Suche
Contact
Symbolbild zu EuGH und Datenschutzbehörde: Server
30.09.2024 | KPMG Law Insights

EuGH: Datenschutzbehörde hat Ermessensspielraum bei der Ahndung von Verstößen

Datenschutzbehörden sind nicht in jedem Fall dazu verpflichtet, Abhilfemaßnahmen zu ergreifen, wenn der Schutz personenbezogener Daten nach der Datenschutzgrundverordnung (DSGVO) verletzt wird. Nach Ansicht des EuGH haben Aufsichtsbehörden auch bei einer festgestellten Datenschutzverletzung ein Ermessen, ob sie einschreiten oder nicht. Dieses Ermessen haben sie insbesondere dann, wenn die Datenschutzverletzung auch ohne ihr Einschreiten bereits abgestellt wurde und keine Wiederholungsgefahr besteht. Für Unternehmen bedeutet die EuGH-Entscheidung: Mit dem richtigen Verhalten nach der Feststellung eines Verstoßes können sie möglicherweise Sanktionen vermeiden.  

Mit Urteil vom 26. September 2024 (C-768/21) hat der EuGH entschieden, dass die DSGVO die Aufsichtsbehörden nicht dazu verpflichtet, in jedem Fall eines Datenschutzverstoßes Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO zu ergreifen. Eine Pflicht zum Einschreiten besteht nur, wenn das Einschreiten geeignet, erforderlich oder verhältnismäßig ist, um den Datenschutzverstoß abzustellen und die Einhaltung der DSGVO zu gewährleisten. Aufsichtsbehörden dürfen bei festgestellten Datenschutzverletzungen somit nicht pauschal und ohne weitere Prüfung Geldbußen verhängen.

In der EuGH-Entscheidung ging es um die Mitarbeiterin einer Sparkasse, die mehrmals unbefugt auf die personenbezogenen Daten eines Kunden zugegriffen hatte. Die Sparkasse informierte den Kunden nicht, meldete den Vorfall allerdings dem Hessischen Datenschutzbeauftragten. Außerdem hatte die Sparkasse nach eigenen Angaben gegen die Mitarbeiterin Disziplinarmaßnahmen ergriffen. Die Mitarbeiterin habe auch schriftlich bestätigt, die personenbezogenen Daten weder kopiert noch gespeichert oder an Dritte übermittelt zu haben und dies auch zukünftig nicht zu tun.

Als der betroffene Kunde von der Datenschutzverletzung erfuhr, beschwerte er sich beim Landesdatenschutzbeauftragten, der sich jedoch weigerte, Abhilfemaßnahmen gegen die Sparkasse zu ergreifen. Trotz des Zugriffs auf die Daten gebe es keinerlei Anhaltspunkte dafür, dass sie diese an Dritte weitergegeben oder zum Nachteil des Kunden verwendet hat.

Der Kunde klagte gegen den Landesdatenschutzbeauftragten beim Verwaltungsgericht Wiesbaden und beantragte, den Datenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten. Das Verwaltungsgericht wandte sich mit einem Vorabentscheidungsersuchen an den EuGH.

Der EuGH hat daraufhin entschieden, dass Aufsichtsbehörden lediglich dazu verpflichtet sind, in geeigneter Weise auf Datenschutzverletzungen zu reagieren, um der Verletzung abzuhelfen und sie abzustellen. Sie haben hierbei jedoch ein Ermessen, wie sie dies tun, und sind nicht dazu verpflichtet, eine Geldbuße zu verhängen. Sofern die Datenschutzverletzung bereits abgestellt ist, kann es daher zulässig sein, keine Maßnahmen zu ergreifen.

Unternehmen können mit geeigneten Maßnahmen Bußgelder unter Umständen vermeiden

Das Urteil des EuGH verdeutlicht, dass das Einschreiten der Aufsichtsbehörde kein Selbstzweck ist, sondern dazu dient, die Datenschutzverletzung abzustellen und zu beseitigen.

Die Entscheidung zeigt auf, wie wichtig es ist, dass Unternehmen bei Datenschutzvorfällen zügig reagieren und proaktiv geeignete Maßnahmen ergreifen. Unternehmen, denen es zeitnah gelingt, Datenschutzverletzungen abzustellen, deren Auswirkungen zu minimieren und das Risiko von erneuten Verletzungen auszuschließen, haben somit gute Chancen, Bußgelder oder andere Maßnahmen der Aufsichtsbehörden zu vermeiden. Unternehmen sollten sich daher darauf fokussieren, ihr Notfallmanagement auszubauen und Strategien für den Umgang mit Datenschutzvorfällen zu entwickeln.

