Art 34, 57, 58 und 77 DSGVO Datenschutz; Recht auf Beschwerde bei einer Aufsichtsbehörde; Aufgaben und Befugnisse der Aufsichtsbehörde; Beurteilungs- und Ermessensspielraum der Aufsichtsbehörde
Mit Vorabentscheidungsersuchen vom 10. Dezember 2021, eingegangen beim EuGH am 14. Dezember 2021, will das Verwaltungsgericht Wiesbaden (Deutschland) im Wesentlichen klären, ob der nationalen Aufsichtsbehörde im Falle der Feststellung eines Verstoßes gegen die Bestimmungen der DSGVO ein Ermessen dahin- gehend zusteht, ob Maßnahmen und Sanktionen zu treffen sind oder nicht. Dem Vorabentscheidungsersuchen liegt folgendes Ausgangsverfahren zugrunde: Der (spätere) Kläger erlangte Kenntnis davon, dass eine Mitarbeiterin einer Bank mehrmals unbefugt auf seine Personenstammdaten, Umsatzdaten und Daten über seine wirtschaftlichen Verhältnisse zugegriffen hatte. Der Kläger wandte sich daraufhin an den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (im Folgenden: Datenschutzbeauftragter) und zeigte ua einen Verstoß gegen Art 34 DSGVO (der die Pflicht des Verantwortlichen zur unverzüglichen Benachrichtigung einer betroffenen Person regelt, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat) an. Die Bank selbst hatte dem Datenschutzbeauftragten die Datenschutzverletzung davor gemäß Art 33 DSGVO gemeldet. Der Datenschutzbeauftragte kam nach Anhörung der Bank zu dem Schluss, dass die Bank nicht gegen Art 34 DSGVO verstoßen habe: In dessen Rahmen sei eine Prognoseentscheidung zu treffen, die Bank sei nach einer Unterredung mit der betreffenden Mitarbeiterin von keinem hohen Risiko ausgegangen. Aus datenschutzaufsichtsrechtlicher Pflicht sei zu prüfen, ob die Prognoseentscheidung offensichtlich falsch gewesen sei; der Datenschutzbeauftragte kam zu dem Schluss, dass die getroffene Prognoseentscheidung – wenngleich es auch Argumente für eine andere Entscheidung geben könne – im konkreten Fall sicherlich möglich gewesen sei und daher kein Verstoß gegen Art 34 DSGVO vorliege. Der Kläger erhob gegen diese Entscheidung Klage beim vorlegenden Verwaltungsgericht Wiesbaden und brachte vor, dass der Datenschutzbeauftragte seine Beschwerde nicht nach den Vorgaben der DSGVO bearbeitet habe: Es bestünde ein Anspruch auf Einschreiten; der Datenschutzbeauftragte müsse alle tatsächlichen Umstände für die Beurteilung des Risikos ermitteln; er müsse alles berücksichtigen, was ihm vorgetragen wurde und sei im Weiteren auch nicht auf solche Maßnahmen beschränkt, die ausdrücklich beantragt wurden. Dem Datenschutzbeauftragten komme bei einem festgestellten Verstoß kein Entschließungsermessen, allenfalls ein Auswahlermessen dahingehend zu, welche Maßnahmen konkret zu ergreifen sind. Das Verwaltungsgericht Wiesbaden fragt sich nun, ob die Aufsichtsbehörde in dem Fall, dass sie einen Verstoß gegen die Vorgaben der DSGVO feststellt, jedenfalls verpflichtet ist, im Rahmen ihrer Befugnisse gemäß Art 58 DSGVO einzuschreiten. Es führt dazu aus, dass in dem Fall, dass kein Ermessen der Aufsichtsbehörde bestehe, bei der Feststellung eines Verstoßes immer ein Anspruch auf Einschreiten und Abhilfe bestünde und die Aufsichtsbehörde in allen diesen Fällen eine Maßnahme nach Art 58 Abs 2 bzw Art 83 Abs 2 DSGVO zu treffen hätte. Das vorlegende Gericht führt im Weiteren aus, dass es diese Auslegung als zu weitgehend empfindet und vielmehr davon ausgeht, dass der Aufsichtsbehörde ein gewisser Beurteilungs- und Ermessensspielraum in Bezug auf ein mögliches Einschreiten zuzugestehen sei und die Aufsichtsbehörde im Einzelfall – trotz eines Verstoßes – zulässigerweise auf ein Tätigwerden verzichten könne. Das vorlegende Gericht weist dazu auch auf Art 57 Abs 1 DSGVO sowie die Erwägungsgründe 129 und 131 hin, aus denen sich lediglich eine Pflicht zu einer sorgsamen inhaltlichen Prüfung ergibt, nicht jedoch, dass stets und ausnahmslos bei jedem Verstoß ein Einschreiten geboten ist. Das vorlegende Gericht weist gleichwohl auf abweichende Positionen in der Literatur hin: Dort wird die Ansicht vertreten, dass die betroffene Person, die durch die betreffende Datenverarbeitung in ihren Rechten verletzt wurde, einen Anspruch auf Erlass entsprechender Abhilfemaßnahmen nach Art 58 Abs 2 DSGVO habe; begründend wird darauf verwiesen, dass die Abhilfebefugnisse gemäß Art 58 Abs 2 DSGVO dazu dienten, rechtmäßige Zustände wiederherzustellen. Art 58 Abs 2 DSGVO sei insofern als Verpflichtungsnorm zu verstehen, die Aufsichtsbehörde habe lediglich ein Auswahlermessen dahingehend, welche in Art 58 Abs 2 DSGVO genannte Maßnahme sie konkret ergreift. Vor diesem Hintergrund will das Verwaltungsgericht Wiesbaden wissen, ob Art 57 Abs 1 und Art 58 Abs 2 iVm Art 77 Abs 1 DSGVO dahingehend auszulegen sind, dass in dem Fall, dass die Aufsichtsbehörde eine Datenverarbeitung feststellt, die den Betroffenen in seinen Rechten verletzt, die Aufsichtsbehörde stets verpflichtet ist, nach Art 58 Abs 2 DSGVO einzuschreiten.
