Der Gerichtshof der Europäischen Union bestätigte in einer aktuellen Entscheidung (Urteil vom 26.09.2024 - C-768/21 -), dass die Datenschutz-Aufsichtsbehörde nicht verpflichtet ist, in jedem Fall eines Verstoßes zwingend Maßnahmen zu ergreifen oder Geldbußen zu verhängen.
Grundlage für die Entscheidung des EuGH war ein Fall in Deutschland, in dem ein Kunde einer Sparkasse sich beschwerte, weil die Aufsichtsbehörde nach einem festgestellten Datenschutzverstoß keine Maßnahmen gegen die Bank ergriff. Eine Mitarbeiterin einer Sparkasse hatte mehrfach unbefugt auf die personenbezogenen Daten eines Kunden zugegriffen. Bei Prüfung der Angelegenheit versicherte die Mitarbeiterin die Daten weder kopiert, gespeichert noch an Dritte weitergegeben zu haben. Außerdem hat die Sparkasse disziplinarische Maßnahmen ergriffen und den Vorfall der Aufsichtsbehörde gemeldet. Als der Kunde davon erfuhr, reichte er eine Beschwerde bei der Aufsichtsbehörde ein. Diese entschied jedoch, dass keine weiteren Maßnahmen gegen die Sparkasse erforderlich seien. Der Kunde zog daraufhin vor Gericht und forderte die Behörde auf, gegen die Sparkasse eine Geldbuße zu verhängen. Das Verwaltungsgericht Wiesbaden legte den Fall dem EuGH zur Auslegung der Datenschutz-Grundverordnung (DSGVO) vor.
Der EuGH stellte klar, dass die Datenschutzaufsichtsbehörden nicht in jedem Fall eine Sanktion oder Abhilfemaßnahme ergreifen müssen, wenn dies nicht erforderlich ist, um die Einhaltung der Datenschutz-Grundverordnung (DSGVO) zu gewährleisten. Vielmehr liege die Entscheidung über Geldbußen und andere Abhilfemaßnahmen im Ermessen der Aufsichtsbehörden. Diese müssen nur Maßnahmen ergreifen, wenn dies notwendig und verhältnismäßig ist, um den Verstoß zu beheben oder zukünftige Verstöße zu verhindern.
Damit haben Betroffene einer Datenschutzverletzung keinen Anspruch darauf, dass die datenschutzrechtliche Aufsichtsbehörde zwingend eine Geldbuße oder andere Abhilfemaßnahmen verhängt.
