EuGH: Keine Verpflichtung der Aufsichtsbehörde zur Verhängung einer Geldbuße gem. Art. 58 Abs. 2 DSGVO
EuGH, Urteil vom 26.9.2024 – C-768/21; TR gegen Land Hessen
ECLI:EU:C:2024:785
Volltext: BB-Online BBL2024-2370-1
Tenor
Art. 57 Abs. 1 Buchst. a und f, Art. 58 Abs. 2 sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, nach diesem Art. 58 Abs. 2 eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen, wenn ein solches Einschreiten nicht geeignet, erforderlich oder verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten.
Aus den Gründen
1 Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 57 Abs. 1 Buchst. a und f, Art. 58 Abs. 2 sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2018, L 127, S. 2, im Folgenden: DSGVO).
2 Es ergeht im Rahmen eines Rechtsstreits zwischen TR und dem Land Hessen (Deutschland) wegen der Weigerung des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (im Folgenden: HBDI), gegenüber der Sparkasse X (im Folgenden: Sparkasse) Abhilfemaßnahmen zu ergreifen.
Rechtlicher Rahmen
3 In den Erwägungsgründen 6, 7, 10, 129 und 148 der DSGVO heißt es:
„(6) Rasche technologische Entwicklungen und die Globalisierung haben den Datenschutz vor neue Herausforderungen gestellt. Das Ausmaß der Erhebung und des Austauschs personenbezogener Daten hat eindrucksvoll zugenommen. …
(7) Diese Entwicklungen erfordern einen soliden, kohärenteren und klar durchsetzbaren Rechtsrahmen im Bereich des Datenschutzes in der [Europäischen] Union, da es von großer Wichtigkeit ist, eine Vertrauensbasis zu schaffen, die die digitale Wirtschaft dringend benötigt, um im Binnenmarkt weiter wachsen zu können. …
…
(10) Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. …
…
(129) … Die Befugnisse der Aufsichtsbehörden sollten in Übereinstimmung mit den geeigneten Verfahrensgarantien nach dem Unionsrecht und dem Recht der Mitgliedstaaten unparteiisch, gerecht und innerhalb einer angemessenen Frist ausgeübt werden. Insbesondere sollte jede Maßnahme im Hinblick auf die Gewährleistung der Einhaltung dieser Verordnung geeignet, erforderlich und verhältnismäßig sein, wobei die Umstände des jeweiligen Einzelfalls zu berücksichtigen sind, das Recht einer jeden Person, gehört zu werden, bevor eine individuelle Maßnahme getroffen wird, die nachteilige Auswirkungen auf diese Person hätte, zu achten ist und überflüssige Kosten und übermäßige Unannehmlichkeiten für die Betroffenen zu vermeiden sind. …
…
(148) Im Interesse einer konsequenteren Durchsetzung der Vorschriften dieser Verordnung sollten bei Verstößen gegen diese Verordnung zusätzlich zu den geeigneten Maßnahmen, die die Aufsichtsbehörde gemäß dieser Verordnung verhängt, oder an Stelle solcher Maßnahmen Sanktionen einschließlich Geldbußen verhängt werden. Im Falle eines geringfügigeren Verstoßes oder falls [die] voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, kann anstelle einer Geldbuße eine Verwarnung erteilt werden. Folgendem sollte jedoch gebührend Rechnung getragen werden: der Art, Schwere und Dauer des Verstoßes, dem vorsätzlichen Charakter des Verstoßes, den Maßnahmen zur Minderung des entstandenen Schadens, dem Grad der Verantwortlichkeit oder jeglichem früheren Verstoß, der Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, der Einhaltung der gegen den Verantwortlichen oder Auftragsverarbeiter angeordneten Maßnahmen, der Einhaltung von Verhaltensregeln und jedem anderen erschwerenden oder mildernden Umstand. …“
4 Art. 5 DSGVO bestimmt:
„(1) Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (‚Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz‘);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden … (‚Zweckbindung‘);
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (‚Datenminimierung‘);
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein … (‚Richtigkeit‘);
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist … (‚Speicherbegrenzung‘);
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet … (‚Integrität und Vertraulichkeit‘)[.]
