Luxembourg, 11 April 2024
Advocate General’s Opinion in Case C-768/21 – Land Hessen (Obligation of the data protection authority to act)
Protection of personal data: According to Advocate General Pikamäe, the supervisory authority has an obligation to act when it finds a breach in the course of investigating a complaint
—
However, the decision as to what corrective action to take depends on the specific circumstances of each individual case
A customer of a savings bank asked the Data Protection and Freedom of Information Commissioner for Land Hessen (Germany) to take action against the savings bank because of a breach of his personal data. One of the employees of the savings bank had consulted his data on several occasions, without being authorised to do so.
The Data Protection Commissioner identified a breach of data protection under the General Data Protection Regulation (GDPR)1. However, the Commissioner concluded that there were no grounds for action against the savings bank, which had already taken disciplinary measures against the employee concerned.
The customer challenged that refusal before a German court, asking it to order the Data Protection Commissioner to take action against the savings bank. In particular, he argues that the Data Protection Commissioner should have imposed fines on the savings bank.
The German court asked the Court of Justice about the powers and obligations of the Data Protection Commissioner as a “supervisory authority” within the meaning of the GDPR.
Advocate General Priit Pikamäe considers that the supervisory authority has an obligation to act when it finds a personal data breach in the course of investigating a complaint. In particular, it would be required to define the most appropriate corrective measure(s) to remedy the infringement and ensure that the data subject’s rights are respected.
In that regard, while leaving some discretion to the supervisory authority, the GDPR would require that such measures be appropriate, necessary and proportionate. The result would be, on the one hand, that discretion in the choice of means is limited where the protection required can only be ensured by taking specific measures 2, and, on the other hand, that the supervisory authority could, under certain conditions, dispense with the measures listed in the GDPR when this is justified by the specific circumstances of the individual case. This could be the case in particular where the controller has taken certain measures on its own initiative. In any event, the data subject would not have the right to require the adoption of a particular measure 3. Those principles would also apply to the system of administrative fines 4.
NOTE I: The Advocate General’s Opinion is not binding on the Court of Justice. It is the role of the Advocates General to propose to the Court, in complete independence, a legal solution to the cases for which they are responsible. The Judges of the Court are now beginning their deliberations in this case. Judgment will be given at a later date.
NOTE II: A reference for a preliminary ruling allows the courts and tribunals of the Member States, in disputes which have been brought before them, to refer questions to the Court of Justice about the interpretation of EU law or the validity of an EU act. The Court of Justice does not decide the dispute itself. It is for the national court or tribunal to dispose of the case in accordance with the Court’s decision, which is similarly binding on other national courts or tribunals before which a similar issue is raised.
Unofficial document for media use, not binding on the Court of Justice. The full text of the Opinion is published on the CURIA website on the day of delivery.
—
1 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation).
2 Thus, it would not even be ruled out that, depending on the specific circumstances of the particular case, the discretion could be limited to the adoption of the only appropriate measure.
3 Except, where appropriate, where the discretion would, depending on the specific circumstances of the particular case, be limited to the adoption of the only appropriate measure. On the other hand, as regards the imposition of a fine, the Advocate General categorically excludes, because of its criminal nature, any subjective right of the data subject to have such a penalty imposed.
4 With regard to the discretion of the supervisory authority, the Advocate General observes that the principle of equal treatment makes it necessary to develop an administrative practice of imposing fines for similar cases in a comparable manner.
Source: 63/2024 : 11 April 2024 – Opinion of the Advocate General in the case C-768/21
Schlußanträge des Generalanwaltes in der Rechtsache C-768/21 (Handlungspflicht der Datenschutzbehörde)
Schutz personenbezogener Daten: Nach Ansicht von Generalanwalt Pikamäe ist die Aufsichtsbehörde zum Einschreiten verpflichtet, wenn sie bei der Prüfung einer Beschwerde einen Verstoß feststellt
—
Die Entscheidung über die zu ergreifende Abhilfemaßnahme hänge jedoch von den konkreten Umständen des jeweiligen Einzelfalls ab
Ein Kunde einer Sparkasse ersuchte den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (Deutschland), gegen die Sparkasse wegen einer Verletzung des Schutzes seiner personenbezogenen Daten einzuschreiten. Eine Mitarbeiterin der Sparkasse hatte nämlich mehrmals unbefugt auf seine Daten zugegriffen.
