Data protection authority’s duty to act: EU Court of Justice Judgment in Case C-768/21 Land Hessen

Thursday 26th September 2024

EU Court of Justice Judgment in Case C-768/21 Land Hessen (Data protection authority’s duty to act)

(Principles, objectives and tasks of the Treaties – Data protection)

In Germany, a savings bank found that one of its employees had consulted a customer’s personal data on several occasions without being authorised to do so. The savings bank did not inform the customer, as its data protection officer had deemed that there was no high risk to him.

In fact, the employee had confirmed in writing that she had not copied or stored the data, that she had not passed it on to third parties and that she would not do so in the future. In addition, the Sparkasse had taken disciplinary action against her. The Sparkasse nevertheless notified the Land’s data protection commissioner of this violation.

After incidentally becoming aware of this incident, the customer lodged a complaint with the Data Protection Commissioner. After hearing the Sparkasse, the data protection commissioner informed the customer that he did not consider it necessary to take any remedial action against the Sparkasse.

The customer then brought an action before a German court, asking it to order the Data Protection Commissioner to take action against the Sparkasse and, in particular, to impose a fine.

The German court asked the Court of Justice to interpret the General Data Protection Regulation (GDPR) in this regard.

Background Documents C-768/21

Donnerstag, 26. September 2024

Urteil des Gerichtshofs in der Rechtssache C‑768/21 Land Hessen (Handlungspflicht der Datenschutzbehörde)

Schutz personenbezogener Daten

Ein Kunde einer Sparkasse ersuchte den Hessischen Beauftragten für Datenschutz und Informationsfreiheit, gegen die Sparkasse wegen einer Verletzung des Schutzes seiner personenbezogenen Daten einzuschreiten. Eine Mitarbeiterin der Sparkasse hatte nämlich mehrmals unbefugt auf seine Daten zugegriffen.

Der Datenschutzbeauftragte stellte eine Verletzung des in der Datenschutz-Grundverordnung (DSGVO) vorgesehenen Datenschutzes fest. Er kam jedoch zu dem Ergebnis, dass ein Einschreiten gegen die Sparkasse nicht geboten sei, da diese gegen die betreffende Mitarbeiterin bereits Disziplinarmaßnahmen ergriffen habe.

Der Kunde geht gegen diese Weigerung beim Verwaltungsgericht Wiesbaden vor und beantragt, den Datenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten. Er macht u. a. geltend, dass der Datenschutzbeauftragte gegen die Sparkasse Bußgelder hätte verhängen müssen.

Das Verwaltungsgericht Wiesbaden hat den Gerichtshof zu den Befugnissen und Pflichten des Datenschutzbeauftragten als „Aufsichtsbehörde“ im Sinne der DSGVO befragt.

Generalanwalt Pikamäe hat in seinen Schlussanträgen vom 11. April 2024 die Ansicht vertreten, dass die Aufsichtsbehörde zum Einschreiten verpflichtet sei, wenn sie bei der Prüfung einer Beschwerde einen Verstoß feststelle. Die Entscheidung über die zu ergreifende Abhilfemaßnahme hänge jedoch von den konkreten Umständen des jeweiligen Einzelfalls ab (siehe Pressemitteilung Nr. 63/24).

Weitere Informationen