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“
5 Art. 24 Abs. 1 DSGVO sieht vor:
„Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“
6 Art. 33 DSGVO bestimmt:
„(1) Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. …
…
(3) Die Meldung gemäß Absatz 1 enthält zumindest folgende Informationen:
a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
b) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
d) eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
…“
7 Art. 34 Abs. 1 DSGVO lautet:
„Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.“
8 Kapitel VI („Unabhängige Aufsichtsbehörden“) der DSGVO umfasst deren Art. 51 bis 59.
9 In Art. 51 Abs. 1 DSGVO heißt es:
„Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird (im Folgenden ‚Aufsichtsbehörde‘).“
10 Art. 57 („Aufgaben“) Abs. 1 DSGVO bestimmt:
„Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet
a) die Anwendung dieser Verordnung überwachen und durchsetzen;
…
f) sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 80 befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist;
…“
11 Art. 58 („Befugnisse“) Abs. 1 und 2 DSGVO bestimmt:
„(1) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten,
a) den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind,
…
(2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,
a) einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,
b) einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,
c) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,
d) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,
e) den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffene Person entsprechend zu benachrichtigen,
f) eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen,
…
i) eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,
…“
12 Art. 77 DSGVO lautet:
„(1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.
(2) Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78.“
13 In Art. 83 Abs. 1 und 2 DSGVO heißt es:
„(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
(2) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und j verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:
a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;
b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;
e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;
f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;
i) Einhaltung der nach Artikel 58 Absatz 2 früher gegen den … betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden;
j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und
k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.“
Ausgangsverfahren und Vorlagefrage
14 Die Sparkasse ist eine kommunale Anstalt des öffentlichen Rechts, die u. a. Bank- und Kreditgeschäfte abwickelt. Am 15. November 2019 meldete sie dem HBDI gemäß Art. 33 DSGVO eine Verletzung des Schutzes personenbezogener Daten, da eine ihrer Mitarbeiterinnen mehrmals unbefugt auf personenbezogene Daten von TR, einem ihrer Kunden, zugegriffen hatte. Die Sparkasse sah davon ab, TR von der Verletzung des Schutzes seiner personenbezogenen Daten zu benachrichtigen.
15 Nachdem TR nebenbei davon Kenntnis erlangt hatte, dass unberechtigterweise auf seine personenbezogenen Daten zugegriffen worden war, reichte er am 27. Juli 2020 beim HBDI gemäß Art. 77 DSGVO eine Beschwerde ein. In dieser Beschwerde rügte er, dass er unter Verstoß gegen Art. 34 dieser Verordnung von der Verletzung des Schutzes seiner personenbezogenen Daten nicht benachrichtigt worden sei. Ferner kritisierte er die Speicherdauer der Zugriffsprotokolle der Sparkasse, die nur drei Monate betrage, sowie die umfassenden Zugriffsrechte, über die die Mitarbeiter der Sparkasse verfügten.
16 Infolge der Beschwerde von TR hörte der HBDI die Sparkasse sowohl schriftlich als auch mündlich zu den gegen sie erhobenen Vorwürfen an. Im Rahmen der Anhörung wies die Sparkasse darauf hin, dass sie von einer Benachrichtigung nach Art. 34 DSGVO abgesehen habe, da ihr Datenschutzbeauftragter der Ansicht gewesen sei, dass kein hohes Risiko für die Rechte und Freiheiten von TR bestehe. Gegen die betreffende Mitarbeiterin seien nämlich Disziplinarmaßnahmen ergriffen worden, und diese habe schriftlich bestätigt, dass sie die personenbezogenen Daten weder kopiert oder gespeichert noch an Dritte übermittelt habe, sowie zugesagt, dies auch zukünftig nicht zu tun. Außerdem teilte die Sparkasse dem HBDI auf seine Beanstandung der zu kurzen Speicherdauer der Zugriffsprotokolle hin mit, dass dieser Punkt überprüft werde.
