EuGH-Urteil: Mehr Ermessensspielraum für Aufsichtsbehörden
Der Europäische Gerichtshof (EuGH) hat die Rolle der Datenschutzaufsichtsbehörden bei der Durchsetzung der Datenschutzgrundverordnung (DSGVO) gestärkt. Das EuGH-Urteil vom 26.09.2024 gewährt insbesondere mehr Ermessensspielraum für Aufsichtsbehörden. Ein Anspruch auf Tätigwerden der Aufsichtsbehörde besteht somit nicht zwangsläufig. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) begrüßt die Entscheidung.
Auslöser des Verfahrens
Der Fall, der zur EuGH-Entscheidung führte, geht auf eine Beschwerde einer betroffenen Person beim HBDI gegen eine Sparkasse zurück. Die betroffene Person war der Auffassung, dass ein Datenschutzverstoß vorlag und forderte von der Aufsichtsbehörde die Verhängung von Maßnahmen gegen die Sparkasse. Infolgedessen befasste sich das Verwaltungsgericht Wiesbaden mit dem Fall und legte im Anschluss dem EuGH eine Reihe von Fragen zur Klärung vor. Insbesondere wollte es wissen, ob und in welchem Umfang ein Anspruch auf Maßnahmen durch die Aufsichtsbehörde besteht, wenn ein Verstoß gegen die DSGVO festgestellt wurde.
Stellungnahme des EuGH-Generalanwalts
Laut den Schlussanträgen des EuGH-Generalanwalt trifft die Datenschutzbehörde eine Handlungspflicht, wenn sie in Folge der Prüfung einer Beschwerde eine Verletzung von DSGVO-Vorschriften feststellt. Hierbei komme ihr allerdings ein Ermessensspielraum zu. Die konkret vorzunehmenden Abhilfemaßnahmen ergäben sich aus den jeweiligen Gegebenheiten des Einzelfalls. Somit bestehe grundsätzlich kein Anspruch auf eine konkrete Maßnahme, auch nicht auf einen Bußgelderlass.
EuGH: Keine Anspruch auf konkrete Maßnahme
Der EuGH schließt sich der Einschätzung des Generalanwalts an. Er stellt insofern im Urteil zur Rechtssache C-768/21 klar, dass die Datenschutzaufsichtsbehörden zwar verpflichtet sind, die Einhaltung der DSGVO zu gewährleisten, jedoch nicht in jedem Fall durch strikte Sanktionen wie Geldbußen. Stattdessen haben sie Ermessen dahingehend zu entscheiden, welche Maßnahmen erforderlich sind, um einen Datenschutzverstoß zu beheben. So kann eine Geldbuße entfallen, wenn der Verantwortliche nach Feststellung des Verstoßes unverzüglich Maßnahmen ergreift, um den Datenschutzverstoß abzustellen und dessen Wiederholung zu verhindern. Die Grenze des Ermessens ergibt sich aus der Anforderung einen gleichmäßigen und hohen Schutz personenbezogener Daten sicherzustellen.
Stellungnahme des HBDI
Der HBDI begrüßte in einer Pressemitteilung die Entscheidung des EuGH, da sie den Behörden die notwendige Flexibilität einräumt, um Verstöße angemessen und bezogen auf den Einzelfall zu ahnden. Laut dem HBDI, Alexander Roßnagel, schafft so „der EuGH Rechtssicherheit und leistet damit einen richtungsweisenden Beitrag zur Harmonisierung des europäischen Datenschutzrechts“.
Fazit
Mit dem Urteil stärkt der EuGH den Ermessensspielraum der Datenschutzbehörden und sorgt gleichzeitig für Klarheit, wie Datenschutzverstöße in der Praxis gehandhabt werden sollen. Verantwortliche Stellen sind weiterhin in der Pflicht, Datenschutzverstöße ernst zu nehmen und zu beheben, können aber im Gegenzug durch proaktives Handeln Sanktionen vermeiden. Für Unternehmen ist es daher entscheidend, Datenschutzprozesse zu optimieren und mögliche Verstöße unverzüglich zu korrigieren.