Datenschutzbehörden sind nicht in jedem Fall dazu verpflichtet, Abhilfemaßnahmen zu ergreifen, wenn der Schutz personenbezogener Daten nach der Datenschutzgrundverordnung (DSGVO) verletzt wird. Nach Ansicht des EuGH haben Aufsichtsbehörden auch bei einer festgestellten Datenschutzverletzung ein Ermessen, ob sie einschreiten oder nicht. Dieses Ermessen haben sie insbesondere dann, wenn die Datenschutzverletzung auch ohne ihr Einschreiten bereits abgestellt wurde und keine Wiederholungsgefahr besteht. Für Unternehmen bedeutet die EuGH-Entscheidung: Mit dem richtigen Verhalten nach der Feststellung eines Verstoßes können sie möglicherweise Sanktionen vermeiden.
Mit Urteil vom 26. September 2024 (C-768/21) hat der EuGH entschieden, dass die DSGVO die Aufsichtsbehörden nicht dazu verpflichtet, in jedem Fall eines Datenschutzverstoßes Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO zu ergreifen. Eine Pflicht zum Einschreiten besteht nur, wenn das Einschreiten geeignet, erforderlich oder verhältnismäßig ist, um den Datenschutzverstoß abzustellen und die Einhaltung der DSGVO zu gewährleisten. Aufsichtsbehörden dürfen bei festgestellten Datenschutzverletzungen somit nicht pauschal und ohne weitere Prüfung Geldbußen verhängen.
In der EuGH-Entscheidung ging es um die Mitarbeiterin einer Sparkasse, die mehrmals unbefugt auf die personenbezogenen Daten eines Kunden zugegriffen hatte. Die Sparkasse informierte den Kunden nicht, meldete den Vorfall allerdings dem Hessischen Datenschutzbeauftragten. Außerdem hatte die Sparkasse nach eigenen Angaben gegen die Mitarbeiterin Disziplinarmaßnahmen ergriffen. Die Mitarbeiterin habe auch schriftlich bestätigt, die personenbezogenen Daten weder kopiert noch gespeichert oder an Dritte übermittelt zu haben und dies auch zukünftig nicht zu tun.
Als der betroffene Kunde von der Datenschutzverletzung erfuhr, beschwerte er sich beim Landesdatenschutzbeauftragten, der sich jedoch weigerte, Abhilfemaßnahmen gegen die Sparkasse zu ergreifen. Trotz des Zugriffs auf die Daten gebe es keinerlei Anhaltspunkte dafür, dass sie diese an Dritte weitergegeben oder zum Nachteil des Kunden verwendet hat.
Der Kunde klagte gegen den Landesdatenschutzbeauftragten beim Verwaltungsgericht Wiesbaden und beantragte, den Datenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten. Das Verwaltungsgericht wandte sich mit einem Vorabentscheidungsersuchen an den EuGH.
Der EuGH hat daraufhin entschieden, dass Aufsichtsbehörden lediglich dazu verpflichtet sind, in geeigneter Weise auf Datenschutzverletzungen zu reagieren, um der Verletzung abzuhelfen und sie abzustellen. Sie haben hierbei jedoch ein Ermessen, wie sie dies tun, und sind nicht dazu verpflichtet, eine Geldbuße zu verhängen. Sofern die Datenschutzverletzung bereits abgestellt ist, kann es daher zulässig sein, keine Maßnahmen zu ergreifen.
Unternehmen können mit geeigneten Maßnahmen Bußgelder unter Umständen vermeiden
Das Urteil des EuGH verdeutlicht, dass das Einschreiten der Aufsichtsbehörde kein Selbstzweck ist, sondern dazu dient, die Datenschutzverletzung abzustellen und zu beseitigen.
Die Entscheidung zeigt auf, wie wichtig es ist, dass Unternehmen bei Datenschutzvorfällen zügig reagieren und proaktiv geeignete Maßnahmen ergreifen. Unternehmen, denen es zeitnah gelingt, Datenschutzverletzungen abzustellen, deren Auswirkungen zu minimieren und das Risiko von erneuten Verletzungen auszuschließen, haben somit gute Chancen, Bußgelder oder andere Maßnahmen der Aufsichtsbehörden zu vermeiden. Unternehmen sollten sich daher darauf fokussieren, ihr Notfallmanagement auszubauen und Strategien für den Umgang mit Datenschutzvorfällen zu entwickeln.
