Das Motto „Fair Play“ gilt nicht nur im Sport, sondern auch im Datenschutz. Agiert ein Spieler entgegen der Spielregeln, wird das vom Schiedsrichter mit einer Verwarnung oder (schlimmstenfalls) mit einem Platzverweis bestraft. So ähnlich läuft es auch im Datenschutz ab. Verstößt jemand gegen die datenschutzrechtlichen Vorschriften, schreitet i. d. R. die Aufsichtsbehörde ein. Doch muss die Aufsichtsbehörde – wie ein Schiedsrichter im Sport – bei jedem „Foul“ tätig werden oder kann sie auch mal „ein Auge zudrücken“? Hierzu hatte sich ebenfalls die damalige Bremer Landesbeauftragte für Datenschutz und Informationsfreiheit, Frau Dr. Sommer, geäußert (wir berichteten) sowie die Richter des EuGHs kürzlich in ihrem Urteil (C-768/21) vom 26.09.2024.
Der nachfolgende Blogbeitrag soll einen Überblick über die Befugnisse der Aufsichtsbehörden, den Sachverhalt des Urteils sowie die Urteilsgründe geben.
Allgemeines zu den Befugnissen der Aufsichtsbehörden
Aufsichtsbehörden und ihre Tätigkeiten werden in Art. 51 ff. DSGVO geregelt. In Art. 58 DSGVO sind die Befugnisse der Aufsichtsbehörden umfassend geregelt. Allgemein bekannt sein dürfte zum einen die Verwarnung (vgl. Art. 58 Abs. 2 lit. b DSGVO) und zum anderen die Geldbuße (vgl. Art. 58 Abs. 2 lit. i DSGVO). Daneben hat die Behörde aber auch andere Möglichkeiten. Beispielsweise kann die Behörde eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, verhängen (vgl. Art. 58 Abs. 2 lit. f DSGVO) oder die Aussetzung der Übermittlung von Daten an einen Empfänger in einem (unsicheren) Drittland oder an eine internationale Organisation anordnen (vgl. Art. 58 Abs. 2 lit. j DSGVO).
Sachverhalt
Eine Bankangestellte hatte mehrmals unbefugt auf die Daten eines Kunden zugegriffen. Obwohl die Sparkasse den Vorfall bemerkte, sah sie von einer Mitteilung an den Kunden ab. Laut Einschätzung des Datenschutzbeauftragen der Sparkasse lag kein hohes Risiko für die Rechte und Freiheiten des betroffenen Kunden vor, da weder Kopien von den personenbezogenen Daten angefertigt wurden, noch wurden die Daten anderweitig gespeichert. Als Abhilfemaßnahmen wurden zudem bereits disziplinarische Maßnahmen gegenüber der Mitarbeiterin ergriffen.
Der zuständigen Aufsichtsbehörde – der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) – wurde der Datenschutzvorfall ebenfalls gemeldet. Nachdem der Kunde vom unberechtigten Zugriff auf seine personenbezogenen Kundendaten erfahren hatte, reichte dieser gemäß Art. 77 DSGVO Beschwerde ein.
Der HBDI hielt eine Sanktion bzw. ein Bußgeld in diesem Fall nicht für notwendig und teilte dies per Bescheid auch so dem betroffenen Kunden mit. Die Aufsichtsbehörde begründete ihre Entscheidung damit, dass die Verletzung zu keinem hohen Risiko für die Rechte und Freiheiten im Sinne des Art. 34 DSGVO geführt hat. Insbesondere lagen keine Anhaltspunkte vor, dass die Daten an Dritte weitergegeben oder zum Nachteil des betroffenen Kunden verwendet wurden. Des Weiteren wurden gegenüber der Mitarbeiterin disziplinarische Maßnahmen ergriffen.
