Abo

Urteil : Keine behördliche Pflicht zum Ergreifen einer Abhilfemaßnahme : aus der RDV 6/2024, Seite 355 bis 357

(EuGH, Urteil vom 26. September 2024 – C-768/21 –)

Rechtsprechung
Lesezeit 7 Min.
  1. Art. 57 Abs. 1 lit.  a) und f), Art.  58 Abs.  2 sowie Art.  77 Abs.  1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DatenschutzGrundverordnung) sind dahin auszulegen, dass die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, nach diesem Art. 58 Abs. 2 eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen, wenn ein solches Einschreiten nicht geeignet, erforderlich oder verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten.

Zur Vorlagefrage:

Zur Bearbeitung von Beschwerden verleiht Art.  58 Abs.  1 DS-GVO jeder Aufsichtsbehörde weitreichende Untersuchungsbefugnisse. Stellt eine solche Behörde am Ende ihrer Untersuchung einen Verstoß gegen die Bestimmungen dieser Verordnung fest, ist sie verpflichtet, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen, wobei gemäß der Klarstellung im 129. ErwG dieser Verordnung alle Maßnahmen insbesondere im Hinblick auf die Gewährleistung der Einhaltung der Verordnung geeignet, erforderlich und verhältnismäßig sein sollten und die Umstände des jeweiligen Einzelfalls zu berücksichtigen sind. Zu diesem Zweck werden in Art. 58 Abs. 2 DS-GVO die verschiedenen der Aufsichtsbehörde zur Verfügung stehenden Abhilfebefugnisse aufgezählt (vgl. in diesem Sinne Urt. v. 07.12.2023, SCHUFA Holding [Restschuldbefreiung], C-26/22 und C-64/22, EU:C:2023:958, Rn. 57 und die dort angeführte Rechtsprechung).

So hat die Aufsichtsbehörde nach Art. 58 Abs. 2 DS-GVO u.a. die Befugnis, einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn Verarbeitungsvorgänge zu einem Verstoß gegen die Bestimmungen dieser Verordnung geführt haben (lit.  b)), den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach der Verordnung zustehenden Rechte zu entsprechen (Buchst. c)), den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der Verordnung zu bringen (lit.  d)), oder eine Geldbuße gemäß Art. 83 DS-GVO zu verhängen, zusätzlich zu oder anstelle von den in Art. 58 Abs. 2 DS-GVO genannten Maßnahmen, je nach den Umständen des Einzelfalls (lit. i)).

Demnach ist das Beschwerdeverfahren als ein Mechanismus konzipiert, der geeignet ist, die Rechte und Interessen der betroffenen Personen wirksam zu wahren (Urt. v. 07.12.2023, SCHUFA Holding [Restschuldbefreiung], C-26/22 und C-64/22, EU:C:2023:958, Rn. 58).

Im vorliegenden Fall geht aus dem Vorabentscheidungsersuchen hervor, dass der HBDI die Beschwerde, mit der ihn der Kläger des Ausgangsverfahrens befasst hatte, inhaltlich prüfte und ihn über das Ergebnis der Untersuchung unterrichtete. Im Einzelnen bestätigte der HBDI, dass in der Sparkasse eine Verletzung der personenbezogenen Daten des Klägers des Ausgangsverfahrens stattgefunden habe und diese darin bestanden habe, dass eine ihrer Mitarbeiterinnen unbefugten Zugriff auf diese Daten gehabt habe. Hinsichtlich der Zugriffsrechte der Mitarbeiter der Sparkasse wies der HBDI die Beschwerde des Klägers des Ausgangsverfahrens allerdings zurück. Außerdem gelangte er zu dem Ergebnis, dass kein Anlass bestehe, gemäß Art. 58 Abs. 2 DS-GVO gegen die Sparkasse einzuschreiten.

