Allgemein

Datenschutz und Ermessensspielraum: Müssen Datenschutzbehörden in jedem Fall handeln?

Zuletzt bearbeitet am: 06.11.2024

Am 26. September 2024 entschied der Europäische Gerichtshof (EuGH) in einem prägnanten Urteil, dass Datenschutzbehörden nicht verpflichtet sind, in jedem Fall eines Datenschutzverstoßes eine Abhilfemaßnahme wie eine Geldbuße zu verhängen. Das Urteil (C-768/21) definiert den Ermessensspielraum der Datenschutzbehörden und stellt klar, dass eine Sanktion nur dann erforderlich ist, wenn sie zur Durchsetzung der Datenschutz-Grundverordnung (DSGVO) unverzichtbar erscheint.

Ermessensspielraum der Datenschutzbehörden

Laut EuGH haben Datenschutzbehörden das Recht, je nach Fall zu entscheiden, ob sie Maßnahmen ergreifen. Dieses Urteil stärkt den Handlungsspielraum der Behörden und verdeutlicht, dass es bei Datenschutzverstößen nicht zwangsläufig zu Sanktionen kommen muss. So dürfen sie im Einzelfall berücksichtigen, ob ein Unternehmen aus eigener Initiative die erforderlichen Schritte unternommen hat, um den Verstoß zu beheben und eine Wiederholung zu verhindern​.

Ermessensspielraum der Datenschutzbehörden: Kernpunkte des Urteils:

  • Behörden sind nicht verpflichtet, immer eine Abhilfemaßnahme zu ergreifen.
  • Maßnahmen müssen verhältnismäßig und notwendig sein, um die Einhaltung der DSGVO zu gewährleisten.
  • Unternehmen, die selbstständig Maßnahmen ergreifen, können unter Umständen Sanktionen vermeiden.

Der Fall: Unbefugter Datenzugriff durch eine Sparkassenmitarbeiterin

Der Rechtsstreit, der zum EuGH gelangte, basiert auf einer Beschwerde eines Sparkassenkunden, der behauptete, eine Mitarbeiterin der Sparkasse habe unberechtigt auf seine personenbezogenen Daten zugegriffen. Die Sparkasse meldete den Vorfall an den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) und leitete gleichzeitig Disziplinarmaßnahmen gegen die Mitarbeiterin ein. Da der Vorfall als isoliert betrachtet wurde und keine weiteren Risiken für den Kunden bestanden, entschied der HBDI auf Sanktionen zu verzichten. Dieser Fall verdeutlicht die Bedeutung des Ermessensspielraums bei der Bewertung von Datenschutzverstößen​.

Reaktionen des Landesdatenschutzbeauftragten und des Gerichts

Der betroffene Kunde wollte gerichtlich durchsetzen, dass der HBDI Sanktionen verhängt, was schließlich zur Vorlage der Frage beim EuGH führte. Der EuGH urteilte, dass die Datenschutzbehörde nur dann verpflichtet ist, eine Maßnahme zu ergreifen, wenn sie zur Sicherstellung des Datenschutzes zwingend erforderlich ist. Liegen jedoch keine weiteren Gefahren vor und wurden angemessene Schritte zur Prävention zukünftiger Verstöße unternommen, kann auf zusätzliche Sanktionen verzichtet werden​.

Rechtliche Grundlagen und Ermessen

Die DSGVO gewährt Aufsichtsbehörden explizit den nötigen Spielraum, um die Erforderlichkeit einer Maßnahme zu beurteilen. Dieser Handlungsspielraum ist jedoch nicht uneingeschränkt. Die DSGVO fordert ein „angemessenes Schutzniveau“ und lässt Maßnahmen zu, wenn sie notwendig erscheinen, um dieses Niveau zu garantieren.

Das Urteil des EuGH stützt sich auf Artikel 58 der DSGVO, der den Datenschutzbehörden die Möglichkeit gibt, die Notwendigkeit von Abhilfemaßnahmen individuell zu prüfen. Daraus ergibt sich, dass Datenschutzbehörden nur dann Maßnahmen verhängen müssen, wenn der Datenschutz nur durch diese Maßnahmen aufrechtzuerhalten ist. Andernfalls können sie davon absehen, solange ein Unternehmen selbst Maßnahmen zur Behebung ergriffen hat und weitere Verstöße verhindert​.

Praktische Tipps für Unternehmen: Selbstständige Prävention als Schlüssel

Unternehmen sollten durch ein strukturiertes Datenschutzmanagement behördliche Sanktionen proaktiv vermeiden. Wichtige Maßnahmen dafür sind ein effektives Datenpannen-Management, schnelle und transparente Antworten auf Anfragen betroffener Personen sowie regelmäßige Mitarbeiterschulungen zur Sensibilisierung für Datenschutz.

