Rechtssache C‑768/21
TR
gegen
Land Hessen
(Vorabentscheidungsersuchen des Verwaltungsgerichts Wiesbaden)
Urteil des Gerichtshofs (Erste Kammer) vom 26. September 2024
„Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 57 Abs. 1 Buchst. a und f – Aufgaben der Aufsichtsbehörde – Art. 58 Abs. 2 – Abhilfemaßnahmen – Geldbuße – Ermessen der Aufsichtsbehörde – Grenzen“
Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Nationale Aufsichtsbehörden – Befugnisse – Ergreifen von Abhilfemaßnahmen einschließlich der Verhängung von Geldbußen – Ermessen – Grenzen
(Verordnung 2016/679 des Europäischen Parlaments und des Rates, Erwägungsgründe 129 und 148 sowie Art. 57 Abs. 1 Buchst. a und f, Art. 58 Abs. 1 und 2, Art. 77 Abs. 1 und Art. 83)
(vgl. Rn. 33, 37-47, 50 und Tenor)
Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Rechtsbehelfe – Gerichtlicher Rechtsschutz gegen einen auf eine Beschwerde hin ergangenen Beschluss einer Aufsichtsbehörde – Gerichtliche Kontrolle – Umfang – Grenzen – Fehlen
(Verordnung 2016/679 des Europäischen Parlaments und des Rates, Art. 58 Abs. 2 und Art. 78)
(vgl. Rn. 49)
Zusammenfassung
Auf ein Vorabentscheidungsersuchen des Verwaltungsgerichts Wiesbaden (Deutschland) entscheidet der Gerichtshof über das Ermessen, das einer Aufsichtsbehörde im Fall eines erwiesenen Verstoßes gegen die Bestimmungen über den Schutz personenbezogener Daten zukommt, Abhilfemaßnahmen zu ergreifen, die u. a. auch die Verhängung einer Geldbuße umfassen.
Eine Mitarbeiterin der Sparkasse X, einer kommunalen Anstalt des öffentlichen Rechts, die u. a. Bank- und Kreditgeschäfte abwickelt, hatte mehrmals unbefugt auf personenbezogene Daten von TR, einem der Kunden dieser Sparkasse, zugegriffen. Nachdem TR nebenbei von diesem Zugriff Kenntnis erlangt hatte, reichte er bei der zuständigen Aufsichtsbehörde, dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit (Deutschland) (im Folgenden: HBDI), eine Beschwerde ein. In dieser Beschwerde rügte er, dass die Sparkasse es unterlassen habe, ihn über die Verletzung des Schutzes seiner Daten zu benachrichtigen.
Mit Bescheid vom 3. September 2020 teilte der HBDI TR mit, dass die Sparkasse nicht gegen die DSGVO ( 1 ) verstoßen habe, indem sie ihm den Verstoß gegen den Schutz seiner personenbezogenen Daten nicht mitgeteilt habe, da dieser Verstoß nicht mit einem hohen Risiko für die Rechte und Freiheiten von TR einhergehe. Der HBDI war ferner der Auffassung, dass gegenüber der Sparkasse keine Abhilfemaßnahmen ergriffen werden müssten.
Gegen diesen Bescheid erhob TR Klage beim Verwaltungsgericht Wiesbaden, dem vorlegenden Gericht, und beantragte, den HBDI zum Einschreiten gegen die Sparkasse zu verpflichten. Zur Begründung seiner Klage machte er u. a. geltend, dass der HBDI seine Beschwerde nicht nach den Vorgaben der DSGVO bearbeitet habe und der HBDI eine Geldbuße gegen die Sparkasse hätte verhängen müssen.
Da das vorlegende Gericht Zweifel hat, ob diese Aufsichtsbehörde im vorliegenden Fall verpflichtet ist, Abhilfemaßnahmen zu ergreifen, hat es den Gerichtshof um Auslegung der DSGVO ( 2 ) ersucht.