17 Mit Bescheid vom 3. September 2020 teilte der HBDI TR mit, dass die Sparkasse nicht gegen Art. 34 DSGVO verstoßen habe, da die Beurteilung der Sparkasse, dass die Verletzung des Schutzes personenbezogener Daten nicht mit einem hohen Risiko für seine Rechte und Freiheiten im Sinne dieses Artikels einhergehe, nicht offensichtlich falsch gewesen sei. Denn obgleich die Mitarbeiterin auf die Daten zugegriffen habe, gebe es keinerlei Anhaltspunkte dafür, dass diese sie an Dritte weitergegeben oder zum Nachteil von TR verwendet habe. Des Weiteren führte der HBDI aus, dass er die Sparkasse aufgefordert habe, ihre Zugriffsprotokolle künftig länger als drei Monate zu speichern. Was schließlich die Frage des Zugriffs der Mitarbeiter der Sparkasse auf personenbezogene Daten angeht, wies der HBDI die Beschwerde von TR mit der Begründung zurück, dass grundsätzlich umfangreiche Zugriffsrechte erteilt werden dürften, wenn sichergestellt sei, dass jeder Nutzer belehrt werde, unter welchen Bedingungen auf die Daten zugegriffen werden dürfe. Eine grundsätzliche Kontrolle jedes einzelnen Zugriffs ist nach Ansicht des HBDI insoweit nicht erforderlich.
18 Gegen den Bescheid vom 3. September 2020 erhob TR Klage beim Verwaltungsgericht Wiesbaden (Deutschland), dem vorlegenden Gericht, und beantragte, den HBDI zum Einschreiten gegen die Sparkasse zu verpflichten.
19 Zur Begründung seiner Klage macht TR geltend, dass der HBDI seine Beschwerde nicht nach den Vorgaben der DSGVO, d. h. unter Berücksichtigung aller tatsächlichen Umstände, bearbeitet habe. Außerdem hätte der HBDI gegen die Sparkasse angesichts der verschiedenen von ihr begangenen Verstöße gegen diese Verordnung, insbesondere gegen Art. 5, Art. 12 Abs. 3, Art. 15 Abs. 1 Buchst. c, Art. 33 Abs. 1 und Art. 33 Abs. 3 DSGVO, eine Geldbuße verhängen müssen. Im Fall eines festgestellten Verstoßes gegen die Verordnung gelte nicht das Opportunitätsprinzip, so dass dem HBDI kein Entschließungsermessen, sondern allenfalls ein Auswahlermessen hinsichtlich der zu ergreifenden Maßnahmen zukomme.
20 Insoweit fragt sich das vorlegende Gericht im Wesentlichen, ob die DSGVO im Fall eines festgestellten Verstoßes gegen Bestimmungen über den Schutz personenbezogener Daten dahin auszulegen sei, dass die Aufsichtsbehörde verpflichtet sei, nach Art. 58 Abs. 2 dieser Verordnung Abhilfemaßnahmen – wie etwa die Verhängung einer Geldbuße – zu ergreifen, oder dahin, dass diese Behörde über ein Ermessen verfüge, das es ihr gestatte, je nach den Umständen vom Erlass solcher Maßnahmen abzusehen.
21 Das vorlegende Gericht legt dar, dass die erste Auslegung, die von TR befürwortet und auch in der Literatur teilweise vertreten werde, darauf beruhe, dass die Abhilfebefugnisse zur Wiederherstellung rechtmäßiger Zustände dienten, wenn Bürger durch eine Datenverarbeitung in ihren Rechten verletzt würden. Art. 58 Abs. 2 DSGVO sei also als Verpflichtungsnorm zu verstehen, die einen Anspruch des Bürgers auf behördliches Handeln begründe, wenn ein Unternehmen oder eine Behörde rechtswidrig personenbezogene Daten dieses Bürgers verarbeitet oder in anderer Weise Rechte verletzt habe. Im Fall der Feststellung eines Datenschutzverstoßes sei die Aufsichtsbehörde also zur Abhilfe verpflichtet, wobei ihr lediglich das Auswahlermessen bleibe, welche der vorgesehenen Maßnahmen sie ergreife.