Fazit

Das EuGH-Urteil stärkt den Ermessensspielraum der Datenschutzbehörden und gibt ihnen die Freiheit, nur dann Maßnahmen zu ergreifen, wenn dies zur Einhaltung der DSGVO notwendig ist. Unternehmen sollten diese Flexibilität als Ansporn sehen, präventiv zu handeln und ein effektives Datenschutzmanagement zu etablieren. Ein hoher Datenschutzstandard kann somit nicht nur zur Vermeidung von Strafen beitragen, sondern auch das Vertrauen der Kunden in die Datensicherheit stärken.

Symbolgrafik:© Stockwerk-Fotodesign - stock.adobe.com

Diesen Artikel bewerten
Über den Autor





Weitere Artikel der Redaktion zum Thema
Baurecht und Architektenrecht VG Berlin genehmigt Umbau einer Lagerhalle zum Bordell

Das Verwaltungsgericht Berlin (Az. VG 19 K 329/20 ) entschied, dass eine Lagerhalle trotz Außenbereichslage als Bordell genutzt werden darf. Bordellplanung auf bisheriger Lagerfläche Die Betreiber eines bekannten Berliner Bordells erwarben ein Grundstück im Stadtteil Halensee, auf dem eine ehemalige Lagerhalle eines Weinhandels steht. Die Lage des Grundstücks ist geprägt durch Bahngleise und Straßenverkehr, wobei sich in der Nachbarschaft eine Autowerkstatt befindet. Im November 2019 beantragten die Eigentümer eine Baugenehmigung für den Umbau der Halle in ein Bordell. Das Bezirksamt Charlottenburg-Wilmersdorf lehnte den Antrag im April 2020 ab. Es ... weiter lesen

Arbeitsrecht Der digitale Arbeitsvertrag ab 2025: Das sollten Arbeitgeber und Arbeitnehmer beachten

Ab dem 1. Januar 2025 wird es in Deutschland erstmals möglich sein, digitale Arbeitsverträge abzuschließen. Diese Neuerung, eingeführt durch das Vierte Bürokratieentlastungsgesetz (BEG IV), markiert einen entscheidenden Meilenstein in der Modernisierung des Arbeitsrechts. Schnellere, effizientere und rechtlich abgesicherte Verfahren werden den Arbeitsalltag transformieren und die Digitalisierung in der Arbeitswelt entscheidend voranbringen. Dieser Fortschritt steht exemplarisch für die Anpassung des Arbeitsrechts an die Erfordernisse einer zunehmend digitalen Gesellschaft. Neue Chancen durch digitale Arbeitsverträge Die Möglichkeit, Arbeitsverträge digital ... weiter lesen

Arbeitsrecht Anspruch auf Verdienstausfallschaden bei ärztlich bescheinigter Arbeitsunfähigkeit

In einer Entscheidung vom 8. Oktober 2024 hat der Bundesgerichtshof (BGH) klargestellt, dass ein Geschädigter Anspruch auf Ersatz seines Verdienstausfallschadens hat, selbst wenn die ärztlich bescheinigte Arbeitsunfähigkeit objektiv nicht vorlag. Entscheidend ist, ob der Geschädigte berechtigterweise auf die ausgestellte Bescheinigung vertraut hat. Diese rechtliche Bewertung sorgt für Klarheit in einem sensiblen Bereich des Schadensrechts. Bedeutung des Urteils und der zugrunde liegende Fall Das Urteil  (AZ: VI ZR 250/22 ) bezieht sich auf den Fall eines Unfallgeschädigten, der in einer Waschstraße von einem Fahrzeug erfasst wurde. Die Verletzungen, ... weiter lesen

Arbeitsrecht Anrechnung von anderweitigem Verdienst nach unwirksamer Kündigung

Unwirksame Kündigungen führen häufig zu rechtlichen Auseinandersetzungen, insbesondere wenn es um den Anspruch auf Annahmeverzugslohn geht. Das Landesarbeitsgericht (LAG) Baden-Württemberg hat in einem Urteil vom 11.09.2024 entschieden, dass Einkommen aus einer neuen Tätigkeit auf diesen Anspruch angerechnet wird. Dennoch bleibt der Arbeitgeber zur Zahlung verpflichtet, sofern kein böswilliges Unterlassen des Arbeitnehmers nachzuweisen ist.  Annahmeverzugslohn und böswilliges Unterlassen: Die rechtlichen Grundlagen Gemäß § 615 BGB geraten Arbeitgeber bei einer unwirksamen Kündigung automatisch in Annahmeverzug . Dies verpflichtet sie, das Gehalt des ... weiter lesen