![\"Paragraph\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2018\/11\/Para.jpg\" "\\"Recht\\"")
Der Europ\u00e4ische Gerichtshof (EuGH) hat gerade ein Urteil zum Ermessensspielraum von Datenschutzbeh\u00f6rden bei Ma\u00dfnahme nach Art. 58 Abs. 2 DSGVO (insbesondere Geldbu\u00dfen) gef\u00e4llt. Aufsichtsbeh\u00f6rden m\u00fcssen weiterhin keine Ma\u00dfnahmen bei Verst\u00f6\u00dfen ergreifen, haben aber eine Begr\u00fcndungspflicht bez\u00fcglich der Entscheidung, unt\u00e4tig zu bleiben.<\/p>\n
<\/p>\n
Am 15. November 2019 meldete eine Sparkasse als kommunale Anstalt des \u00f6ffentlichen Rechts, die u. a. Bank- und Kreditgesch\u00e4fte abwickelt, dem Hessischen Beauftragten f\u00fcr Datenschutz und Informationsfreiheit (HBDI) eine Verletzung des Schutzes personenbezogener Daten gem\u00e4\u00df Art. 33 DSGVO.<\/p>\n
Hintergrund war, dass eine der Sparkassen-Mitarbeiterinnen mehrmals unbefugt auf personenbezogene Daten des Kl\u00e4gers, der Kunde des Instituts war, zugegriffen hatte. Die Sparkasse sah davon ab, den Kl\u00e4ger von der Verletzung des Schutzes seiner personenbezogenen Daten zu benachrichtigen.<\/p>\n
Nachdem der Kl\u00e4ger Kenntnis von den unberechtigterweise erfolgten Zugriffe auf seine personenbezogenen Daten erhielt, reichte er am 27. Juli 2020 beim HBDI gem\u00e4\u00df Art. 77 DSGVO eine Beschwerde ein. In dieser Beschwerde r\u00fcgte er, dass er unter Versto\u00df gegen Art. 34 dieser Verordnung von der Verletzung des Schutzes seiner personenbezogenen Daten nicht benachrichtigt worden sei. Ferner kritisierte er die Speicherdauer der Zugriffsprotokolle der Sparkasse, die nur drei Monate betrage, sowie die umfassenden Zugriffsrechte, \u00fcber die die Mitarbeiter der Sparkasse verf\u00fcgten.<\/p>\n
Infolge der Beschwerde des sp\u00e4teren Kl\u00e4gers h\u00f6rte der HBDI die Sparkasse sowohl schriftlich als auch m\u00fcndlich zu den gegen sie erhobenen Vorw\u00fcrfen an. Im Rahmen der Anh\u00f6rung wies die Sparkasse darauf hin, dass sie von einer Benachrichtigung nach Art. 34 DSGVO abgesehen habe, da ihr Datenschutzbeauftragter der Ansicht gewesen sei, dass kein hohes Risiko f\u00fcr die Rechte und Freiheiten von TR bestehe.<\/p>\n
Gegen die betreffende Mitarbeiterin seien n\u00e4mlich Disziplinarma\u00dfnahmen ergriffen worden, und diese habe schriftlich best\u00e4tigt, dass sie die personenbezogenen Daten weder kopiert oder gespeichert noch an Dritte \u00fcbermittelt habe, sowie zugesagt, dies auch zuk\u00fcnftig nicht zu tun. Au\u00dferdem teilte die Sparkasse dem HBDI auf seine Beanstandung der zu kurzen Speicherdauer der Zugriffsprotokolle hin mit, dass dieser Punkt \u00fcberpr\u00fcft werde.<\/p>\n
Mit Bescheid vom 3. September 2020 teilte der HBDI dem Beschwerdef\u00fchrer mit, dass die Sparkasse nicht gegen Art. 34 DSGVO versto\u00dfen habe, da die Beurteilung der Sparkasse, dass die Verletzung des Schutzes personenbezogener Daten nicht mit einem hohen Risiko f\u00fcr seine Rechte und Freiheiten im Sinne dieses Artikels einhergehe, nicht offensichtlich falsch gewesen sei.<\/p>\n Denn obgleich die Mitarbeiterin auf die Daten zugegriffen habe, gebe es keinerlei Anhaltspunkte daf\u00fcr, dass diese sie an Dritte weitergegeben oder zum Nachteil des Beschwerdef\u00fchrers verwendet habe. Des Weiteren f\u00fchrte der HBDI aus, dass er die Sparkasse aufgefordert habe, ihre Zugriffsprotokolle k\u00fcnftig l\u00e4nger als drei Monate zu speichern.<\/p>\n Was schlie\u00dflich die Frage des Zugriffs der Mitarbeiter der Sparkasse auf personenbezogene Daten angeht, wies der HBDI die Beschwerde mit der Begr\u00fcndung zur\u00fcck, dass grunds\u00e4tzlich umfangreiche Zugriffsrechte erteilt werden d\u00fcrften, wenn sichergestellt sei, dass jeder Nutzer belehrt werde, unter welchen Bedingungen auf die Daten zugegriffen werden d\u00fcrfe. Eine grunds\u00e4tzliche Kontrolle jedes einzelnen Zugriffs ist nach Ansicht des HBDI insoweit nicht erforderlich.<\/p>\n Gegen den Bescheid vom 3. September 2020 erhob die betreffende Person Klage beim Verwaltungsgericht Wiesbaden (Deutschland), und beantragte, den HBDI zum Einschreiten gegen die Sparkasse zu verpflichten.