Keine Verpflichtung einer Datenschutzaufsichtsbehörde im Falle einer Verletzung des Schutzes personenbezogener Daten Abhilfemaßnahmen zu ergreifen

Einem Vorabentscheidungsersuchen an den Europäischen Gerichtshof (EuGH) lag der Fall zugrunde, dass eine Mitarbeiterin eines Kreditinstitutes mehrfach unbefugt auf Daten eines Kunden zugegriffen hatte. Nach Feststellung dieses Vorfalls erfolgte eine Meldung an die Datenschutzaufsichtsbehörde. Eine Unterrichtung der betroffenen Person unterblieb jedoch, da seitens des Verantwortlichen die Angelegenheit als wenig risikobehaftet eingeordnet wurde. Als der Betroffene von dem Vorfall erfuhr, beschwerte sich der Betroffene bei der zuständigen Datenschutzaufsichtsbehörde und verlangte von dieser Abhilfemaßnahmen. Diese lehnte die Datenschutzaufsichtsbehörde jedoch aufgrund der bereits durch das Kreditinstitut eingeleiteten und getroffene Maßnahmen ab. Hiergegen klagte die betroffene Person. Im Zentrum des dann durch das vorlegende Gericht eingeleiteten Vorabentscheidungsersuchens beim EuGH stand damit die Frage, ob eine Datenschutzaufsichtsbehörde stets zu Einleitung von Abhilfemaßnahmen verpflichtet ist. Dies verneinte der EuGH jedoch und räumte der Datenschutzaufsichtsbehörde ein Ermessen ob und wie sie im Falle der Verletzung personenbezogener Daten Abhilfemaßnahmen einleitet (EuGH  Rs. C – 768/21).
 
Für die Praxis hat diese Entscheidung große Bedeutung, denn damit sind bei der Verletzung des Schutzes personenbezogener Daten seitens der Datenschutzaufsichtsbehörde weder bestimmte Abhilfemaßnahmen noch Bußgelder zwingend. Dies gilt insbesondere, wenn der Verantwortliche sogleich selbst Maßnahmen ergreift. Daher lohnt es sich diese auch im Falle eines Falles sogleich zu ergreifen.