Dem Kunden reichte dies jedoch nicht aus. Er wollte die Aufsichtsbehörde dazu verpflichten gegen die Sparkasse Maßnahmen zu ergreifen. Insbesondere wollte er, dass eine Geldbuße nach Art. 58 Abs. 2 DSGVO gegenüber der Sparkasse verhängt wird. Auf Grundlage dessen reichte der Betroffene Klage beim Verwaltungsgericht (VG) Wiesbaden ein, wodurch die Aufsichtsbehörde zum Tätigwerden verpflichtet wurde (vgl. hierzu auch beck-aktuell). Nach Meinung des Klägers gelte „im Fall eines festgestellten Verstoßes […] nicht das Opportunitätsprinzip, so dass dem HBDI kein Entschließungsermessen, sondern allenfalls ein Auswahlermessen hinsichtlich der zu ergreifenden Maßnahmen zukomme.“ (EuGH-Urteil C-768/21, Rn. 19)
Das VG Wiesbaden stellte dann die Frage im Rahmen eines Vorabentscheidungsverfahrens gemäß Art. 267 AEUV an den EuGH wie folgt:
„Sind Art. 57 Abs. 1 Buchst. a und f sowie Art. 58 Abs. 2 Buchst. a bis j in Verbindung mit Art. 77 Abs. 1 DSGVO dahin gehend auszulegen, dass in dem Fall, dass die Aufsichtsbehörde eine Datenverarbeitung feststellt, die den Betroffenen in seinen Rechten verletzt, die Aufsichtsbehörde stets verpflichtet ist, nach Art. 58 Abs. 2 dieser Verordnung einzuschreiten?“ (EuGH-Urteil C-768/21, Rn. 23)
Das Urteil des EuGHs
Im Ergebnis stellten die Richter fest, dass die Regelungen aus der DSGVO dahin auszulegen sind, dass bei einer Datenschutzverletzung die Aufsichtsbehörde Geldbußen nicht zwingend verhängen muss.
Aus den Urteilsgründen ergibt sich nämlich, dass die zuständige Aufsichtsbehörde zum Einschreiten in Form von Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO verpflichtet ist, nämlich
„wenn das Ergreifen einer oder mehrerer der in Art. 58 Abs. 2 DSGVO vorgesehenen Abhilfemaßnahmen unter Berücksichtigung aller Umstände des konkreten Falles geeignet, erforderlich und verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten.“ (EuGH-Urteil C-768/21, Rn. 42)
Der EuGH stellt aber auch fest, dass eine Aufsichtsbehörde auch beim Vorliegen eines Datenschutzverstoßes ausnahmsweise im Einzelfall nicht einschreiten muss. Ein solcher Ausnahmefall könnte laut EuGH vorliegen,
„wenn die festgestellte Verletzung nicht angedauert hat, beispielsweise wenn der Verantwortliche, der grundsätzlich geeignete technische und organisatorische Maßnahmen im Sinne von Art. 24 dieser Verordnung umgesetzt hatte, in Anbetracht der ihm insbesondere nach Art. 5 Abs. 1 und Art. 24 DSGVO obliegenden Pflichten, sobald er von dieser Verletzung Kenntnis erlangt hat, die geeigneten und erforderlichen Maßnahmen ergriffen hat, damit die Verletzung abgestellt wird und sich nicht wiederholt.“ (EuGH-Urteil C-768/21, Rn. 43)
Des Weiteren betont der EuGH, dass ein Untätigbleiben der Aufsichtsbehörde trotz festgestelltem Verstoß gegen die DSGVO im Einklang mit den Zielen der DSGVO, insbesondere den Art. 58 Abs. 2 und Art. 83 DSGVO, steht.
Aus EG 129 ergibt sich, dass keine Abhilfemaßnahmen erforderlich sind, wenn dem Datenschutzverstoß bereits abgeholfen wurde:
„Insbesondere sollte jede Maßnahme im Hinblick auf die Gewährleistung der Einhaltung dieser Verordnung geeignet, erforderlich und verhältnismäßig sein, wobei die Umstände des jeweiligen Einzelfalls zu berücksichtigen sind, das Recht einer jeden Person, gehört zu werden, bevor eine individuelle Maßnahme getroffen wird, die nachteilige Auswirkungen auf diese Person hätte, zu achten ist und überflüssige Kosten und übermäßige Unannehmlichkeiten für die Betroffenen zu vermeiden sind.“ (EG 129 der DSGVO, S. 4)
In EG 148 ist zudem geregelt, dass die Aufsichtsbehörde von der Verhängung einer Geldbuße „im Falle eines geringfügigeren Verstoßes oder falls die voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde“ absehen kann und stattdessen eine Verwarnung erteilen kann (vgl. EG 148 der DSGVO, S. 2 und 3).
Fazit
Abschließend ist festzuhalten, dass auch wenn die Aufsichtsbehörde umfassende Maßnahmen bei einem Verstoß gegen die DSGVO hat, muss sie davon nicht immer Gebrauch machen. Vor allem wenn eine solche Maßnahme nicht geeignet, erforderlich oder verhältnismäßig ist. So wie der Schiedsrichter im Sport, kann es die Aufsichtsbehörde im Einzelfall erstmal bei einer Verwarnung belassen bevor ein Bußgeld verhängt wird.