Der Fall betraf eine Beschwerde gegen die hessische Datenschutzbehörde, die trotz festgestellter Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) keine Geldbuße verhängt hatte. Der EuGH stellte klar, dass die Behörden zwar verpflichtet sind auf Verstöße zu reagieren, jedoch nicht zwangsläufig Sanktionen aussprechen müssen, sofern andere Maßnahmen wie verpflichtende Anpassungen der Datenschutzprozesse oder intensive Überwachungen dieser ausreichend sind, um die festgestellten Mängel zu beheben.
Nationale Aufsichtsbehörden bei festgestellten Datenschutzverletzungen sind verpflichtet, angemessene Maßnahmen zu ergreifen, um die Einhaltung der DSGVO sicherzustellen. Dabei verfügen die Behörden jedoch über einen Ermessensspielraum, um im Einzelfall zu entscheiden, welche Maßnahmen verhältnismäßig, geeignet und erforderlich sind. Sanktionen wie Geldbußen müssen nur verhängt werden, wenn sie zur Abhilfe erforderlich sind.
Der EuGH hebt hervor, dass die Verhältnismäßigkeit nicht nur auf die Schwere des Verstoßes, sondern auch auf die proaktiven Bemühungen des Unternehmens abgestellt werden muss. Für Unternehmen bedeutet dies weiterhin eine klare Verantwortung, Datenschutzvorgaben einzuhalten, jedoch auch die Möglichkeit, durch präventive Maßnahmen und Kooperation mit den Aufsichtsbehörden strengere Sanktionen zu vermeiden.
Ein Weg, um die Anforderungen der DSGVO einzuhalten, findet sich in Art. 40 DSGVO. Verhaltensregeln, als Instrument der Selbst- und Koregulierung, können die notwendigen überprüfbaren Strukturen und Prozesse liefern und so Transparenz gewährleisten.
Weitere Informationen finden Sie im vollständigen Urteil des EuGH.
