Erinnert sich noch jemand an den 12. September 2019? Die DSGVO war zwar noch neu, die erste Aufregung hatte sich aber gelegt und es kristallisierten sich erste praktische Erfahrung mit dem neuen Gesetz heraus. Vieles war unklar, aber manches wurde langsam klarer.
Am 12. September trafen sich ungefähr 200 Datenschutz Juristinnen und Juristen in Bremen zur 20. Herbst Akademie der Deutschen Stiftung für Recht und Informatik in prächtiger Kulisse der Junkers W33 BREMEN, die den ersten erfolgreichen Transatlantikflug absolviert hatte, in der Bremenhalle am Flughafen Bremen.
Eingeladen war auch die Bremer Landesbeauftragte für Datenschutz und Informationsfreiheit, Frau Dr. Sommer, um Bilanz zu ziehen, über die ersten 15 Monate Datenschutz-Grundverordnung.
Eine Bemerkung der LfDI ist mir besonders in Erinnerung geblieben. Frau Dr. Sommer stellte eine steile These auf, die die ganze Bremenhalle zum Raunen brachte: Datenschutzaufsichtsbehörden seien bei jedwedem Datenschutzverstoß, der zu einer aufsichtsrechtlichen Maßnahme führe, zur Verhängung von Bußgeldern verpflichtet.
Müssen Aufsichtsbehörden Bußgelder erlassen?
Ohne auf Einzelheiten einzugehen, leitete Frau Doktor Sommer ihre These aus dem Wortlaut des Art. 83 Abs. 2 Satz 1 DSGVO ab. Dort heißt es „Geldbußen werden je nach Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Art. 58 Abs. 2 Buchstaben a bis h und j verhängt“ (Fettung nicht im Original). Wortgleich auch der Wortlaut des Art. 58 Abs. 2 Buchstabe i DSGVO. Danach ist es der Behörde gestattet eine Geldbuße zu verhängen, „zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls“ (Fettung nicht im Original).
Aus den beiden Möglichkeiten ‚zusätzlich zu‘ oder ‚anstelle‘ von Maßnahmen leitete sie ab, dass unabhängig von der Schwere des Verstoßes oder der gewählten Maßnahme ein Bußgeld stets zu verhängen sei. Die Behörde habe schlicht kein Ermessen.
Abgesehen davon, dass dabei der Teil des Satzes „je nach Umständen des Einzelfalls“ unbeachtet bleibt, begab sich die LfDI mit dieser Auslegung in beklagenswerter Weise dreier wertvoller Auslegungsmöglichkeiten, die die juristische Methodenlehre für uns Juristen bereithält: der systematischen Auslegung, der historischen Auslegung und der Auslegung nach Sinn und Zweck (teleologische Auslegung).
Nein, müssen sie nicht.
Diese Selbstbeschränkung hat der EuGH nun mit Urteil vom 26.9.2024 (C -768/21) korrigiert.
Es ging um einen Datenschutz Verstoß in einer Sparkasse: Eine Mitarbeiterin hatte unbefugt auf Kundendaten zugegriffen. Die Sparkasse selbst hat diesen Vorfall gemeldet und Maßnahmen zur Abhilfe ergriffen. Der zuständige Hessische Beauftragte für Datenschutz Informationsfreiheit hielt eine Sanktion/Bußgeld in diesem Fall nicht für notwendig.
Der EuGH stellt in der Entscheidung klar, dass die Aufsichtsbehörden selbstverständlich ein Ermessen ausüben dürfen (und damit auch müssen) um ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten. Ob das Ermessen korrekt ausgeübt wurde, kann gerichtlich überprüft werden. Eingeräumtes Ermessen gar nicht auszuüben, ist aber jedenfalls unzulässig.
So erstaunlich und falsch die Auffassung der Behörde schon 2019 war, so beruhigend ist die Entscheidung des EuGH für den Schutz der Einzelfallgerechtigkeit und Ermessensausübung durch die Behörden heute.