Am 26. September 2024 fällte der Europäische Gerichtshof (EuGH) ein bedeutendes Urteil (C-768/21) zur Rolle von Datenschutzbehörden in der Durchsetzung der DSGVO. Das Urteil macht deutlich, dass Aufsichtsbehörden nicht in jedem Fall eines DSGVO-Verstoßes eine Abhilfemaßnahme ergreifen oder gar eine Geldbuße verhängen müssen. Vielmehr haben sie einen Ermessensspielraum, der berücksichtigt, ob das Unternehmen von sich aus geeignete Maßnahmen ergriffen hat.
Der Fall: Sparkasse und Datenzugriff
Im Ausgangsfall ging es um die Beschwerde eines Sparkassenkunden in Deutschland. Er bemängelte, dass die Sparkasse seine personenbezogenen Daten ohne seine ausdrückliche Zustimmung an einen Dritten weitergegeben haben soll. Diese Datenübermittlung wurde von dem Kunden als rechtswidrig angesehen, weshalb er die zuständige Datenschutzbehörde – den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) – dazu aufforderte, gegen die Sparkasse vorzugehen.
Der HBDI lehnte es jedoch ab, Sanktionen zu verhängen oder Maßnahmen gegen die Sparkasse einzuleiten. Begründet wurde dies mit der Argumentation, dass es sich um einen Einzelfall handle und keine systematischen Verstöße vorlägen, die ein Eingreifen der Behörde erforderlich machen würden. Zudem habe die Sparkasse schnell und wirksam auf den Verstoß reagiert. Die Mitarbeiterin bestätigte, dass sie lediglich unbefugten Zugriff auf die Daten gehabt habe, und die Sparkasse leitete sofort Disziplinarmaßnahmen ein. Es soll auch keinerlei Anhaltspunkte dafür gegeben haben, dass sie die Daten an Dritte weitergegeben oder zum Nachteil des Betroffenen verwendet hat.
Der Fall gelangte daraufhin vor die deutschen Gerichte, welche die Frage der Verpflichtung der Datenschutzbehörde zur Einleitung von Maßnahmen an den EuGH vorlegten.
Entscheidung des EuGH: Ermessensspielraum der Datenschutzbehörden
Das Urteil betont, dass Datenschutzbehörden keine automatische Handlungspflicht haben, sobald ein Verstoß gegen die DSGVO festgestellt wird. Art. 58 DSGVO gibt den Aufsichtsbehörden vielmehr einen Ermessensspielraum, insbesondere im Hinblick auf die Verhältnismäßigkeit und Notwendigkeit der Maßnahmen. Wenn ein Unternehmen nachweislich geeignete Schritte unternommen hat, um den Datenschutzverstoß zu beheben und zukünftige Verstöße zu verhindern, kann die Behörde von Sanktionen absehen.
Ein zentraler Punkt des Urteils ist, dass die Aufsichtsbehörden im Einzelfall bewerten müssen, ob eine Abhilfemaßnahme – insbesondere eine Geldbuße – notwendig ist, um die vollständige Einhaltung der DSGVO sicherzustellen. Geldbußen oder andere Abhilfemaßnahmen müssen also verhältnismäßig sein und dürfen nicht willkürlich verhängt werden.
Allerdings macht der EuGH hierbei auch deutlich, dass dieses Ermessen durch das Erfordernis begrenzt wird, durch einen klar durchsetzbaren Rechtsrahmen ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu gewährleisten. Entscheidend seien in jedem Fall dei Umstände des Einzelfalls.
Die Aufsichtsbehörde ist jedoch verpflichtet, Maßnahmen nach Art. 58 Abs. 2 DSGVO zu ergreifen, wenn diese notwendig, verhältnismäßig und geeignet sind, um einen Datenschutzverstoß zu beheben. Laut EuGH können aber beispielsweise Ausnahmen bestehen, wenn die Verletzung nicht andauerte und der Verantwortliche geeignete technische und organisatorische Maßnahmen nach Art. 24 DSGVO umgesetzt hat. Hat das Unternehmen nach Kenntnis des Verstoßes schnell gehandelt, um die Verletzung zu beheben und zukünftige Vorfälle zu verhindern, kann die Behörde von Sanktionen absehen.