Insoweit ist darauf hinzuweisen, dass die DS-GVO der Aufsichtsbehörde ein Ermessen hinsichtlich der Art und Weise einräumt, wie sie der festgestellten Unzulänglichkeit abhilft, da Art.  58 Abs.  2 DS-GVO der Aufsichtsbehörde die Befugnis verleiht, verschiedene Abhilfemaßnahmen zu ergreifen. So hat der Gerichtshof bereits entschieden, dass es der Aufsichtsbehörde obliegt, unter Berücksichtigung aller Umstände des konkreten Falles das geeignete und erforderliche Mittel zu wählen, und sie verpflichtet ist, mit aller gebotenen Sorgfalt ihre Aufgabe zu erfüllen, die darin besteht, über die umfassende Einhaltung der DS-GVO zu wachen (vgl. i.d.S. Urt. v. 16.07.2020, Facebook Ireland und Schrems, C-311/18, EU:C:2020:559, Rn. 112).

Dieses Ermessen wird jedoch durch das Erfordernis begrenzt, durch einen klar durchsetzbaren Rechtsrahmen ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu gewährleisten, wie sich aus den ErwG 7 und 10 der DS-GVO ergibt.

Was speziell Geldbußen nach Art. 58 Abs. 2 lit. i) DS-GVO anbelangt, geht aus Art. 83 Abs. 2 dieser Verordnung hervor, dass diese je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von den Maßnahmen nach Art. 58 Abs. 2 der Verordnung verhängt werden. Art.  83 Abs.  2 DS-GVO stellt außerdem klar, dass die Aufsichtsbehörde bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag in jedem Einzelfall die in Art. 83 Abs. 2 lit. a) bis k) dieser Verordnung genannten Merkmale, wie etwa Art, Schwere und Dauer des Verstoßes, gebührend zu berücksichtigen hat.

Der Unionsgesetzgeber hat somit ein Sanktionssystem vorgesehen, das es den Aufsichtsbehörden ermöglicht, die Sanktionen zu verhängen, die je nach den Umständen des konkreten Falles am besten geeignet und gerechtfertigt sind (vgl. i.d.S. Urt. v. 05.12.2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:949, Rn.  75 und 78), wobei sie, wie in den Rn.  37 und 38 des vorliegenden Urteils ausgeführt, das Erfordernis zu berücksichtigen haben, über die umfassende Einhaltung der DS-GVO zu wachen und durch einen klar durchsetzbaren Rechtsrahmen ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu gewährleisten.

Somit kann weder aus Art.  58 Abs.  2 DS-GVO noch aus Art.  83 dieser Verordnung abgeleitet werden, dass die Aufsichtsbehörde verpflichtet wäre, in jedem Fall, wenn sie eine Verletzung des Schutzes personenbezogener Daten feststellt, eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen, da ihre Verpflichtung unter derartigen Umständen darin besteht, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen. Daher steht, wie der Generalanwalt in Nr.  81 seiner Schlussanträge ausgeführt hat, dem Beschwerdeführer, dessen Rechte verletzt wurden, kein subjektives Recht zu, dass die Aufsichtsbehörde gegen den für die Verarbeitung Verantwortlichen eine Geldbuße verhängt.

Dagegen ist die Aufsichtsbehörde zum Einschreiten verpflichtet, wenn das Ergreifen einer oder mehrerer der in Art.  58 Abs.  2 DS-GVO vorgesehenen Abhilfemaßnahmen unter Berücksichtigung aller Umstände des konkreten Falles geeignet, erforderlich und verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten.

Insoweit ist nicht ausgeschlossen, dass die Aufsichtsbehörde ausnahmsweise und unter Berücksichtigung der besonderen Umstände des konkreten Falles vom Ergreifen einer Abhilfemaßnahme absehen kann, obwohl eine Verletzung des Schutzes personenbezogener Daten festgestellt wurde. Ein solcher Fall könnte namentlich dann vorliegen, wenn die festgestellte Verletzung nicht angedauert hat, beispielsweise wenn der Verantwortliche, der grundsätzlich geeignete technische und organisatorische Maßnahmen im Sinne von Art. 24 dieser Verordnung umgesetzt hatte, in Anbetracht der ihm insbesondere nach Art. 5 Abs. 2 und Art. 24 DS-GVO obliegenden Pflichten, sobald er von dieser Verletzung Kenntnis erlangt hat, die geeigneten und erforderlichen Maßnahmen ergriffen hat, damit die Verletzung abgestellt wird und sich nicht wiederholt.