22 Das vorlegende Gericht hat jedoch Zweifel an der Richtigkeit dieser Auslegung, die es für zu weitgehend hält, und neigt eher dazu, der Aufsichtsbehörde einen Spielraum zuzugestehen, der es ihr gestatte, in bestimmten Fällen auch bei festgestellten Verstößen vom Ergreifen einer Abhilfemaßnahme, insbesondere von der Verhängung einer Sanktion, abzusehen. Auch wenn die Aufsichtsbehörde nach Art. 57 Abs. 1 Buchst. f DSGVO eine Pflicht zu einer sorgsamen inhaltlichen Prüfung von Beschwerden sowie zur Prüfung jedes Einzelfalls treffe, sei sie gleichwohl nicht verpflichtet, in jeder Situation eine Abhilfemaßnahme zu ergreifen. So unterliege sie keiner solchen Verpflichtung, wenn in der Vergangenheit ein Verstoß gegen Datenschutzbestimmungen stattgefunden habe, der für die Verarbeitung Verantwortliche aber Maßnahmen getroffen habe, die erwarten ließen, dass ein Datenschutzverstoß nicht erneut auftreten werde.
23 Unter diesen Umständen hat das Verwaltungsgericht Wiesbaden beschlossen, das Verfahren auszusetzen und dem Gerichtshof die folgende Frage zur Vorabentscheidung vorzulegen:
Sind Art. 57 Abs. 1 Buchst. a und f sowie Art. 58 Abs. 2 Buchst. a bis j in Verbindung mit Art. 77 Abs. 1 DSGVO dahin gehend auszulegen, dass in dem Fall, dass die Aufsichtsbehörde eine Datenverarbeitung feststellt, die den Betroffenen in seinen Rechten verletzt, die Aufsichtsbehörde stets verpflichtet ist, nach Art. 58 Abs. 2 dieser Verordnung einzuschreiten?
Zur Zulässigkeit des Vorabentscheidungsersuchens
24 TR bestreitet zwar nicht ausdrücklich die Zulässigkeit des Vorabentscheidungsersuchens, macht aber geltend, dass es für die Entscheidung des Ausgangsrechtsstreits einer Beantwortung der Vorlagefrage nicht bedürfe. Ziel seiner Klage sei nur, dass das vorlegende Gericht den HBDI verurteilen möge, seine Beschwerde wegen der darin vorgebrachten Beschwerdepunkte gemäß Art. 57 Abs. 1 Buchst. f DSGVO zu bescheiden, nicht aber zum Gebrauch der Befugnisse aus Art. 58 Abs. 2 DSGVO zu verpflichten.
25 Insoweit ist darauf hinzuweisen, dass es im Rahmen der durch Art. 267 AEUV geschaffenen Zusammenarbeit zwischen dem Gerichtshof und den nationalen Gerichten allein Sache des nationalen Gerichts ist, das mit dem Rechtsstreit befasst ist und in dessen Verantwortungsbereich die zu erlassende Entscheidung fällt, im Hinblick auf die Besonderheiten der Rechtssache sowohl die Erforderlichkeit einer Vorabentscheidung für den Erlass seines Urteils als auch die Erheblichkeit der dem Gerichtshof vorzulegenden Fragen zu beurteilen. Betreffen die vorgelegten Fragen daher die Auslegung des Unionsrechts, ist der Gerichtshof grundsätzlich gehalten, darüber zu befinden (Urteil vom 30. November 2023, Ministero dell’Istruzione und INPS, C-270/22, EU:C:2023:933, Rn. 33 und die dort angeführte Rechtsprechung).
