EuGH (1. Kammer) Urteil vom 26.9.2024 – C-768/21 (TR/Land Hessen)
Ausgangsfrage und Anträge:
Die Ausgangsfrage des vorlegenden Gerichts (VG Wiesbaden) war, ob die Datenschutz-Grundverordnung (DS-GVO) die Aufsichtsbehörde verpflichtet, bei Feststellung eines Verstoßes gegen den Schutz personenbezogener Daten stets Abhilfemaßnahmen zu ergreifen, insbesondere eine Geldbuße zu verhängen, oder ob die Behörde ein Ermessen hat, je nach den Umständen des Einzelfalls vom Erlass solcher Maßnahmen abzusehen.
TR, der Kläger, beantragte, den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) zu verpflichten, gegen die Sparkasse X Abhilfemaßnahmen zu ergreifen, da diese gegen die DS-GVO verstoßen habe.
Der konkrete Anlass für die Klage von TR war, dass eine Mitarbeiterin der Sparkasse X unbefugt auf seine personenbezogenen Daten zugegriffen hatte. TR erfuhr davon und reichte eine Beschwerde beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) ein. Er rügte, dass er nicht gemäß der DS-GVO über die Verletzung des Schutzes seiner personenbezogenen Daten benachrichtigt worden sei und kritisierte die kurze Speicherdauer der Zugriffsprotokolle sowie die umfassenden Zugriffsrechte der Sparkassenmitarbeiter. Nachdem der HBDI keine Abhilfemaßnahmen ergriff, klagte TR, um den HBDI zum Einschreiten gegen die Sparkasse zu verpflichten.
Entscheidung des EuGH:
Der EuGH entschied, dass die Aufsichtsbehörde nicht verpflichtet ist, bei Feststellung eines Verstoßes gegen den Schutz personenbezogener Daten stets eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen. Die Behörde hat ein Ermessen und muss nur dann einschreiten, wenn dies geeignet, erforderlich und verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung der DS-GVO zu gewährleisten.
Der EuGH betont, dass die DS-GVO der Aufsichtsbehörde ein Ermessen hinsichtlich der Art und Weise einräumt, wie sie auf festgestellte Verstöße reagiert (Rn. 37).
Maßnahmen müssen geeignet, erforderlich und verhältnismäßig sein, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung der DS-GVO zu gewährleisten (Rn. 33, 42).
Die Aufsichtsbehörde muss die besonderen Umstände des konkreten Falls berücksichtigen. Ein Einschreiten ist nicht erforderlich, wenn die festgestellte Verletzung bereits behoben wurde und keine fortdauernde Gefahr besteht (Rn. 43, 46).
Auswirkung für Unternehmen:
Das Urteil des EuGH hat folgende Auswirkungen auf die Haftungsrisiken von Unternehmen:
- Ermessensspielraum der Aufsichtsbehörden: Da die Aufsichtsbehörden einen Ermessensspielraum haben, wie sie auf Verstöße reagieren, bedeutet dies, dass Unternehmen nicht automatisch mit Sanktionen wie Geldbußen rechnen müssen, wenn ein Verstoß festgestellt wird. Die Behörden müssen die Geeignetheit, Erforderlichkeit und Verhältnismäßigkeit der Maßnahmen berücksichtigen (Rn. 37, 42).
- Berücksichtigung der Umstände des Einzelfalls: Unternehmen können darauf hoffen, dass die spezifischen Umstände ihres Falls berücksichtigt werden. Wenn sie nachweisen können, dass sie angemessene Maßnahmen ergriffen haben, um Verstöße zu beheben und zukünftige Verstöße zu verhindern, kann dies die Entscheidung der Aufsichtsbehörde beeinflussen (Rn. 43, 46).
- Kein automatischer Anspruch auf Geldbußen: Betroffene Personen haben keinen automatischen Anspruch darauf, dass gegen ein Unternehmen eine Geldbuße verhängt wird. Dies reduziert das Risiko, dass Unternehmen bei jedem Verstoß sofort mit hohen Geldbußen konfrontiert werden (Rn. 41).
Insgesamt bedeutet das Urteil, dass Unternehmen zwar weiterhin sorgfältig auf die Einhaltung der DS-GVO achten müssen, aber die Aufsichtsbehörden bei der Verhängung von Sanktionen einen Ermessensspielraum haben, der die spezifischen Umstände des Einzelfalls berücksichtigt. Dies kann die Haftungsrisiken für Unternehmen in bestimmten Situationen reduzieren.
Recent Comments