Bedeutung für Unternehmen: Vorbeugung durch strukturiertes Datenschutzmanagement
Dieses Urteil unterstreicht die Verantwortung von Unternehmen, schnell und angemessen auf Datenschutzverstöße zu reagieren. Unternehmen, die frühzeitig Maßnahmen ergreifen, um Verstöße zu beheben und sicherzustellen, dass diese nicht wiederholt werden, haben bessere Chancen, einer Geldbuße zu entgehen. Dies setzt jedoch voraus, dass sie gut vorbereitet sind, insbesondere in Bezug auf:
- Datenpannenmanagement: Unternehmen sollten klare Prozesse haben, wie sie auf Datenschutzverletzungen reagieren und diese den Aufsichtsbehörden melden.
- Betroffenenanfragen: Schnelle und transparente Reaktionen auf Anfragen von betroffenen Personen können dazu beitragen, Verstöße zu entschärfen und den Aufwand für Behörden zu minimieren.
- Interne Schulungen: Regelmäßige Schulungen zum Datenschutz für Mitarbeiter verringern das Risiko von Verstößen erheblich.
Für Unternehmen ist es wichtig, dass sie sich nicht darauf verlassen können, dass Datenschutzbehörden in jedem Fall mildere Maßnahmen ergreifen werden. Nur wenn ein Unternehmen nachweislich alles Erforderliche unternimmt, um Verstöße zu beheben und zukünftige Vorfälle zu verhindern, können Sanktionen abgewendet werden. Dies verlangt eine umfassende Datenschutzstrategie, die sich auf Prävention, schnelle Reaktion und die kontinuierliche Überwachung von Datenschutzmaßnahmen stützt. Hierfür ist in der Regel die Unterstützung durch einen Datenschutzbeauftragten und die Implementierung eine Datenschutzmangementsystems (DSMS) unerlässlich.
Stellungnahme des Hessischen Datenschutzbeauftragten
Der Hessische Datenschutzbeauftragte hebt in seiner Pressemitteilung hervor, dass das Urteil des EuGH den Datenschutzbehörden ermöglicht, bei der Durchsetzung der DSGVO mit Augenmaß vorzugehen. Insbesondere wird die Berücksichtigung konstruktiver Maßnahmen der Verantwortlichen betont, was Unternehmen motiviert, Datenschutzvorgaben aktiv zu überwachen und Verstöße schnell zu beheben. Diese Flexibilität ermöglicht es den Behörden, individuell auf Verstöße zu reagieren.
Fazit
Das EuGH-Urteil stellt klar, dass Datenschutzbehörden bei der Verhängung von Maßnahmen Ermessensspielraum haben. Bußgelder sind nicht in jedem Fall notwendig, insbesondere dann nicht, wenn Unternehmen selbstständig und wirksam auf Verstöße reagieren. Allerdings handelt es sich hierbei um eine Ausnahme und nicht die Regel. Unternehmen müssen sicherstellen, dass sie auf Verstöße schnell reagieren und ihre Pflichten nach der DSGVO einhalten. Nur dann können sie unter bestimmten Umständen schwerwiegende Sanktionen vermeiden.
- Erstes KI-Urteil in Deutschland: LG Hamburg entscheidet im Urheberrechtsstreit um KI-Trainingsdaten - 9. Oktober 2024
- EuGH: Datenschutzbehörden müssen nicht in jedem Fall Bußgelder verhängen - 26. September 2024
- Fristlose Kündigung wegen Weiterleitung dienstlicher E-Mails an private E-Mail-Adresse - 23. September 2024