26 Infolgedessen spricht eine Vermutung für die Entscheidungserheblichkeit der Fragen, die ein nationales Gericht in dem rechtlichen und sachlichen Rahmen, den es in eigener Verantwortung festlegt und dessen Richtigkeit der Gerichtshof nicht zu prüfen hat, zur Auslegung des Unionsrechts stellt. Die Zurückweisung des Vorabentscheidungsersuchens eines nationalen Gerichts ist dem Gerichtshof nur möglich, wenn die erbetene Auslegung des Unionsrechts offensichtlich in keinem Zusammenhang mit den Gegebenheiten oder dem Gegenstand des Ausgangsrechtsstreits steht, wenn das Problem hypothetischer Natur ist oder wenn der Gerichtshof nicht über die tatsächlichen und rechtlichen Angaben verfügt, die für eine zweckdienliche Beantwortung der ihm vorgelegten Fragen erforderlich sind (Urteil vom 30. November 2023, Ministero dell’Istruzione und INPS, C-270/22, EU:C:2023:933, Rn. 34 und die dort angeführte Rechtsprechung).
27 Im vorliegenden Fall weist das vorlegende Gericht darauf hin, dass TR einen Anspruch auf Einschreiten des HBDI geltend gemacht und behauptet habe, dass dieser verpflichtet sei, gegen die Sparkasse eine Geldbuße zu verhängen.
28 Es ist daher nicht offensichtlich, dass die erbetene Auslegung des Unionsrechts in keinem Zusammenhang mit den Gegebenheiten oder dem Gegenstand des Ausgangsrechtsstreits steht.
29 Das Vorabentscheidungsersuchen ist demnach zulässig.
Zur Vorlagefrage
30 Zur Beantwortung der Vorlagefrage ist zunächst darauf hinzuweisen, dass bei der Auslegung einer Bestimmung des Unionsrechts nicht nur deren Wortlaut, sondern auch der Zusammenhang, in dem sie steht, sowie die Zwecke und Ziele, die mit dem Rechtsakt, zu dem sie gehört, verfolgt werden, zu berücksichtigen sind (Urteil vom 7. Dezember 2023, SCHUFA Holding [Restschuldbefreiung], C-26/22 und C-64/22, EU:C:2023:958, Rn. 48 und die dort angeführte Rechtsprechung).
31 Ferner ist darauf hinzuweisen, dass gemäß Art. 8 Abs. 3 der Charta der Grundrechte der Europäischen Union sowie Art. 51 Abs. 1 und Art. 57 Abs. 1 Buchst. a DSGVO die nationalen Aufsichtsbehörden die Einhaltung der Unionsvorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zu überwachen haben (Urteil vom 7. Dezember 2023, SCHUFA Holding [Restschuldbefreiung], C-26/22 und C-64/22, EU:C:2023:958, Rn. 55 und die dort angeführte Rechtsprechung).
32 Insbesondere ist jede Aufsichtsbehörde nach Art. 57 Abs. 1 Buchst. f DSGVO verpflichtet, sich in ihrem Hoheitsgebiet mit Beschwerden zu befassen, die jede Person gemäß Art. 77 Abs. 1 DSGVO einreichen kann, wenn sie der Ansicht ist, dass eine Verarbeitung sie betreffender personenbezogener Daten gegen diese Verordnung verstößt, den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung zu unterrichten. Die Aufsichtsbehörde muss eine solche Beschwerde mit aller gebotenen Sorgfalt bearbeiten (vgl. in diesem Sinne Urteil vom 7. Dezember 2023, SCHUFA Holding [Restschuldbefreiung], C-26/22 und C-64/22, EU:C:2023:958, Rn. 56 und die dort angeführte Rechtsprechung).
