Kein subjektives Recht der betroffenen Person, deren Rechte verletzt wurde, dass die Aufsichtsbehörde gegen einen Verantwortlichen eine Geldstrafe verhängt.
EuGH. Urteil. In dieser Entscheidung befasste sich der Gerichtshof mit der Frage, inwieweit die Aufsichtsbehörden verpflichtet sind, bei festgestellten Verstößen Abhilfemaßnahmen zu ergreifen.
Im November 2019 stellte sich heraus, dass eine Mitarbeiterin der verantwortlichen Sparkasse wiederholt und unberechtigt auf personenbezogene Daten eines Kunden zugegriffen hatte. Die dadurch eingetretene Verletzung des Schutzes personenbezogener Daten wurde von der Verantwortlichen gemäß Art 33 EU-DSGVO wurde der Aufsichtsbehörde gemeldet. Die Verantwortliche sah jedoch davon ab, betroffene Personen über die Datenverletzung gemäß Art 34 EU-DSGVO zu benachrichtigen.
Die betroffene Person erlangte dennoch Kenntnis von dem unbefugten Zugriff auf seine personenbezogenen Daten und erhob deshalb im Juli 2020 Beschwerde an die Aufsichtsbehörde. Darin beanstandete diese nicht nur, dass sie nicht über den Vorfall benachrichtigt wurde, sondern auch, dass die Verantwortliche die Zugriffsprotokolle nur für einen Zeitraum von drei Monaten speicherte und die Mitarbeiter der Bank zu umfangreiche Zugriffsrechte auf die Kundendaten hätten. Gegen die verantwortliche Sparkasse solle eine Sanktion verhängt werden.
Die Aufsichtsbehörde vertrat die Ansicht, dass die Bewertung der Sparkasse, wonach kein hohes Risiko für betroffene Person bestand und deshalb keine Benachrichtigung erforderlich war, zumindest nicht offensichtlich falsch gewesen sei. Gegen diese Ansicht, dass kein Verstoß gegen Art 34 EU-DSGVO vorliege und keine Abhilfemaßnahmen erforderlich seien, wandte sich die betroffene Person mit einem Rechtsmittel. Das Rechtsmittelgericht sollte die Aufsichtsbehörde verpflichten, gegen die Sparkasse Sanktionen zu verhängen.
Die damit aufgeworfene Frage, ob eine Aufsichtsbehörde nach der EU-DSGVO verpflichtet ist, in jedem Fall einer festgestellten Datenverletzung eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldstrafe zu verhängen, oder ob der Behörde ein Ermessensspielraum zusteht, sollte jedoch der EuGH vorab beantworten.
Die Rechtsansicht des EuGH:
- Kein subjektives Recht der betroffenen Person, deren Rechte verletzt wurden, dass die Aufsichtsbehörde gegen einen Verantwortlichen eine Geldbuße verhängt.
- Die EU-DSGVO räumt der Aufsichtsbehörde ein Ermessen hinsichtlich der Art und Weise ein, wie sie der festgestellten Unzulänglichkeit abhilft, da Art 58 Abs 2 EU-DSGVO der Aufsichtsbehörde die Befugnis verleiht, verschiedene Abhilfemaßnahmen zu ergreifen.
- Die Aufsichtsbehörde ist zum Einschreiten verpflichtet, wenn das Ergreifen einer oder mehrerer der in Art 58 Abs 2 EU-DSGVO vorgesehenen Abhilfemaßnahmen unter Berücksichtigung aller Umstände des konkreten Falles geeignet, erforderlich und verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten.
- Art 57 Abs 1 lit a und lit f, Art 58 Abs 2 sowie Art 77 Abs 1 EU-DSGVO sind dahin auszulegen, dass die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, nach diesem Art 58 Abs 2 EU-DSGVO eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen, wenn ein solches Einschreiten nicht geeignet, erforderlich oder verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten.