TR tegen Land Hessen

• 1.

  Het verzoek om een prejudiciële beslissing betreft de uitlegging van artikel 57, lid 1, onder a) en f), artikel 58, lid 2, en artikel 77, lid 1, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1, met rectificaties in PB 2018, L 127, blz. 2, en PB 2021, L 74, blz. 35; hierna: „AVG”).

• 2.

  Dit verzoek is ingediend in het kader van een geding tussen TR en het Land Hessen (deelstaat Hessen, Duitsland), over het verzuim van de Hessische Beauftragte für Datenschutz und Informationsfreiheit (toezichthouder voor gegevensbescherming en vrijheid van informatie, deelstaat Hessen, Duitsland; hierna: „HBDI”) om corrigerende maatregelen te nemen tegen Sparkasse X (hierna: „Sparkasse”).

 Toepasselijke bepalingen

• 3.

  De overwegingen 6, 7, 10, 129 en 148 AVG luiden als volgt:

  „(6)      Door snelle technologische ontwikkelingen en globalisering zijn nieuwe uitdagingen voor de bescherming van persoonsgegevens ontstaan. De mate waarin persoonsgegevens worden verzameld en gedeeld, is significant gestegen. [...]

  (7)      Die ontwikkelingen vereisen een krachtig en coherenter kader voor gegevensbescherming in de [Europese] Unie, dat wordt gesteund door strenge handhaving, omdat zulks van belang is voor het vertrouwen dat nodig is om de digitale economie zich in de hele interne markt te laten ontwikkelen. [...]

  [...]

  (10)      Teneinde natuurlijke personen een consistent en hoog beschermingsniveau te bieden en de belemmeringen voor het verkeer van persoonsgegevens binnen de Unie op te heffen, dient het niveau van bescherming van de rechten en vrijheden van natuurlijke personen op het vlak van verwerking van deze gegevens in alle lidstaten gelijkwaardig te zijn. [...]

  [...]

  (129)      [...] De bevoegdheden van de toezichthoudende autoriteiten moeten overeenkomstig passende in het Unierecht en het lidstatelijke recht bepaalde procedurele waarborgen, onpartijdig, behoorlijk en binnen een redelijke termijn worden uitgeoefend. Elke maatregel dient met name passend, noodzakelijk en evenredig te zijn met het oog op naleving van deze verordening en rekening houdend met de omstandigheden van elk individueel geval, het recht van iedere persoon te eerbiedigen om vóór het nemen van enige individuele maatregel die voor hem nadelige gevolgen zou hebben te worden gehoord, en overbodige kosten en buitensporige ongemakken voor de personen in kwestie te vermijden. [...]

  [...]

  (148)      Met het oog op een krachtiger handhaving van de regels van deze verordening dienen straffen, met inbegrip van administratieve geldboeten, te worden opgelegd voor elke inbreuk op de verordening, naast of in plaats van passende maatregelen die door de toezichthoudende autoriteiten ingevolge deze verordening worden opgelegd. Indien het gaat om een kleine inbreuk of indien de te verwachten geldboete een onevenredige last zou berokkenen aan een natuurlijk persoon, kan in plaats van een geldboete worden gekozen voor een berisping. Er dient evenwel rekening te worden gehouden met de aard, de ernst en de duur van de inbreuk, met het opzettelijke karakter van de inbreuk, met schadebeperkende maatregelen, met de mate van verantwoordelijkheid, of met eerdere relevante inbreuken, met de wijze waarop de inbreuk ter kennis van de toezichthoudende autoriteit is gekomen, met de naleving van de maatregelen die werden genomen tegen de verwerkingsverantwoordelijke of de verwerker, met de aansluiting bij een gedragscode en met alle andere verzwarende of verzachtende factoren. [...]”

• 4.

  Artikel 5 van deze verordening bepaalt het volgende:

  „1.      Persoonsgegevens moeten:

  a)      worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is (‚rechtmatigheid, behoorlijkheid en transparantie’);

  b)      voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt [...] (‚doelbinding’);

  c)      toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (‚minimale gegevensverwerking’);

  d)      juist zijn en zo nodig worden geactualiseerd [...] (‚juistheid’);

  e)      worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is [...] (‚opslagbeperking’);

  f)      door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is [...] (‚integriteit en vertrouwelijkheid’).

  2.      De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen (‚verantwoordingsplicht’).”

• 5.

  Artikel 24, lid 1, van deze verordening bepaalt het volgende:

  „Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.”