33 Zur Bearbeitung von Beschwerden verleiht Art. 58 Abs. 1 DSGVO jeder Aufsichtsbehörde weitreichende Untersuchungsbefugnisse. Stellt eine solche Behörde am Ende ihrer Untersuchung einen Verstoß gegen die Bestimmungen dieser Verordnung fest, ist sie verpflichtet, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen, wobei gemäß der Klarstellung im 129. Erwägungsgrund dieser Verordnung alle Maßnahmen insbesondere im Hinblick auf die Gewährleistung der Einhaltung der Verordnung geeignet, erforderlich und verhältnismäßig sein sollten und die Umstände des jeweiligen Einzelfalls zu berücksichtigen sind. Zu diesem Zweck werden in Art. 58 Abs. 2 DSGVO die verschiedenen der Aufsichtsbehörde zur Verfügung stehenden Abhilfebefugnisse aufgezählt (vgl. in diesem Sinne Urteil vom 7. Dezember 2023, SCHUFA Holding [Restschuldbefreiung], C-26/22 und C-64/22, EU:C:2023:958, Rn. 57 und die dort angeführte Rechtsprechung).
34 So hat die Aufsichtsbehörde nach Art. 58 Abs. 2 DSGVO u. a. die Befugnis, einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn Verarbeitungsvorgänge zu einem Verstoß gegen die Bestimmungen dieser Verordnung geführt haben (Buchst. b), den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach der Verordnung zustehenden Rechte zu entsprechen (Buchst. c), den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der Verordnung zu bringen (Buchst. d), oder eine Geldbuße gemäß Art. 83 DSGVO zu verhängen, zusätzlich zu oder anstelle von den in Art. 58 Abs. 2 DSGVO genannten Maßnahmen, je nach den Umständen des Einzelfalls (Buchst. i).
35 Demnach ist das Beschwerdeverfahren als ein Mechanismus konzipiert, der geeignet ist, die Rechte und Interessen der betroffenen Personen wirksam zu wahren (Urteil vom 7. Dezember 2023, SCHUFA Holding [Restschuldbefreiung], C-26/22 und C-64/22, EU:C:2023:958, Rn. 58).
36 Im vorliegenden Fall geht aus dem Vorabentscheidungsersuchen hervor, dass der HBDI die Beschwerde, mit der ihn der Kläger des Ausgangsverfahrens befasst hatte, inhaltlich prüfte und ihn über das Ergebnis der Untersuchung unterrichtete. Im Einzelnen bestätigte der HBDI, dass in der Sparkasse eine Verletzung der personenbezogenen Daten des Klägers des Ausgangsverfahrens stattgefunden habe und diese darin bestanden habe, dass eine ihrer Mitarbeiterinnen unbefugten Zugriff auf diese Daten gehabt habe. Hinsichtlich der Zugriffsrechte der Mitarbeiter der Sparkasse wies der HBDI die Beschwerde des Klägers des Ausgangsverfahrens allerdings zurück. Außerdem gelangte er zu dem Ergebnis, dass kein Anlass bestehe, gemäß Art. 58 Abs. 2 DSGVO gegen die Sparkasse einzuschreiten.
37 Insoweit ist darauf hinzuweisen, dass die DSGVO der Aufsichtsbehörde ein Ermessen hinsichtlich der Art und Weise einräumt, wie sie der festgestellten Unzulänglichkeit abhilft, da Art. 58 Abs. 2 DSGVO der Aufsichtsbehörde die Befugnis verleiht, verschiedene Abhilfemaßnahmen zu ergreifen. So hat der Gerichtshof bereits entschieden, dass es der Aufsichtsbehörde obliegt, unter Berücksichtigung aller Umstände des konkreten Falles das geeignete und erforderliche Mittel zu wählen, und sie verpflichtet ist, mit aller gebotenen Sorgfalt ihre Aufgabe zu erfüllen, die darin besteht, über die umfassende Einhaltung der DSGVO zu wachen (vgl. in diesem Sinne Urteil vom 16. Juli 2020, Facebook Ireland und Schrems, C-311/18, EU:C:2020:559, Rn. 112).
38 Dieses Ermessen wird jedoch durch das Erfordernis begrenzt, durch einen klar durchsetzbaren Rechtsrahmen ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu gewährleisten, wie sich aus den Erwägungsgründen 7 und 10 der DSGVO ergibt.
