Der Europäische Gerichtshof (EuGH) hat in der Rechtssache C-768/21 die Zuständigkeiten und Pflichten der Aufsichtsbehörden für den Datenschutz bei der Durchsetzung der DSGVO weiter präzisiert. Der Beschluss basiert auf einer Vorlagefrage des Verwaltungsgerichts Wiesbaden, die klären sollte, ob und in welchem Umfang betroffene Personen einen Anspruch auf das Ergreifen einer Maßnahme durch die Aufsichtsbehörde gegenüber dem Verantwortlichen haben, wenn ein Datenschutzverstoß festgestellt wurde.
Der EuGH stellte fest, dass die Aufsichtsbehörden, auch wenn sie eine Verletzung des Datenschutzes feststellen, nicht automatisch zu Abhilfemaßnahmen verpflichtet sind. Insbesondere müssen keine Geldstrafen verhängt werden, wenn dies nicht erforderlich ist, um die festgestellten Mängel zu beheben und die Einhaltung der DSGVO sicherzustellen. Das bedeutet, dass Aufsichtsbehörden in jedem Fall prüfen müssen, ob und in welchem Umfang Maßnahmen notwendig sind, um den Datenschutzanforderungen gerecht zu werden.
Ein solcher Fall könnte zum Beispiel dann vorliegen, wenn der Verantwortliche für die Verarbeitung von personenbezogenen Daten nach Kenntnisnahme des Verstoßes bereits die notwendigen Schritte ergriffen hat, um die Verletzung abzustellen und zukünftige Verstöße zu vermeiden. Dann könnte die Aufsichtsbehörde entscheiden, keine weiteren Maßnahmen zu ergreifen, da das Ziel der DSGVO, der Schutz von personenbezogenen Daten, bereits erreicht wurde.
Die DSGVO gewährt den Aufsichtsbehörden ein Ermessen in Bezug auf die Wahl der Maßnahmen, mit denen sie auf festgestellte Unzulänglichkeiten reagieren. Dieses Ermessen wird jedoch durch das Ziel der DSGVO begrenzt, ein einheitliches und hohes Schutzniveau für personenbezogene Daten zu gewährleisten. Dies stellt sicher, dass trotz der Flexibilität in der Reaktion der Aufsichtsbehörden ein hoher und effektiver Datenschutzstandard aufrechterhalten wird.
