Keine individuelle Durchsetzung von Sanktionen gegenüber Datenschutzaufsichtsbehörden – Hintergründe eines aktuellen EuGH-Urteils
Mit Entscheidung vom 14. März 2024 (Rs. C-768/21) hat der Europäische Gerichtshof (EuGH) klargestellt, dass betroffene Personen kein einklagbares Recht gegenüber einer Datenschutzaufsichtsbehörde haben, die Verhängung einer Geldbuße oder andere Abhilfemaßnahmen gegen Verantwortliche einer Datenschutzverletzung zu verlangen. Diese Entscheidung verdeutlicht die Rolle und den Handlungsspielraum der Aufsichtsbehörden und hat weitreichende Konsequenzen für den Rechtschutz Betroffener.
Gesetzlicher Rahmen und der Auftrag der Aufsichtsbehörden
Die Struktur der Datenschutz-Grundverordnung
Die Datenschutz-Grundverordnung (DSGVO), als Kernregelwerk des europäischen Datenschutzrechts, sieht für Verstöße gegen datenschutzrechtliche Pflichten ein abgestuftes System aus Sanktionen und Abhilfemaßnahmen vor. Die Zuständigkeit für deren Durchsetzung liegt primär bei den nationalen Datenschutzaufsichtsbehörden. Die Behörden sind nach Art. 57 ff. DSGVO verpflichtet, Beschwerden nachzugehen, Sachverhalte aufzuklären und bei festgestellten Verstößen in eigener Verantwortung angemessene Maßnahmen zu ergreifen.
Aufgabe als „Hüterin“ des Datenschutzrechts
Die Rolle der Aufsichtsbehörden beschränkt sich nicht auf die bloße Rechtsdurchsetzung im Einzelfall. Vielmehr kommt ihnen die Funktion einer unabhängigen Instanz zu, die zwischen Betroffenen und Verantwortlichen vermittelt und die Einhaltung des Datenschutzrechts gewährleistet. Ihre Tätigkeit ist geprägt von prozessualen Ermessensspielräumen, die eine situationsangemessene Reaktion auf unterschiedliche Verstöße ermöglichen.
Betrifft: Kein individueller Anspruch auf Sanktionen oder Abhilfemaßnahmen
Anlass und EuGH-Entscheidung
Dem Urteil lag ein Fall zugrunde, in dem eine betroffene Person die Verhängung einer Geldbuße gegenüber einem Verantwortlichen forderte. Die Aufsichtsbehörde nahm zwar Ermittlungen auf, verhängte jedoch keine Sanktion. Nach Auffassung des EuGH ist die Behörde bei der Auswahl und Beurteilung der Maßnahmen nicht an individuelle Forderungen gebunden.
Kern der Entscheidung ist, dass die Betroffenen zwar ein Recht auf effektive Beschwerdebearbeitung und Information über das Ergebnis ihrer Beschwerde haben, aber keinen spezifischen Anspruch auf eine bestimmte Maßnahme – etwa eine Geldbuße – geltend machen können. Die Auswahl und Intensität etwaiger Sanktionen liegen im freien Ermessen der Behörde.
Begründung des Gerichts
Die Richter betonten, dass die Sanktionsregelungen der DSGVO in erster Linie öffentliche Interessen schützen und nicht vorrangig individuelle Ersatz- oder Genugtuungsansprüche regeln. Wird eine Datenschutzverletzung festgestellt, ist die Behörde vielmehr verpflichtet, angemessene Maßnahmen im Rahmen ihres Ermessens zu ergreifen. Die Entscheidung über die Art und Höhe einer Sanktion erfolgt dabei unabhängig vom Begehren der betroffenen Person.
Auswirkungen für den Rechtsschutz Betroffener
Rechte der betroffenen Person
Betroffene können weiterhin Beschwerden einlegen und die Durchführung eingehender Untersuchungen fordern. Im Falle einer Beschwerde ist die zuständige Aufsichtsbehörde verpflichtet, den Sachverhalt objektiv zu prüfen und das Ergebnis mitzuteilen. Ein einklagbares Recht auf Verhängung einer bestimmten Sanktion besteht aber nicht. Will die betroffene Person weitergehend gegen Verantwortliche vorgehen, bleibt der Weg über einen zivilrechtlichen Schadensersatzanspruch offen, der jedoch gesondert geltend zu machen ist.
Bedeutung für die Praxis
Für Unternehmen, öffentliche Stellen und sonstige Datenverarbeiter bringt die Entscheidung mehr Rechtssicherheit im Umgang mit Anfragen und Beschwerden von Betroffenen. Im Bereich der unternehmensinternen Compliance und im Rahmen aufsichtsrechtlicher Verfahren ist der Entscheidungsspielraum der Behörden zu beachten. Betroffene hingegen müssen sich darauf einstellen, dass sie eine Sanktionierung des Verantwortlichen nicht erzwingen können, sondern auf das behördliche Ermessen angewiesen sind.
Ausblick und laufende Entwicklungen
Das Urteil verdeutlicht die Grenzen des Individualrechtsschutzes im europäischen Datenschutzrecht. Die Rolle der Aufsichtsbehörden bleibt dadurch gestärkt, während die Durchsetzung individueller Ansprüche auf Entschädigung oder die Anordnung von Bußgeldern weiterhin spezialgesetzlichen Regelungen und separaten Gerichtsverfahren vorbehalten bleibt. Es bleibt abzuwarten, wie nationale Gerichte und Behörden die Entscheidung in der Praxis umsetzen und inwieweit gegebenenfalls Anpassungsbedarf im Bereich der Beschwerdeprozesse gesehen wird.
Bei weitergehenden Fragen rund um datenschutzrechtliche Fragestellungen, behördliche Verfahren oder Sanktionspraxis unterstützen Sie die Rechtsanwälte von MTR Legal gerne mit fundiertem Rechtsrat und langjähriger Erfahrung im Bereich des Datenschutzrechts.
Quelle:
EuGH, Urteil vom 14.03.2024, C-768/21, https://curia.europa.eu/juris/document/document.jsf?docid=284844