39 Was speziell Geldbußen nach Art. 58 Abs. 2 Buchst. i DSGVO anbelangt, geht aus Art. 83 Abs. 2 dieser Verordnung hervor, dass diese je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von den Maßnahmen nach Art. 58 Abs. 2 der Verordnung verhängt werden. Art. 83 Abs. 2 DSGVO stellt außerdem klar, dass die Aufsichtsbehörde bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag in jedem Einzelfall die in Art. 83 Abs. 2 Buchst. a bis k dieser Verordnung genannten Merkmale, wie etwa Art, Schwere und Dauer des Verstoßes, gebührend zu berücksichtigen hat.
40 Der Unionsgesetzgeber hat somit ein Sanktionssystem vorgesehen, das es den Aufsichtsbehörden ermöglicht, die Sanktionen zu verhängen, die je nach den Umständen des konkreten Falles am besten geeignet und gerechtfertigt sind (vgl. in diesem Sinne Urteil vom 5. Dezember 2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:949, Rn. 75 und 78), wobei sie, wie in den Rn. 37 und 38 des vorliegenden Urteils ausgeführt, das Erfordernis zu berücksichtigen haben, über die umfassende Einhaltung der DSGVO zu wachen und durch einen klar durchsetzbaren Rechtsrahmen ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu gewährleisten.
41 Somit kann weder aus Art. 58 Abs. 2 DSGVO noch aus Art. 83 dieser Verordnung abgeleitet werden, dass die Aufsichtsbehörde verpflichtet wäre, in jedem Fall, wenn sie eine Verletzung des Schutzes personenbezogener Daten feststellt, eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen, da ihre Verpflichtung unter derartigen Umständen darin besteht, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen. Daher steht, wie der Generalanwalt in Nr. 81 seiner Schlussanträge ausgeführt hat, dem Beschwerdeführer, dessen Rechte verletzt wurden, kein subjektives Recht zu, dass die Aufsichtsbehörde gegen den für die Verarbeitung Verantwortlichen eine Geldbuße verhängt.
42 Dagegen ist die Aufsichtsbehörde zum Einschreiten verpflichtet, wenn das Ergreifen einer oder mehrerer der in Art. 58 Abs. 2 DSGVO vorgesehenen Abhilfemaßnahmen unter Berücksichtigung aller Umstände des konkreten Falles geeignet, erforderlich und verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten.
43 Insoweit ist nicht ausgeschlossen, dass die Aufsichtsbehörde ausnahmsweise und unter Berücksichtigung der besonderen Umstände des konkreten Falles vom Ergreifen einer Abhilfemaßnahme absehen kann, obwohl eine Verletzung des Schutzes personenbezogener Daten festgestellt wurde. Ein solcher Fall könnte namentlich dann vorliegen, wenn die festgestellte Verletzung nicht angedauert hat, beispielsweise wenn der Verantwortliche, der grundsätzlich geeignete technische und organisatorische Maßnahmen im Sinne von Art. 24 dieser Verordnung umgesetzt hatte, in Anbetracht der ihm insbesondere nach Art. 5 Abs. 2 und Art. 24 DSGVO obliegenden Pflichten, sobald er von dieser Verletzung Kenntnis erlangt hat, die geeigneten und erforderlichen Maßnahmen ergriffen hat, damit die Verletzung abgestellt wird und sich nicht wiederholt.
44 Die Auslegung, wonach die Aufsichtsbehörde, wenn sie eine Verletzung des Schutzes personenbezogener Daten feststellt, nicht in jedem Fall verpflichtet ist, eine Abhilfemaßnahme nach Art. 58 Abs. 2 DSGVO zu ergreifen, wird durch die mit Art. 58 Abs. 2 und Art. 83 dieser Verordnung verfolgten Ziele bestätigt.
