Schlussanträge des Generalanwaltes am EuGH: Datenschutzaufsichtsbehörde muss nach Feststellung eines Verstoßes gegen DSGVO nach Beschwerde einschreiten, hat aber Ermessen für konkrete Maßnahme, die geeignet, erforderlich und angemessen sein muss

So die Schlussanträge vom 11. April 2024 (Az.: C‑768/21) im Rahmen eines Vorabentscheidungsersuchens des VG Wiesbaden in einem dortigen Rechtsstreit. In der Begründung der Schlussanträge heißt es unter anderem:

„…Stellt die Aufsichtsbehörde bei der Prüfung einer Beschwerde eine Verletzung des Schutzes personenbezogener Daten fest, stellt sich die Frage, wie sie weiter vorzugehen hat. Wie ich nachstehend erläutern werde, begründet eine solche Feststellung zunächst eine Verpflichtung für die Aufsichtsbehörde, gemäß dem Legalitätsprinzip einzuschreiten. Es geht allgemein darum, die Abhilfemaßnahme(n) [zu] ermitteln, die zur Behebung des Verstoßes am besten geeignet ist bzw. sind(14). Diese Auslegung erscheint mir sinnvoll, zumal Art. 57 Abs. 1 Buchst. a DSGVO der Behörde die Aufgabe überträgt, „die Anwendung dieser Verordnung [zu] überwachen und durch[zu]setzen“. Es wäre mit diesem Mandat nicht zu vereinbaren, wenn die Aufsichtsbehörde den festgestellten Verstoß einfach ignorieren könnte(15).

Zudem wären die der Aufsichtsbehörde nach Art. 58 Abs. 1 DSGVO zustehenden Untersuchungsbefugnisse nicht viel wert, wenn die Aufsichtsbehörde gezwungen wäre, sich trotz der Feststellung einer Verletzung des Rechts auf Schutz personenbezogener Daten auf die Durchführung einer Untersuchung zu beschränken. Die Durchsetzung des Unionsrechts im Bereich des Schutzes personenbezogener Daten ist nämlich ein wesentlicher Bestandteil des Begriffs „Überwachung“ im Sinne von Art. 16 Abs. 2 AEUV und Art. 8 Abs. 3 der Charta(16). In diesem Kontext darf nicht vergessen werden, dass die Aufsichtsbehörde auch im Interesse der Person oder Einrichtung handelt, deren Rechte verletzt wurden. Hierzu ist anzumerken, dass Art. 57 Abs. 1 Buchst. f und Art. 77 Abs. 2 DSGVO bestimmte Verpflichtungen gegenüber dem Beschwerdeführer auferlegen, nämlich ihn „über den Fortgang und das Ergebnis der Untersuchung [zu] unterrichten“.

Dieser letzte Satz besagt, dass die Aufsichtsbehörde auch über die Maßnahmen zu unterrichten hat, die wegen der von ihr festgestellten Verletzung des Schutzes personenbezogener Daten ergriffen wurden. Es liegt auf der Hand, dass das Beschwerdeverfahren völlig nutzlos wäre, wenn die Aufsichtsbehörde angesichts einer unionsrechtswidrigen Rechtslage passiv bleiben könnte. Um der Aufsichtsbehörde ein wirksames Mittel für den Umgang mit derartigen Rechtsverletzungen an die Hand zu geben, sieht Art. 58 Abs. 2 DSGVO daher einen Katalog von je nach der Intensität des Eingriffs gestaffelten Abhilfemaßnahmen vor. Die Pflicht, unabhängig von der Schwere der Rechtsverletzung in jedem Fall einzuschreiten, bedeutet, dass die Aufsichtsbehörde auf diesen Katalog von Abhilfemaßnahmen zurückgreifen muss, um einen unionsrechtskonformen Zustand wiederherzustellen…“

Hinweis des Autors:

Dies ist noch kein Urteil des EuGH. Dieses wird noch gesprochen, in den meisten Fällen wird aber der Ansicht aus den Schlussanträgen des Generalanwaltes in den Entscheidungen gefolgt.