<\/p>\n Das Gericht legte den Fall dem Europ\u00e4ischen Gerichtshof (EuGH) zur Beurteilung und Kl\u00e4rung vor. Dessen Richter f\u00e4llten die Entscheidung, dass\u00a0Art. 57 Abs. 1 Buchst. a und f, Art. 58 Abs. 2 sowie Art. 77 Abs. 1 der Verordnung (EU) 2016\/679 des Europ\u00e4ischen Parlaments und des Rates vom 27. April 2016 zum Schutz nat\u00fcrlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95\/46\/EG (Datenschutz-Grundverordnung) dahin auszulegen sind, dass\u00a0die Aufsichtsbeh\u00f6rde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, nach diesem Art. 58 Abs. 2 eine Abhilfema\u00dfnahme zu ergreifen. Dies umfasst auch, eine Geldbu\u00dfe zu verh\u00e4ngen, wenn ein solches Einschreiten nicht geeignet, erforderlich oder verh\u00e4ltnism\u00e4\u00dfig ist, um der festgestellten Unzul\u00e4nglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gew\u00e4hrleisten.<\/p>\n Der Hessische Beauftragte f\u00fcr Datenschutz und Informationsfreiheit (HBDI) begr\u00fc\u00dft<\/a> das am 26. Sept. 2024 verk\u00fcndete Urteil des EuGH in der Rechtssache C-768\/21. Der Europ\u00e4ische Gerichtshof (EuGH) habe die Befugnisse und Pflichten der Datenschutzaufsichtsbeh\u00f6rden bei der Durchsetzung der Datenschutz-Grundverordnung (DS-GVO) weiter konkretisiert.<\/p>\n \"Mit seiner Entscheidung schafft der EuGH Rechtssicherheit und leistet damit einen richtungsweisenden Beitrag zur Harmonisierung des europ\u00e4ischen Datenschutzrechts.\" sagt der HBDI Prof. Dr. Alexander Ro\u00dfnagel.<\/p>\n Der EuGH stellt hierzu fest, dass die Datenschutzaufsichtsbeh\u00f6rden, auch wenn sie eine Verletzung des Schutzes personenbezogener Daten feststellen, nicht verpflichtet sind, eine Abhilfema\u00dfnahme zu ergreifen, insbesondere Geldbu\u00dfen zu verh\u00e4ngen, wenn dies nicht erforderlich ist, um der festgestellten Unzul\u00e4nglichkeit abzuhelfen und die Einhaltung dieser Verordnung zu gew\u00e4hrleisten, so der HBDI weiter.<\/p>\n Ein solcher Fall k\u00f6nnte u.a. dann vorliegen, wenn der f\u00fcr die Verarbeitung Verantwortliche, sobald er von der Verletzung Kenntnis erlangt hat, die erforderlichen Ma\u00dfnahmen ergriffen hat, damit die Verletzung abgestellt wird und sich nicht wiederholt.<\/p>\n Positiv sieht der HBDI, dass die\u00a0DS-GVO der Aufsichtsbeh\u00f6rde ein Ermessen hinsichtlich der Art und Weise einr\u00e4umt, wie sie der festgestellten Unzul\u00e4nglichkeit abhilft. Dieses Ermessen wird durch das Erfordernis begrenzt, durch den klar durchsetzbaren Rechtsrahmen der DS-GVO ein gleichm\u00e4\u00dfiges und hohes Schutzniveau f\u00fcr personenbezogene Daten zu gew\u00e4hrleisten.<\/p>\n Der Hessische Datenschutzbeauftragte hebt insbesondere positiv hervor, dass der EuGH klarstellt, dass die Aufsichtsbeh\u00f6rde bei der Durchsetzung der DS-GVO mit Augenma\u00df vorgehen und insbesondere konstruktive Ma\u00dfnahmen der Verantwortlichen ber\u00fccksichtigen kann. Dies gibt f\u00fcr diese einen positiven Anreiz, die Einhaltung von Datenschutzvorgaben zu \u00fcberwachen und bei Verletzungen unmittelbar zu reagieren. Die Entscheidung gibt den Beh\u00f6rden die n\u00f6tige Flexibilit\u00e4t, um individuell auf Verst\u00f6\u00dfe reagieren zu k\u00f6nnen.<\/p>\n \"Der HBDI wird seine Praxis weiterhin daran ausrichten, Datenschutzverst\u00f6\u00dfe effektiv zu verfolgen und gleichzeitig sicherstellen, dass Ma\u00dfnahmen in jedem Einzelfall verh\u00e4ltnism\u00e4\u00dfig und im Interesse der Betroffenen ergriffen werden\", so Ro\u00dfnagel.<\/p>\n","protected":false},"excerpt":{"rendered":" Der Europ\u00e4ische Gerichtshof (EuGH) hat gerade ein Urteil zum Ermessensspielraum von Datenschutzbeh\u00f6rden bei Ma\u00dfnahme nach Art. 58 Abs. 2 DSGVO (insbesondere Geldbu\u00dfen) gef\u00e4llt. Aufsichtsbeh\u00f6rden m\u00fcssen weiterhin keine Ma\u00dfnahmen bei Verst\u00f6\u00dfen ergreifen, haben aber eine Begr\u00fcndungspflicht bez\u00fcglich der Entscheidung, unt\u00e4tig zu … Weiterlesen ![\"EuGH](\"https:\/\/i.postimg.cc\/50334HyR\/image.png\")
<\/a><\/p>\nStellungnahme des Hessischen Datenschutzbeauftragten<\/h2>\n