45 Hinsichtlich des mit Art. 58 Abs. 2 DSGVO verfolgten Ziels ergibt sich aus dem 129. Erwägungsgrund, dass mit dieser Bestimmung sichergestellt werden soll, dass die Verarbeitung personenbezogener Daten im Einklang mit dieser Verordnung erfolgt und dass Situationen, in denen gegen die Verordnung verstoßen wird, durch das Eingreifen der nationalen Aufsichtsbehörden wieder mit dem Unionsrecht in Einklang gebracht werden (Urteil vom 14. März 2024, Újpesti Polgármesteri Hivatal, C-46/23, EU:C:2024:239, Rn. 40).
46 Daraus folgt, dass das Ergreifen einer Abhilfemaßnahme ausnahmsweise und unter Berücksichtigung der besonderen Umstände des konkreten Falles nicht geboten sein kann, sofern der Situation, die einen Verstoß gegen die DSGVO begründete, bereits abgeholfen wurde, die Verarbeitung personenbezogener Daten im Einklang mit dieser Verordnung durch den hierfür Verantwortlichen gewährleistet ist und ein solches Nichteinschreiten der Aufsichtsbehörde nicht geeignet ist, das in Rn. 38 des vorliegenden Urteils genannte Erfordernis eines klar durchsetzbaren Rechtsrahmens zu beeinträchtigen.
47 Was das mit Art. 83 DSGVO, der die Verhängung von Geldbußen betrifft, verfolgte Ziel angeht, so besteht dieses nach dem 148. Erwägungsgrund dieser Verordnung darin, die Vorschriften der Verordnung konsequenter durchzusetzen. In demselben Erwägungsgrund heißt es jedoch, dass die Aufsichtsbehörden im Fall eines geringfügigeren Verstoßes oder falls die voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, davon absehen dürfen, eine Geldbuße zu verhängen, und stattdessen eine Verwarnung erteilen können (vgl. in diesem Sinne Urteil vom 5. Dezember 2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:949, Rn. 76).
48 Im vorliegenden Fall geht aus dem Vorabentscheidungsersuchen hervor, dass die Sparkasse dem HBDI gemäß Art. 33 DSGVO die Verletzung des Schutzes der personenbezogenen Daten des Klägers des Ausgangsverfahrens durch den unberechtigten Zugriff einer ihrer Mitarbeiterinnen auf diese Daten meldete. Außerdem gab die Sparkasse an, Disziplinarmaßnahmen gegen diese Mitarbeiterin ergriffen zu haben und die Speicherdauer der Zugriffsprotokolle überprüfen zu lassen. Infolgedessen sah der HBDI davon ab, eine Abhilfemaßnahme nach Art. 58 Abs. 2 DSGVO zu ergreifen, und insbesondere davon, eine Geldbuße zu verhängen.
49 Da Beschlüsse einer Aufsichtsbehörde über eine Beschwerde einer vollständigen inhaltlichen Überprüfung durch ein Gericht unterliegen (Urteil vom 7. Dezember 2023, SCHUFA Holding [Restschuldbefreiung], C-26/22 und C-64/22, EU:C:2023:958, Rn. 70), ist es Sache des vorlegenden Gerichts, zu prüfen, ob sich der HBDI mit aller gebotenen Sorgfalt mit der betreffenden Beschwerde befasst hat und beim Erlass des im Ausgangsverfahren in Rede stehenden Bescheids die Grenzen des Ermessens, das ihm Art. 58 Abs. 2 DSGVO einräumt, eingehalten hat (vgl. entsprechend Urteil vom 7. Dezember 2023, SCHUFA Holding [Restschuldbefreiung], C-26/22 und C-64/22, EU:C:2023:958, Rn. 68 und 69 sowie die dort angeführte Rechtsprechung).
50 Nach alledem ist auf die Vorlagefrage zu antworten, dass Art. 57 Abs. 1 Buchst. a und f, Art. 58 Abs. 2 sowie Art. 77 Abs. 1 DSGVO dahin auszulegen sind, dass die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, nach diesem Art. 58 Abs. 2 eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen, wenn ein solches Einschreiten nicht geeignet, erforderlich oder verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten.
Kosten
51 Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des beim vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.