Insoweit ist nicht ausgeschlossen, dass die Aufsichtsbehörde ausnahmsweise und unter Berücksichtigung der besonderen Umstände des konkreten Falles vom Ergreifen einer Abhilfemaßnahme absehen kann, obwohl eine Verletzung des Schutzes personenbezogener Daten festgestellt wurde. Ein solcher Fall könnte namentlich dann vorliegen, wenn die festgestellte Verletzung nicht angedauert hat, beispielsweise wenn der Verantwortliche, der grundsätzlich geeignete technische und organisatorische Maßnahmen im Sinne von Art. 24 dieser Verordnung umgesetzt hatte, in Anbetracht der ihm insbesondere nach Art. 5 Abs. 2 und Art. 24 DS-GVO obliegenden Pflichten, sobald er von dieser Verletzung Kenntnis erlangt hat, die geeigneten und erforderlichen Maßnahmen ergriffen hat, damit die Verletzung abgestellt wird und sich nicht wiederholt.

Die Auslegung, wonach die Aufsichtsbehörde, wenn sie eine Verletzung des Schutzes personenbezogener Daten feststellt, nicht in jedem Fall verpflichtet ist, eine Abhilfemaßnahme nach Art.  58 Abs.  2 DS-GVO zu ergreifen, wird durch die mit Art.  58 Abs.  2 und Art.  83 dieser Verordnung verfolgten Ziele bestätigt.

Hinsichtlich des mit Art. 58 Abs. 2 DS-GVO verfolgten Ziels ergibt sich aus dem 129. ErwG, dass mit dieser Bestimmung sichergestellt werden soll, dass die Verarbeitung personenbezogener Daten im Einklang mit dieser Verordnung erfolgt und dass Situationen, in denen gegen die Verordnung verstoßen wird, durch das Eingreifen der nationalen Aufsichtsbehörden wieder mit dem Unionsrecht in Einklang gebracht werden (Urt. v. 14.03.2024, Újpesti Polgármesteri Hivatal, C-46/23, EU:C:2024:239, Rn. 40).

Daraus folgt, dass das Ergreifen einer Abhilfemaßnahme ausnahmsweise und unter Berücksichtigung der besonderen Umstände des konkreten Falles nicht geboten sein kann, sofern der Situation, die einen Verstoß gegen die DS-GVO begründete, bereits abgeholfen wurde, die Verarbeitung personenbezogener Daten im Einklang mit dieser Verordnung durch den hierfür Verantwortlichen gewährleistet ist und ein solches Nichteinschreiten der Aufsichtsbehörde nicht geeignet ist, das in Rn.  38 des vorliegenden Urteils genannte Erfordernis eines klar durchsetzbaren Rechtsrahmens zu beeinträchtigen.

Was das mit Art.  83 DS-GVO, der die Verhängung von Geldbußen betrifft, verfolgte Ziel angeht, so besteht dieses nach dem 148. ErwG dieser Verordnung darin, die Vorschriften der Verordnung konsequenter durchzusetzen. In demselben ErwG heißt es jedoch, dass die Aufsichtsbehörden im Fall eines geringfügigeren Verstoßes oder falls die voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, davon absehen dürfen, eine Geldbuße zu verhängen, und stattdessen eine Verwarnung erteilen können (vgl. i.d.S. Urt. v. 05.12.2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:949, Rn. 76). […]

Weitere Beiträge

Aus den ak­tu­el­len Be­rich­ten der Auf­sichts­be­hör­den (58): TLf­DI, 3. TB (2020) nach der DS-GVO: Vier Fäl­le ein­wil­li­gungs­be­dürf­ti­ger Ver­ar­bei­tun­gen

Zu den Gren­zen der In­ter­net-Wer­bung für ärzt­li­che Fern­be­hand­lun­gen (Ls)