 

Explore #more

07.08.2025 | KPMG Law Insights

NIS2: So müssen sich Energieversorger vor Cyberangriffen schützen

Im Juli 2025 meldete der Militärische Abschirmdienst Medienberichten zufolge einen deutlichen Anstieg von Ausspähversuchen und Störmaßnahmen durch den russischen Geheimdienst. Dass auch die deutsche Energieinfrastruktur…

06.08.2025 | KPMG Law Insights

Steueroasen: Wenn Geschäftsbeziehungen ein Strafverfahren auslösen

Ein deutsches Tech-Unternehmen zahlte seit Jahren Lizenzgebühren an einen Vertragspartner in Panama, ohne je Probleme gehabt zu haben. Nur wenige wussten jedoch, dass Panama seit

06.08.2025 | Dealmeldungen

KPMG Law, KPMG in Germany and KPMG in Switzerland advised Bureau Veritas on the acquisition of Dornier Hinneburg and its Swiss subsidiary Hinneburg Swiss

KPMG Law Rechtsanwaltsgesellschaft mbH (KPMG Law) together with KPMG AG Wirtschaftsprüfungsgesellschaft (KPMG) and KPMG AG Switzerland advised Bureau Veritas group (Bureau Veritas) on the acquisition…

05.08.2025 | Dealmeldungen

KPMG Law berät Athagoras Holding GmbH beim Erwerb der IGES Gruppe

Die KPMG Law Rechtsanwaltsgesellschaft mbH (KPMG Law) hat die Athagoras Holding GmbH, eine Plattform des Münchener PE Hauses Greenpeak Partners, bei der Akquisition der IGES…

05.08.2025 | In den Medien

Wirtschaftswoche zeichnet KPMG Law als Top Kanzlei im Vergaberecht aus

Das aktuelle Ranking des Handelsblatt Research Instituts in Kooperation mit der WirtschaftsWoche hat die Top Kanzleien sowie Top-Anwält:innen in den Rechtsgebieten „Vergaberecht“, „Umwelt- und Bauplanungsrecht“…

04.08.2025 | Dealmeldungen

KPMG Law und KPMG AG beraten NMP Germany bei dem Kauf der DESMA Schuhmaschinen GmbH

Die KPMG Law Rechtsanwaltsgesellschaft mbH (KPMG Law) hat die NMP Germany GmbH (NMP) bei dem Kauf der DESMA Schuhmaschinen GmbH (DESMA) rechtlich beraten. KPMG Law…

02.08.2025 | In den Medien

KPMG Law Experte in der Rheinischen Post zum Thema Influencer Steuerhinterziehung

Das nordrhein-westfälische Landesamt zur Bekämpfung von Finanzkriminalität (LBF NRW) wertet derzeit ein Datenpaket aus. Es soll 6000 Datensätze umfassen. Der Verdacht: Influencer sollen diese Vergütungen…

31.07.2025 | In den Medien

KPMG Law Experte im Handelsblatt: Neue EU-Verordnung betrifft 370.000 Firmen

Zum Jahresende verbietet die EU Erzeugnisse, die mit der Zerstörung von Wäldern in Verbindung stehen. Die Hoffnung vieler Importeure, die darauf gesetzt hatten, dass die…

29.07.2025 | KPMG Law Insights

Die Spar- und Investitionsunion (SIU) – das sind die Pläne der EU

In der EU fehlt an vielen Stellen Geld, unter anderem für die Infrastruktur, den Ausbau der Digitalisierung und die Verteidigung. Gleichzeitig verfügen Europäer über hohe…

28.07.2025 | Dealmeldungen

KPMG Law berät den Gesellschafter der Schubert Touristik GmbH bei der Verhandlung und Umsetzung einer strategischen Partnerschaft mit dem österreichischen Private Equity Unternehmen AG Capital

Die Schubert-Gruppe mit Hauptsitz in Aschersleben ist spezialisiert auf organisierte und begleitete Bus-, Flug- und Kreuzfahrtreisen weltweit, speziell zugeschnitten auf Senioren ab 60 Jahren. Mit…

Kontakt

Francois Heynike, LL.M. (Stellenbosch)

Partner
Leiter Technologierecht

THE SQUAIRE Am Flughafen
60549 Frankfurt am Main

Tel.: +49-69-951195770
fheynike@kpmg-law.com

Sebastian Hoegl, LL.M. (Wellington)

Senior Manager
Rechtsanwalt
Fachanwalt für IT-Recht
LL.M. (Wellington)

Heinrich-von-Stephan-Straße 23
79100 Freiburg im Breisgau

Tel.: +49 761 769999-20
shoegl@kpmg-law.com

Cathrin Feiner, LL.M.

Senior Associate

Heinrich-von-Stephan-Straße 23
79100 Freiburg im Breisgau

Tel.: +49 761 769999 57
cfeiner@kpmg-law.com

© 2025 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

Scroll