Der EuGH hat sich in sei­nem Urteil in der Rs. C‑768/21 vom 26. Sep­tem­ber 2024 zur Fra­ge geäu­ssert, wel­che Frei­heit die Auf­sichts­be­hör­den bei Fest­stel­lung einer Daten­schutz­ver­let­zung haben.

Sie müs­sen zwar aktiv wer­den, wenn eine Beschwer­de eingeht:

32 Ins­be­son­de­re ist jede Auf­sichts­be­hör­de nach Art. 57 Abs. 1 Buchst. f DSGVO ver­pflich­tet, sich in ihrem Hoheits­ge­biet mit Beschwer­den zu befas­sen, die jede Per­son gemäß Art. 77 Abs. 1 DSGVO ein­rei­chen kann, wenn sie der Ansicht ist, dass eine Ver­ar­bei­tung sie betref­fen­der per­so­nen­be­zo­ge­ner Daten gegen die­se Ver­ord­nung ver­stößt, den Gegen­stand der Beschwer­de in ange­mes­se­nem Umfang zu unter­su­chen und den Beschwer­de­füh­rer inner­halb einer ange­mes­se­nen Frist über den Fort­gang und das Ergeb­nis der Unter­su­chung zu unter­rich­ten. Die Auf­sichts­be­hör­de muss eine sol­che Beschwer­de mit aller gebo­te­nen Sorg­falt bearbeiten […].

Sie haben bei der Aus­übung ihrer Befug­nis­se ein gewis­ses, aber nicht unbe­schränk­tes Ermessen:

37 Inso­weit ist dar­auf hin­zu­wei­sen, dass die DSGVO der Auf­sichts­be­hör­de ein Ermes­sen hin­sicht­lich der Art und Wei­se ein­räumt, wie sie der fest­ge­stell­ten Unzu­läng­lich­keit abhilft […]. So hat der Gerichts­hof bereits ent­schie­den, dass es der Auf­sichts­be­hör­de obliegt, unter Berück­sich­ti­gung aller Umstän­de des kon­kre­ten Fal­les das geeig­ne­te und erfor­der­li­che Mit­tel zu wäh­len, und sie ver­pflich­tet ist, mit aller gebo­te­nen Sorg­falt ihre Auf­ga­be zu erfül­len, die dar­in besteht, über die umfas­sen­de Ein­hal­tung der DSGVO zu wachen […].

38 Die­ses Ermes­sen wird jedoch durch das Erfor­der­nis begrenzt, durch einen klar durch­setz­ba­ren Rechts­rah­men ein gleich­mä­ßi­ges und hohes Schutz­ni­veau für per­so­nen­be­zo­ge­ne Daten zu gewährleisten […].

Das heisst aber nicht, dass die Behörde

41 […] ver­pflich­tet wäre, in jedem Fall, wenn sie eine Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten fest­stellt, eine Abhil­fe­maß­nah­me zu ergrei­fen, ins­be­son­de­re eine Geld­bu­ße zu ver­hän­gen […]. Daher steht […] dem Beschwer­de­füh­rer[…] kein sub­jek­ti­ves Recht zu, dass die Auf­sichts­be­hör­de gegen den für die Ver­ar­bei­tung Ver­ant­wort­li­chen eine Geld­bu­ße verhängt.

Die Behör­de darf u.U. auch von einer Abhil­fe­mass­nah­me abse­hen, wenn sie nicht mehr erfor­der­lich ist:

43 Inso­weit ist nicht aus­ge­schlos­sen, dass die Auf­sichts­be­hör­de aus­nahms­wei­se und unter Berück­sich­ti­gung der beson­de­ren Umstän­de des kon­kre­ten Fal­les vom Ergrei­fen einer Abhil­fe­maß­nah­me abse­hen kann, obwohl eine Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten fest­ge­stellt wur­de. Ein sol­cher Fall könn­te nament­lich dann vor­lie­gen, wenn die fest­ge­stell­te Ver­let­zung nicht ange­dau­ert hat, bei­spiels­wei­se wenn der Ver­ant­wort­li­che, der grund­sätz­lich geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men im Sin­ne von Art. 24 die­ser Ver­ord­nung umge­setzt hat­te, in Anbe­tracht der ihm ins­be­son­de­re nach Art. 5 Abs. 2 und Art. 24 DSGVO oblie­gen­den Pflich­ten, sobald er von die­ser Ver­let­zung Kennt­nis erlangt hat, die geeig­ne­ten und erfor­der­li­chen Maß­nah­men ergrif­fen hat, damit die Ver­let­zung abge­stellt wird und sich nicht wiederholt.

Ob dies vor­lie­gend anwend­bar ist, muss das vor­lie­gen­de Gericht (das Ver­wal­tungs­ge­richt Wies­ba­den) prüfen.