• 6.

  Artikel 33 van de verordening luidt:

  „1.      Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de overeenkomstig artikel 55 bevoegde toezichthoudende autoriteit, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. [...]

  [...]

  3.      In de in lid 1 bedoelde melding wordt ten minste het volgende omschreven of meegedeeld:

  a)      de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;

  b)      de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;

  c)      de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;

  d)      de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

  [...]”

• 7.

  Artikel 34, lid 1, AVG luidt als volgt:

  „Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk in verband met persoonsgegevens onverwijld mee.”

• 8.

  Hoofdstuk VI van die verordening heeft als opschrift „Onafhankelijke toezichthoudende autoriteiten” en bevat de artikelen 51 tot en met 59.

• 9.

  Artikel 51, lid 1, van die verordening luidt als volgt:

  „Elke lidstaat bepaalt dat een of meer onafhankelijke overheidsinstanties verantwoordelijk zijn voor het toezicht op de toepassing van deze verordening, teneinde de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met de verwerking van hun persoonsgegevens te beschermen en het vrije verkeer van persoonsgegevens binnen de Unie te vergemakkelijken (‚toezichthoudende autoriteit’).”

• 10.

  Artikel 57 („Taken”) AVG bepaalt in lid 1 het volgende:

  „Onverminderd andere uit hoofde van deze verordening vastgestelde taken, verricht elke toezichthoudende autoriteit op haar grondgebied de volgende taken:

  a)      zij monitort en handhaaft de toepassing van deze verordening;

  [...]

  f)      zij behandelt klachten van betrokkenen, of van organen, organisaties of verenigingen overeenkomstig artikel 80, onderzoekt de inhoud van de klacht in de mate waarin dat gepast is en stelt de klager binnen een redelijke termijn in kennis van de vooruitgang en het resultaat van het onderzoek, met name indien verder onderzoek of coördinatie met een andere toezichthoudende autoriteit noodzakelijk is;

  [...]”

• 11.

  Artikel 58 („Bevoegdheden”) van deze verordening bepaalt in de leden 1 en 2:

  „1.      Elke toezichthoudende autoriteit heeft alle volgende onderzoeksbevoegdheden om:

  a)      de verwerkingsverantwoordelijke, de verwerker en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke of van [de] verwerker te gelasten alle voor de uitvoering van haar taken vereiste informatie te verstrekken;

  [...]

  2.      Elke toezichthoudende autoriteit heeft alle volgende bevoegdheden tot het nemen van corrigerende maatregelen:

  a)      de verwerkingsverantwoordelijke of de verwerker waarschuwen dat met de voorgenomen verwerkingen waarschijnlijk inbreuk op bepalingen van deze verordening wordt gemaakt;

  b)      de verwerkingsverantwoordelijke of de verwerker berispen wanneer met verwerkingen inbreuk op bepalingen van deze verordening is gemaakt;

  c)      de verwerkingsverantwoordelijke of de verwerker gelasten de verzoeken van de betrokkene tot uitoefening van zijn rechten uit hoofde van deze verordening in te willigen;

  d)      de verwerkingsverantwoordelijke of de verwerker gelasten, waar passend, op een nader bepaalde manier en binnen een nader bepaalde termijn, verwerkingen in overeenstemming te brengen met de bepalingen van deze verordening;

  e)      de verwerkingsverantwoordelijke gelasten een inbreuk in verband met persoonsgegevens aan de betrokkene mee te delen;

  f)      een tijdelijke of definitieve verwerkingsbeperking, waaronder een verwerkingsverbod, opleggen;

  [...]

  i)      naargelang de omstandigheden van elke zaak, naast of in plaats van de in dit lid bedoelde maatregelen, een administratieve geldboete opleggen op grond van artikel 83; [...]

  [...]”

• 12.

  Artikel 77 van die verordening is verwoord als volgt:

  „1.      Onverminderd andere mogelijkheden van administratief beroep of een voorziening in rechte, heeft iedere betrokkene het recht een klacht in te dienen bij een toezichthoudende autoriteit, met name in de lidstaat waar hij gewoonlijk verblijft, hij zijn werkplek heeft of waar de beweerde inbreuk is begaan, indien hij van mening is dat de verwerking van hem betreffende persoonsgegevens inbreuk maakt op deze verordening.

  2.      De toezichthoudende autoriteit waarbij de klacht is ingediend, stelt de klager in kennis van de voortgang en het resultaat van de klacht, alsmede van de mogelijke voorziening in rechte overeenkomstig artikel 78.”

