Aufsichtsbehörden für Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) sind nicht verpflichtet, im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nach Art. 58 Abs. 2 eine Abhilfemaßnahme zu ergreifen, wenn ein solches Einschreiten nicht geeignet, erforderlich oder verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung der DSGVO zu gewährleisten.
Dies hat der Gerichtshof der Europäischen Union (EuGH) mit Urteil vom 26.09.2024 - C-768/21, auf ein Vorabentscheidungsersuchen des Verwaltungsgerichts (VG) Wiesbaden entschieden. Die Vorlagefrage betraf die Auslegung von Art. 57 Abs. 1 Buchst. a und f sowie Art. 58 Abs. 2 Buchst. a bis j in Verbindung mit Art. 77 Abs. 1 DSGVO dahingehend, ob die Aufsichtsbehörde auf die Feststellung einer Verletzung gegen die Bestimmungen der DSGVO obligatorisch Abhilfemaßnahmen gemäß Art. 58 Abs. 2 DSGVO zu ergreifen hat.
Dem Verfahren liegt der folgende Sachverhalt zugrunde:
Eine Mitarbeiterin der Sparkasse hatte mehrmals unbefugt auf personenbezogene Daten eines Kunden zugegriffen. Die Sparkasse meldete dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) den Verstoß nach Art. 33 DSGVO, sah aber von einer Benachrichtigung des Kunden ab. Nachdem dieser Kenntnis hiervon erlangt hatte, reichte er beim HBDI gemäß Art. 77 DSGVO Beschwerde ein und rügte darin die unterbliebene Benachrichtigung über den Verstoß, die dreimonatige Speicherdauer der Zugriffsprotokolle der Sparkasse und die umfassenden Zugriffsrechte der Mitarbeiter der Sparkasse.
Daraufhin hörte der HBDI die Sparkasse an. Dabei trug sie vor, dass man von einer Benachrichtigung des Kunden gemäß Art. 34 DSGVO abgesehen habe, weil nach Auffassung ihres Datenschutzbeauftragten kein hohes Risiko für Rechte und Freiheiten des Kunden bestünde. Man habe nämlich Disziplinarmaßnahmen gegen die Mitarbeiterin ergriffen und sie habe schriftlich bestätigt, die Daten nicht kopiert, gespeichert oder an Dritte übermittelt zu haben und zugesagt, dies auch künftig nicht zu tun.
Der HBDI erteile dem betroffenen Kunden einen Bescheid und teilte ihm mit, dass ein Verstoß gegen Art. 34 DSGVO durch die unterbliebene Benachrichtigung nicht vorliege, weil die Beurteilung der Sparkasse, dass die Verletzung nicht mit einem hohen Risiko für seine Rechte du Freiheiten einhergehe, nicht offensichtlich falsch gewesen sei. Es lägen nämlich keine Anhaltspunkte für eine Weitergabe der Daten an Dritte oder einer anderweitigen, für ihn nachteiligen Nutzung der Daten vor. Die Sparkasse sei aufgefordert worden, die Zugriffsprotokolle länger als drei Monate zu speichern. Die Beschwerde hinsichtlich der Zugriffsrechte wies der HBDI zurück.
Der Kunde erhob Klage gegen diesen Bescheid mit dem Antrag, den HBDI zum Einschreiten gegen die Sparkasse zu verpflichten. Diese begründete er damit, dass der HBDI die Beschwerde nicht unter Berücksichtigung aller tatsächlichen Umstände bearbeitet habe. Aufgrund der verschiedenen geltend gemachten Verstöße gegen Art. 5, Art. 12 Abs. 3, Art. 15 Abs. 1 Buchst. c, Art. 33 Abs. 1 und 3 sei die Verhängung einer Geldbuße durch den HBDI gegen die Sparkasse verpflichtend gewesen, weil der Aufsichtsbehörde im Falle eines festgestellten Verstoßes kein Entschließungsermessen, sondern allenfalls noch ein Auswahlermessen in Bezug auf die Abhilfemaßnahmen zukomme.
Das VG Wiesbaden zweifelte an dieser weitgehenden Auslegung von Art. 58 Abs. 2 DSGVO als Verpflichtungsnorm und neigte dazu, der Aufsichtsbehörde in bestimmten Fällen auch bei festgestellten Verstößen ein Entschließungsermessen zuzugestehen. Allein aus der Pflicht zur sorgsamen inhaltlichen Prüfung von Beschwerden und zur Prüfung jedes Einzelfalls nach Art. 57 Abs. 1 Buchst. f DSGVO folge keine Pflicht, in jeder Situation eine Abhilfemaßnahme zu ergreifen.
Das VG hat daher beschlossen, das Verfahren auszusetzen und dem Gerichtshof die folgende Frage zur Vorabentscheidung vorzulegen:
Sind Art. 57 Abs. 1 Buchst. a und f sowie Art. 58 Abs. 2 a bis j in Verbindung mit Art. 77 Abs. 1 DSGVO dahingehend auszulegen, dass in dem Fall, dass die Aufsichtsbehörde eine Datenverarbeitung feststellt, die den Betroffenen in seinen Rechten verletzt, die Aufsichtsbehörde stets verpflichtet ist, nach Art. 58 Abs. 2 dieser Verordnung einzuschreiten?
Der EuGH hat seine Entscheidung wie folgt begründet:
Bei der Auslegung unionsrechtlicher Bestimmungen seien neben dem Wortlaut auch deren Zusammenhang und die mit dem Rechtsakt verfolgten Zwecke und Ziele zu berücksichtigen.