Der Datenschutzbeauftragte stellte eine Verletzung des in der Datenschutz-Grundverordnung (DSGVO) vorgesehenen Datenschutzes fest1. Er kam jedoch zu dem Ergebnis, dass ein Einschreiten gegen die Sparkasse nicht geboten sei, da diese gegen die betreffende Mitarbeiterin bereits Disziplinarmaßnahmen ergriffen habe.
Der Kunde geht gegen diese Weigerung bei einem deutschen Gericht vor und beantragt, den Datenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten. Er macht u. a. geltend, dass der Datenschutzbeauftragte gegen die Sparkasse Bußgelder hätte verhängen müssen.
Das deutsche Gericht hat den Gerichtshof zu den Befugnissen und Pflichten des Datenschutzbeauftragten als „Aufsichtsbehörde“ im Sinne der DSGVO befragt.
Nach Ansicht von Generalanwalt Pikamäe ist die Aufsichtsbehörde zum Einschreiten verpflichtet, wenn sie bei der Prüfung einer Beschwerde eine Verletzung des Schutzes personenbezogener Daten feststelle.
Insbesondere habe sie die Abhilfemaßnahme(n) zu ermitteln, die zur Behebung des Verstoßes und zur Durchsetzung der Rechte der betroffenen Person am besten geeignet sei bzw. seien.
In diesem Zusammenhang räume die DSGVO der Aufsichtsbehörde zwar ein gewisses Ermessen ein, verlange jedoch, dass die Maßnahmen geeignet, erforderlich und verhältnismäßig seien. Daraus ergebe sich zum einen, dass das Ermessen bei der Wahl der Mittel beschränkt sei, wenn der erforderliche Schutz nur durch ganz bestimmte Maßnahmen2 gewährleistet werden könne, und zum anderen, dass die Aufsichtsbehörde unter bestimmten Voraussetzungen auf die Maßnahmen nach der DSGVO verzichten dürfe, wenn dies durch die besonderen Umstände des Einzelfalls gerechtfertigt sei. Dies könne insbesondere dann der Fall sein, wenn der Verantwortliche bestimmte Maßnahmen aus eigener Initiative ergriffen habe. Jedenfalls habe die betroffene Person keinen Anspruch auf Erlass einer bestimmten Maßnahme3. Diese Grundsätze gälten auch für die Geldbußenregelung4.
—
HINWEIS I: Die Schlussanträge sind für den Gerichtshof nicht bindend. Aufgabe der Generalanwältin bzw. des Generalanwalts ist es, dem Gerichtshof in völliger Unabhängigkeit einen Entscheidungsvorschlag für die betreffende Rechtssache zu unterbreiten. Die Richterinnen und Richter des Gerichtshofs treten nunmehr in die Beratung ein. Das Urteil wird zu einem späteren Zeitpunkt verkündet.
HINWEIS II: Mit einem Vorabentscheidungsersuchen haben die Gerichte der Mitgliedstaaten die Möglichkeit, dem Gerichtshof im Rahmen eines Rechtsstreits, über den sie zu entscheiden haben, Fragen betreffend die Auslegung des Unionsrechts oder die Gültigkeit einer Handlung der Union vorzulegen. Der Gerichtshof entscheidet dabei nicht den beim nationalen Gericht anhängigen Rechtsstreit. Dieser ist unter Zugrundelegung der Entscheidung des Gerichtshofs vom nationalen Gericht zu entscheiden. Die Entscheidung des Gerichtshofs bindet in gleicher Weise andere nationale Gerichte, wenn diese über vergleichbare Fragen zu befinden haben.
—
1 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).
2 So sei es nicht einmal ausgeschlossen, dass je nach den besonderen Umständen des Einzelfalls das Ermessen auf den Erlass der geeigneten Maßnahme beschränkt sei.
3 Es sei denn, das Ermessen sei je nach den besonderen Umständen des Einzelfalls auf den Erlass der geeigneten Maßnahme beschränkt. Der Generalanwalt schließt hingegen ein subjektives Recht der betroffenen Person auf Verhängung einer Geldbuße aufgrund des mit dieser verfolgten Strafzwecks kategorisch aus.
4 Zum Ermessen der Aufsichtsbehörde führt der Generalanwalt aus, dass nach dem Grundsatz der Gleichbehandlung für die Verhängung von Geldbußen eine Verwaltungspraxis zu entwickeln sei, die gleichartige Fälle gleichbehandele.
Zur Verwendung durch die Medien bestimmtes nicht amtliches Dokument, das den Gerichtshof nicht bindet.