Der EuGH hat sich in seinem Urteil in der Rs. C‑768/21 vom 26. September 2024 zur Frage geäussert, welche Freiheit die Aufsichtsbehörden bei Feststellung einer Datenschutzverletzung haben.
Sie müssen zwar aktiv werden, wenn eine Beschwerde eingeht:
32 Insbesondere ist jede Aufsichtsbehörde nach Art. 57 Abs. 1 Buchst. f DSGVO verpflichtet, sich in ihrem Hoheitsgebiet mit Beschwerden zu befassen, die jede Person gemäß Art. 77 Abs. 1 DSGVO einreichen kann, wenn sie der Ansicht ist, dass eine Verarbeitung sie betreffender personenbezogener Daten gegen diese Verordnung verstößt, den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung zu unterrichten. Die Aufsichtsbehörde muss eine solche Beschwerde mit aller gebotenen Sorgfalt bearbeiten […].
Sie haben bei der Ausübung ihrer Befugnisse ein gewisses, aber nicht unbeschränktes Ermessen:
37 Insoweit ist darauf hinzuweisen, dass die DSGVO der Aufsichtsbehörde ein Ermessen hinsichtlich der Art und Weise einräumt, wie sie der festgestellten Unzulänglichkeit abhilft […]. So hat der Gerichtshof bereits entschieden, dass es der Aufsichtsbehörde obliegt, unter Berücksichtigung aller Umstände des konkreten Falles das geeignete und erforderliche Mittel zu wählen, und sie verpflichtet ist, mit aller gebotenen Sorgfalt ihre Aufgabe zu erfüllen, die darin besteht, über die umfassende Einhaltung der DSGVO zu wachen […].
38 Dieses Ermessen wird jedoch durch das Erfordernis begrenzt, durch einen klar durchsetzbaren Rechtsrahmen ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu gewährleisten […].
Das heisst aber nicht, dass die Behörde
41 […] verpflichtet wäre, in jedem Fall, wenn sie eine Verletzung des Schutzes personenbezogener Daten feststellt, eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen […]. Daher steht […] dem Beschwerdeführer[…] kein subjektives Recht zu, dass die Aufsichtsbehörde gegen den für die Verarbeitung Verantwortlichen eine Geldbuße verhängt.
Die Behörde darf u.U. auch von einer Abhilfemassnahme absehen, wenn sie nicht mehr erforderlich ist:
43 Insoweit ist nicht ausgeschlossen, dass die Aufsichtsbehörde ausnahmsweise und unter Berücksichtigung der besonderen Umstände des konkreten Falles vom Ergreifen einer Abhilfemaßnahme absehen kann, obwohl eine Verletzung des Schutzes personenbezogener Daten festgestellt wurde. Ein solcher Fall könnte namentlich dann vorliegen, wenn die festgestellte Verletzung nicht angedauert hat, beispielsweise wenn der Verantwortliche, der grundsätzlich geeignete technische und organisatorische Maßnahmen im Sinne von Art. 24 dieser Verordnung umgesetzt hatte, in Anbetracht der ihm insbesondere nach Art. 5 Abs. 2 und Art. 24 DSGVO obliegenden Pflichten, sobald er von dieser Verletzung Kenntnis erlangt hat, die geeigneten und erforderlichen Maßnahmen ergriffen hat, damit die Verletzung abgestellt wird und sich nicht wiederholt.
Ob dies vorliegend anwendbar ist, muss das vorliegende Gericht (das Verwaltungsgericht Wiesbaden) prüfen.