Kanzlei Dr. Bahr
Navigation
Kategorie: Datenschutzrecht

EuGH: Datenschutzbehörde ist nicht verpflichtet, in jedem Fall eines Verstoßes tätig zu werden

Datenschutzbehörden müssen bei Verstößen nicht immer Abhilfemaßnahmen ergreifen, wenn der Verantwortliche bereits wirksame Maßnahmen ergriffen hat.

Schutz personenbezogener Daten: Die Aufsichtsbehörde ist nicht  verpflichtet, in jedem Fall eines Verstoßes eine Abhilfemaßnahme zu  ergreifen und insbesondere eine Geldbuße zu verhängen.
 
Sie kann davon absehen, wenn der Verantwortliche bereits von sich aus die erforderlichen Maßnahmen  ergriffen hat
 
In Deutschland stellte eine Sparkasse fest, dass eine Mitarbeiterin mehrmals unbefugt auf personenbezogene Daten eines Kunden zugegriffen hatte. Die Sparkasse setzte den Kunden hiervon nicht in Kenntnis, da ihr  Datenschutzbeauftragter der Ansicht war, dass für diesen Kunden kein hohes Risiko bestehe.

Denn die Mitarbeiterin hatte schriftlich bestätigt, dass sie die Daten weder kopiert oder gespeichert noch an Dritte übermittelt habe und  dass sie dies auch zukünftig nicht tun werde. Außerdem hatte die Sparkasse gegen die Mitarbeiterin  Disziplinarmaßnahmen ergriffen. Gleichwohl meldete die Sparkasse diesen Verstoß dem  Landesdatenschutzbeauftragten.  

Nachdem der Kunde nebenbei von diesem Vorfall Kenntnis erlangt hatte, reichte er bei dem  Landesdatenschutzbeauftragten eine Beschwerde ein. Nach Anhörung der Sparkasse teilte der  Landesdatenschutzbeauftragte dem Kunden mit, dass er es nicht für erforderlich halte, gegen die Sparkasse  Abhilfemaßnahmen zu ergreifen.  

Der Kunde erhob daraufhin Klage bei einem deutschen Gericht und beantragte, den  Landesdatenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten und insbesondere dazu,  gegen die Sparkasse eine Geldbuße zu verhängen.  

Das deutsche Gericht hat den Gerichtshof ersucht, die Datenschutz-Grundverordnung (DSGVO) im Hinblick auf  diese Fragestellung auszulegen.  

In seinem Urteil antwortet der Gerichtshof, dass die Aufsichtsbehörde2 im Fall der Feststellung einer Verletzung  des Schutzes personenbezogener Daten nicht verpflichtet ist, eine Abhilfemaßnahme zu ergreifen,  insbesondere eine Geldbuße zu verhängen, wenn dies nicht erforderlich ist, um der festgestellten  Unzulänglichkeit abzuhelfen und die umfassende Einhaltung der DSGVO zu gewährleisten. Ein solcher Fall  könnte u. a. dann vorliegen, wenn der für die Verarbeitung Verantwortliche, sobald er von der Verletzung Kenntnis  erlangt hat, die erforderlichen Maßnahmen ergriffen hat, damit die Verletzung abgestellt wird und sich nicht  wiederholt.  

Die DSGVO räumt der Aufsichtsbehörde ein Ermessen hinsichtlich der Art und Weise ein, wie sie der festgestellten  Unzulänglichkeit abhilft. Dieses Ermessen wird durch das Erfordernis begrenzt, durch den klar durchsetzbaren  Rechtsrahmen der DSGVO ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu  gewährleisten.

Urteil des Gerichtshofs in der Rechtssache C-768/21 | Land Hessen (Handlungspflicht der  Datenschutzbehörde)  

Quelle: Pressemitteilung des EuGH v. 26.09.2024
 

Rechts-News durch­suchen

14. Oktober 2024
Die bloße Sorge vor einem möglichen Datenmissbrauch rechtfertigt keinen Schadensersatzanspruch nach der DSGVO.
ganzen Text lesen
14. Oktober 2024
Ein Deezer-Nutzer erhält 350,- EUR Schadensersatz für ein Datenleck, da Deezer gegen DSGVO-Vorschriften verstoßen hat, weil es keinen Vertrag zur…
ganzen Text lesen
07. Oktober 2024
Online-Plattformen (wie z.B. Facebook) dürfen nicht uneingeschränkt personenbezogene Daten zur zielgerichteten Werbung verwenden, auch wenn sensible…
ganzen Text lesen
04. Oktober 2024
Die Datenschutzkonferenz hat ihre Richtlinien zur Übertragung von Kundendaten bei Asset Deals überarbeitet und stiftet damit mehr Verwirrung als…
ganzen Text lesen

Rechts-News durchsuchen