Datenschutzeinstellungen

Beim Besuch dieser Webseite werden personenbezogene Daten verarbeitet und Cookies auf Ihrem Endgerät gespeichert. Wir verwenden Cookies, um Ihnen ein optimales Webseiten-Erlebnis zu bieten. Dazu gehören technisch erforderliche Cookies, die zwingend für den Betrieb der Seite notwendig sind, sowie Cookies von Drittanbietern, die uns anonymisierte Daten für Analyse- und statistische Zwecke generieren oder für die Anzeige von Medien und personalisierten Inhalten genutzt werden. Sie entscheiden welche davon Sie zulassen möchten oder nicht. Bitte beachten Sie dabei, dass Ihnen auf Basis dieser Einstellungen dann eventuell nicht mehr alle Funktionalitäten unserer Webseite zur Verfügung stehen. Weitere Informationen zum Thema Cookies und Datenschutz finden Sie in unserer Datenschutzerklärung.
Hier können Sie die gewünschten Einstellungen vornehmen:

Technisch erforderliche Cookies Es werden nur die technisch erforderlichen Cookies verwendet
Statistik
Details

IMPRESSUM

JORDAN & WAGNER Rechtsanwaltsgesellschaft mbH

News-Details

Keine Pflicht der Aufsichtsbehörde zu Abhilfemaßnahmen bei Feststellung einer Verletzung des Schutzes personenbezogener Daten

Aktuelle Datenschutz-Rechtsprechung - EuGH, Urteil vom 26.9.2024 – C-768/21 (TR/Land Hessen)

Aufsichtsbehörden sind nicht verpflichtet, nach Art. 58 II DSGVO eine Abhilfemaßnahme zu ergreifen, insbes. eine Geldbuße zu verhängen, wenn dies nicht verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung der DSGVO sicherzustellen. Das hat der EuGH mit Urteil vom 26.9.2024 – C-768/21 (TR/Land Hessen), GRUR-RS 2024, 25192 entschieden.

In dem Sachverhalt ging es um einen Datenschutzverstoß, nachdem eine Mitarbeiterin einer Sparkasse wiederholt unbefugt auf personenbezogene Daten eines Kunden zugegriffen hatte. Die Sparkasse bemerkte dies und meldete das der Aufsichtsbehörde (dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit, HBDI) gemäß Art. 33 DSGVO. Der Kunde wurde aber nicht nach Art. 34 DSGVO unterrichtet. Als der Kunde erfuhr, dass unberechtigterweise auf seine personenbezogenen Daten zugegriffen worden war, leitete er beim HBDI eine Beschwerde ein gemäß Art. 77 DSGVO. Er beanstandete, nicht benachrichtigt worden zu sein. Die Sparkasse gab an, von einer Benachrichtigung abgesehen zu haben, da ihr Datenschutzbeauftragter (DSB) kein hohes Risiko für die Rechte und Freiheiten festgestellt habe. Gegen die Mitarbeiterin seien Disziplinarmaßnahmen ergriffen worden. Diese habe bestätigt, dass sie die Daten weder kopiert oder gespeichert noch an Dritte übermittelt habe und zugesagt, dies auch künftig nicht zu tun. Der Kunde erhob gegen den Bescheid Klage beim VG Wiesbaden und beantragte, den HBDI zum Einschreiten zu verpflichten. Das VG hat dem EuGH die Frage zur Entscheidung vorgelegt, ob die Aufsichtsbehörde, die eine Datenverarbeitung feststellt, stets verpflichtet ist, nach Art. 58 II DSGVO einzuschreiten.

Der EuGH hat im Ergebnis festgestellt, dass die Aufsichtsbehörde nicht verpflichtet ist, eine Abhilfemaßnahme zu ergreifen und eine Geldbuße zu verhängen, soweit ein solches Einschreiten nicht geeignet, erforderlich oder verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung der DSGVO zu gewährleisten. Denn die Aufsichtsbehörde habe ein Ermessen hinsichtlich der Art und Weise ein, wie sie der Unzulänglichkeit abhilft. Das ist richtig.

Von Dr. Thomas A. Degen ist eine Urteilsbesprechung mit Hinweisen zu den Aufgaben und Sanktionsmöglichkeiten der Aufsichtsbehörde und zur Datenschutz-Compliance und den Aufgaben des DSB veröffentlicht in der GRUR-Prax 2024, 724.

Zurück