Aus Art. 57 Abs. 1 Buchst. f DSGVO folge, dass jede Aufsichtsbehörde sich in ihrem Hoheitsgebiet mit Beschwerden nach Art. 77 Abs. 1 DSGVO mit aller gebotenen Sorgfalt zu befassen hat und dabei den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung zu unterrichten.
Kommt die Aufsichtsbehörde bei der Untersuchung dazu, dass ein Verstoß gegen die DSGVO vorliegt, so sei sie verpflichtet, unter Berücksichtigung der Umstände des Einzelfalls in geeigneter Weise zu reagieren, um diesem abzuhelfen. Aus diesem Grund ergriffene Maßnahmen gemäß Art. 58 Abs. 2 DSGVO sollen aber – was aus dem 129. Erwägungsgrund der DSGVO hervorgehe – auch erforderlich und verhältnismäßig sein. Der Maßnahmenkatalog beinhaltet unter anderem die Möglichkeit, anstelle oder zusätzlich zu den weiteren Maßnahmen gemäß Art. 58 Abs. 2 DSGVO eine Geldbuße gemäß Art. 83 DSGVO zu verhängen. Hinsichtlich der Art und Weise, also der Wahl des Mittels, komme der Aufsichtsbehörde dabei Ermessen zu. Dieses finde seine Grenzen, wie aus den Erwägungsgründen 7 und 10 der DSGVO hervorgehe, in dem Erfordernis eines klar durchsetzbaren Rechtsrahmens zur Gewährleistung eines gleichmäßigen und hohen Schutzniveaus für personenbezogene Daten.
Eine Pflicht der Aufsichtsbehörde, in jedem Fall einer festgestellten Verletzung des Schutzes personenbezogener Daten eine Abhilfemaßnahme zu ergreifen, könne aber weder aus Art. 58 Abs. 2 DSGVO noch aus Art. 83 DSGVO abgeleitet werden. Die Pflicht bestehe darin, in geeigneter Weise zu reagieren, um den Verstößen abzuhelfen. Daraus folge kein subjektives Recht des Betroffenen, dass die Aufsichtsbehörde gegen den für die Verarbeitung Verantwortlichen eine Geldbuße verhängt.
Zum Einschreiten verpflichtet sei die Aufsichtsbehörde dagegen dann, wenn das Ergreifen einer oder mehrerer der Abhilfemaßnahmen gemäß Art. 58 Abs. 2 DSGVO unter Berücksichtigung aller Umstände des konkreten Falles geeignet, erforderlich und verhältnismäßig ist, um dem Verstoß abzuhelfen und die Einhaltung der DSGVO zu gewährleisten.
Daher könne die Aufsichtsbehörde unter Berücksichtigung aller Umstände des konkreten Falles davon absehen, Abhilfemaßnahmen zu ergreifen, zum Beispiel wenn die Verletzung nicht angedauert hat, weil der Verantwortliche nach Kenntnis von der Verletzung die geeigneten und erforderlichen Maßnahmen ergriffen hat, damit die Verletzung abgestellt wird und sich nicht wiederholt.
Diese Auslegung werde durch die mit Art. 58 Abs. 2 und Art. 83 DSGVO verfolgten Ziele bestätigt.
Insoweit folge aus dem 129. Erwägungsgrund, dass Art. 58 Abs. 2 DSGVO darauf abziele, dass Verarbeitungen personenbezogener Daten im Einklang mit den Bestimmungen der DSGVO erfolgen und Verstöße durch das Eingreifen der nationalen Aufsichtsbehörden wieder mit dem Unionsrecht in Einklang gebracht werden. Daher könne das Ergreifen einer Abhilfemaßnahme im Einzelfall nicht geboten sein, wenn dem Verstoß bereits abgeholfen wurde, die nach den Bestimmungen der DSGVO rechtmäßige Verarbeitung personenbezogener Daten sichergestellt ist und das Absehen einer Maßnahme nicht geeignet ist, das Erfordernis eines klar durchsetzbaren Rechtsrahmens zu beeinträchtigen.
Art. 83 DSGVO wiederum ziele nach dem 148. Erwägungsgrund darauf ab, die Vorschriften der DSGVO konsequenter durchzusetzen. Demnach könne aber bei geringfügigen Verstößen oder wenn die zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, auch von der Geldbuße abgesehen und stattdessen eine Verwarnung erteilt werden.
Vorliegend habe der HBDI die Beschwerde inhaltlich geprüft und den betroffenen Kunden über das Ergebnis unterrichtet. Er habe eine Verletzung der personenbezogenen Daten durch den unbefugten Zugriff der Mitarbeiterin bestätigt, die Beschwerde hinsichtlich der Zugriffsrechte zurückgewiesen und habe keinen Anlass dafür gesehen, Maßnahmen gemäß Art. 58 Abs. 2 DSGVO gegen die Sparkasse zu ergreifen.
Es sei nun Sache des VG Wiesbaden, zu prüfen, ob sich der HDBI mit aller gebotenen Sorgfalt mit der Beschwerde befasst und beim Erlass des Bescheides die Grenzen des Ermessens eingehalten hat.
Im Ergebnis urteilte der EuGH, dass Art. 57 Abs. 1 Buchst. a und f, Art. 58 Abs. 2 sowie Art. 77 Abs. 1 der DSGVO dahin auszulegen sind, dass die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, nach diesem Art. 58 Abs. 2 eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen, wenn ein solches Einschreiten nicht geeignet, erforderlich oder verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten.
"EuGH: DSGVO-Aufsichtsbehörden müssen nicht zwingend Maßnahmen ergreifen"
von Dominik Skornia, wissenschaftlicher Mitarbeiter