Der Europäische Gerichtshof hat eine wichtige Entscheidung zur Handhabung von DSGVO-Verstößen getroffen (Az.: C-768/21). Die Richter stellten klar, dass Datenschutzbehörden nicht verpflichtet sind, bei jedem Verstoß gegen die Datenschutz-Grundverordnung automatisch Sanktionen zu verhängen. Die Entscheidung stärkt einen eher pragmatischen Ansatz im Datenschutzrecht und belohnt proaktives Handeln der Verantwortlichen.
Der Fall wurde durch eine Klage gegen den hessischen Landesdatenschutzbeauftragten ausgelöst, nachdem eine Sparkassenmitarbeiterin unerlaubt auf Kundendaten zugegriffen hatte. Obwohl die Sparkasse umgehend reagierte, indem sie disziplinarische Maßnahmen einleitete und eine schriftliche Erklärung der Mitarbeiterin einholte, dass die Daten nicht weitergegeben wurden, klagte der betroffene Kunde auf Verhängung einer Geldbuße.
Maßnahmen schützen vor Strafe
Der EuGH entschied, dass die Aufsichtsbehörden einen Ermessensspielraum haben und Sanktionen nur dann verhängen müssen, wenn diese geeignet, erforderlich und verhältnismäßig sind. Wenn ein Unternehmen bereits eigenständig wirksame Maßnahmen ergriffen hat, um den Verstoß abzustellen und künftige Verstöße zu verhindern, kann die Behörde von Sanktionen absehen.