wie Untersagung, Anordnung etc. im konkreten Fall angemessen sind. Bei der Entscheidung, ob und in welcher Höhe Sanktionen verhängt werden, steht den Aufsichtsbehörden ein gesetzlich vorgegebener Kriterienkatalog zur Verfügung, dessen Punkte bei der Entscheidung zu berücksichtigen sind. Sanktionserhöhend wirken sich unter anderem der Vorsatz des Verstoßes, das Unterlassen von Maßnahmen zur Schadensbegrenzung oder die mangelnde Kooperation mit der Aufsichtsbehörde aus. Der Bußgeldrahmen ist in Art. 83 DSGVO festgelegt.
Sind Aufsichtsbehörden generell verpflichtet Abhilfemaßnahmen zu ergreifen?
Der EuGH ist der Ansicht, dass die Aufsichtsbehörden nicht verpflichtet sind, Abhilfemaßnahmen zu ergreifen, wenn diese nicht erforderlich sind, um die festgestellte Unzulänglichkeit zu beheben oder die Einhaltung der Verordnung zu gewährleisten. Dies könnte beispielsweise der Fall sein, wenn der Verstoß nicht mehr fortbesteht und der für die Verarbeitung Verantwortliche unverzüglich die erforderlichen Maßnahmen ergreift, um die festgestellten Mängel zu beheben und eine Wiederholung zu verhindern.
Das Urteil erging im Rahmen eines Rechtsstreits über die Ablehnung von Abhilfemaßnahmen durch den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) gegenüber einer Sparkasse. Eine Mitarbeiterin der Sparkasse hatte wiederholt unerlaubt auf Daten eines Sparkassen-Kunden zugegriffen. Die Sparkasse entdeckte dies und meldete den Vorfall dem HBDI. Nachdem die Mitarbeiterin schriftlich bestätigt hatte, die Daten des Kunden weder kopiert noch gespeichert noch an Dritte weitergegeben zu haben und versicherte, dies auch in Zukunft nicht zu tun, hielt es die Sparkasse für vertretbar, den Kunden nicht über den Vorfall zu informieren. Es habe kein erhebliches Risiko für dessen Rechte und Freiheiten bestanden. Gegen die Mitarbeiterin wurden unverzüglich disziplinarische Maßnahmen eingeleitet.
Der betroffene Kunde erfuhr zufällig von dem Datenverstoß und legte beim HBDI eine Beschwerde nach Art. 77 DSGVO ein, in der er rügte, dass er nicht über die Verletzung des Schutzes seiner personenbezogenen Daten informiert worden sei. Außerdem kritisierte er die Speicherdauer der Zugriffsprotokolle durch die Sparkasse von nur drei Monaten. Der HBDI hörte die Sparkasse sowohl schriftlich als auch mündlich zu den Vorwürfen an und kam zu dem Schluss, dass die Sparkasse nicht gegen Art. 34 DSGVO – Benachrichtigung der betroffenen Person – verstoßen habe. Die Beurteilung der Sparkasse, dass die Verletzung des Schutzes personenbezogener Daten nicht mit einem hohen Risiko für die Rechte und Freiheiten des betroffenen Kunden einhergehe, sei nicht offensichtlich falsch gewesen. Auch wenn die Mitarbeiterin auf die Daten zugegriffen habe, gebe es keine Anhaltspunkte dafür, dass sie diese an Dritte weitergegeben oder zum Nachteil des Kunden verwendet habe. Darüber hinaus hatte der HBDI die Sparkasse aufgefordert, die Zugriffsprotokolle länger als drei Monate aufzubewahren.
Gegen diesen Bescheid des HBDI klagte der Kunde vor dem Verwaltungsgericht Wiesbaden und beantragte, den HBDI zu verpflichten, gegen die Sparkasse einzuschreiten. Das Verwaltungsgericht hatte Zweifel an der Richtigkeit dieser Auslegung und legte dem EuGH die Frage vor, in welchem Umfang Betroffene einen Anspruch auf Maßnahmen der Datenschutz-Aufsichtsbehörden haben.
In seinem Urteil stellt der EuGH klar, dass die DSGVO den Aufsichtsbehörden einen Ermessensspielraum einräumt, der auch auf die Gewährleistung eines hohen Schutzniveaus für personenbezogene Daten abzielt. Es obliege den Aufsichtsbehörden, unter Berücksichtigung aller Umstände des konkreten Falls das geeignete und erforderliche Mittel zu wählen. Darüber hinaus sei sie verpflichtet, ihre Aufgabe, für die umfassende Einhaltung der DSGVO zu sorgen, mit der gebotenen Sorgfalt wahrzunehmen. Dieser Ermessensspielraum wird jedoch durch das Erfordernis begrenzt, ein einheitliches und hohes Schutzniveau für personenbezogene Daten zu gewährleisten. Es obliegt dem deutschen Gericht (Verwaltungsgericht Wiesbaden) zu prüfen, ob der HBDI sein Ermessen im vorliegenden Fall richtig ausgeübt hat.
Fazit
Die Aufsichtsbehörden sind verpflichtet, für die vollständige Einhaltung der Datenschutz-Grundverordnung zu sorgen. Sie müssen Abhilfemaßnahmen ergreifen, wenn diese geeignet, erforderlich und verhältnismäßig sind, um einen datenschutzwidrigen Zustand zu beseitigen. Soweit dies jedoch nicht erforderlich ist, etwa weil ein Verstoß nicht fortdauert und nur geringfügig ist, räumt der Beschluss den Aufsichtsbehörden ein Auswahlermessen ein. Gleichzeitig bleibt es dabei, dass ein rechtsverbindlicher Beschluss der Aufsichtsbehörde über ein Einschreiten oder Nichteinschreiten inhaltlich in vollem Umfang gerichtlich überprüfbar ist.
Autorin: Rosemarie Popa