Würdigung durch den Gerichtshof
Zunächst betont der Gerichtshof, dass die DSGVO der Aufsichtsbehörde ein Ermessen hinsichtlich der Art und Weise einräumt, wie sie der festgestellten Unzulänglichkeit abhilft, da diese Verordnung der Aufsichtsbehörde die Befugnis verleiht, verschiedene Abhilfemaßnahmen zu ergreifen. ( 3 ) Es obliegt nämlich der Aufsichtsbehörde, unter Berücksichtigung aller Umstände des konkreten Falles das geeignete und erforderliche Mittel zu wählen und mit aller gebotenen Sorgfalt ihre Aufgabe zu erfüllen, die darin besteht, über die umfassende Einhaltung der DSGVO zu wachen. ( 4 ) Dieses Ermessen wird jedoch durch das Erfordernis begrenzt, durch einen klar durchsetzbaren Rechtsrahmen ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu gewährleisten.
Was sodann speziell Geldbußen ( 5 ) betrifft, stellt der Gerichtshof fest, dass diese je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von anderen Abhilfemaßnahmen verhängt werden. Außerdem muss die Aufsichtsbehörde bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag in jedem Einzelfall verschiedene Gesichtspunkte, wie etwa die Art, Schwere und Dauer des Verstoßes, gebührend berücksichtigen ( 6 ).
Der Unionsgesetzgeber hat somit ein Sanktionssystem vorgesehen, das es den Aufsichtsbehörden ermöglicht, die Sanktionen zu verhängen, die je nach den Umständen des konkreten Falles am besten geeignet und gerechtfertigt sind, und dabei das Erfordernis zu berücksichtigen, über die umfassende Einhaltung der DSGVO zu wachen und ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu gewährleisten. Daher kann aus der DSGVO nicht abgeleitet werden, dass die Aufsichtsbehörde verpflichtet wäre, in jedem Fall, wenn sie eine Verletzung des Schutzes personenbezogener Daten feststellt, eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen, da ihre Verpflichtung unter derartigen Umständen darin besteht, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen. Daher steht dem Beschwerdeführer, dessen Rechte verletzt wurden, kein subjektives Recht zu, dass die Aufsichtsbehörde gegen den für die Verarbeitung Verantwortlichen eine Geldbuße verhängt.
Schließlich stellt der Gerichtshof klar, dass die Aufsichtsbehörde jedoch zum Einschreiten verpflichtet ist, wenn das Ergreifen einer oder mehrerer Abhilfemaßnahmen unter Berücksichtigung aller Umstände des konkreten Falles geeignet, erforderlich und verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung der DSGVO zu gewährleisten. Insoweit ist nicht ausgeschlossen, dass die Aufsichtsbehörde ausnahmsweise und unter Berücksichtigung der besonderen Umstände des konkreten Falles vom Ergreifen einer Abhilfemaßnahme absehen kann, obwohl eine Verletzung des Schutzes personenbezogener Daten festgestellt wurde. Ein solcher Fall könnte namentlich dann vorliegen, wenn die festgestellte Verletzung nicht angedauert hat, beispielsweise wenn der Verantwortliche, der grundsätzlich geeignete technische und organisatorische Maßnahmen umgesetzt hatte ( 7 ), in Anbetracht der ihm nach der DSGVO obliegenden Pflichten ( 8 ), sobald er von dieser Verletzung Kenntnis erlangt hat, die geeigneten und erforderlichen Maßnahmen ergriffen hat, damit die Verletzung abgestellt wird und sich nicht wiederholt.
Angesichts dieser Erwägungen kommt der Gerichtshof zu dem Schluss, dass die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen, wenn ein solches Einschreiten nicht geeignet, erforderlich oder verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten.
( 1 ) Gemäß Art. 34 der Verordnung (EU) 2016/679 des Europäische Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2018, L 127, S. 2, im Folgenden: DSGVO).
( 2 ) Art. 57 Abs. 1 Buchst. a und f, Art. 58 Abs. 2 und Art. 77 Abs. 1 DSGVO.
( 3 ) Nach Art. 58 Abs. 2 DSGVO.
( 4 ) Vgl. in diesem Sinne Urteil vom 16. Juli 2020, Facebook Ireland und Schrems (C‑311/18, EU:C:2020:559, Rn. 112).
( 5 ) Auf die in Art. 58 Abs. 2 Buchst. i und in Art. 83 DSGVO Bezug genommen wird.
( 6 ) Gemäß Art. 83 Abs. 2 DSGVO.
( 7 ) Im Sinne von Art. 24 DSGVO.
( 8 ) Insbesondere gemäß Art. 5 Abs. 2 und Art. 24 DSGVO.