• 13.

  Artikel 83 van de verordening bepaalt in de leden 1 en 2:

  „1.      Elke toezichthoudende autoriteit zorgt ervoor dat de administratieve geldboeten die uit hoofde van dit artikel worden opgelegd voor de in de leden 4, 5 en 6 vermelde inbreuken op deze verordening in elke zaak doeltreffend, evenredig en afschrikkend zijn.

  2.      Administratieve geldboeten worden, naargelang de omstandigheden van het concrete geval, opgelegd naast of in plaats van de in artikel 58, lid 2, onder a) tot en met h) en onder j), bedoelde maatregelen. Bij het besluit over de vraag of een administratieve geldboete wordt opgelegd en over de hoogte daarvan wordt voor elk concreet geval naar behoren rekening gehouden met het volgende:

  a)      de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;

  b)      de opzettelijke of nalatige aard van de inbreuk;

  c)      de door de verwerkingsverantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken;

  d)      de mate waarin de verwerkingsverantwoordelijke of de verwerker verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 25 en 32;

  e)      eerdere relevante inbreuken door de verwerkingsverantwoordelijke of de verwerker;

  f)      de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken;

  g)      de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft;

  h)      de wijze waarop de toezichthoudende autoriteit kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de verwerkingsverantwoordelijke of de verwerker de inbreuk heeft gemeld;

  i)      de naleving van de in artikel 58, lid 2, genoemde maatregelen, voor zover die eerder ten aanzien van de verwerkingsverantwoordelijke of de verwerker in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen;

  j)      het aansluiten bij goedgekeurde gedragscodes overeenkomstig artikel 40 of van goedgekeurde certificeringsmechanismen overeenkomstig artikel 42; en

  k)      elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor, zoals gemaakte financiële winsten, of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien.”

 Hoofdgeding en prejudiciële vraag

• 14.

  De Sparkasse is een publiekrechtelijke gemeentelijke instelling die onder meer bank- en krediettransacties verricht. Op 15 november 2019 heeft zij bij de HBDI overeenkomstig artikel 33 AVG melding gemaakt van een inbreuk in verband met persoonsgegevens, aangezien een van haar werknemers meerdere malen persoonsgegevens van TR, een van haar klanten, had geraadpleegd zonder daarvoor toestemming te hebben gekregen. De Sparkasse heeft ervan afgezien de inbreuk in verband met die persoonsgegevens aan TR mee te delen.

• 15.

  Nadat TR bij toeval had vernomen dat zijn persoonsgegevens onrechtmatig waren geraadpleegd, diende hij op 27 juli 2020 overeenkomstig artikel 77 AVG een klacht in bij de HBDI. In die klacht stelde hij dat de inbreuk in verband met zijn persoonsgegevens hem in strijd met artikel 34 van die verordening niet was meegedeeld. Hij bekritiseerde ook de bewaartermijn van het toegangsregister van de Sparkasse, die op niet meer dan drie maanden is vastgelegd, en het feit dat de werknemers uitgebreide toegangsrechten hebben.

• 16.

  Naar aanleiding van de klacht van TR heeft de HBDI de Sparkasse schriftelijk en mondeling gehoord over de tegen haar geuite beschuldigingen. Tijdens de hoorzitting verklaarde de Sparkasse dat zij ervan had afgezien om over te gaan tot een mededeling op grond van artikel 34 AVG, omdat haar functionaris voor gegevensbescherming van mening was dat er geen hoog risico bestond voor de rechten en vrijheden van TR. Er waren met name tuchtmaatregelen genomen tegen de betrokken werkneemster en deze had schriftelijk bevestigd dat zij de persoonsgegevens niet had gekopieerd of opgeslagen, noch aan derden had doorgegeven en dat zij dit in de toekomst ook niet zou doen. Bovendien heeft de Sparkasse, nadat de HBDI de te korte bewaartermijn van de toegangsregisters had bekritiseerd, laatstgenoemde meegedeeld dat deze kwestie opnieuw zou worden onderzocht.

• 17.

  Bij besluit van 3 september 2020 heeft de HBDI TR meegedeeld dat de Sparkasse artikel 34 AVG niet had geschonden, aangezien de beoordeling van laatstgenoemde dat de inbreuk in verband met persoonsgegevens waarschijnlijk geen hoog risico inhield voor de rechten en vrijheden van TR in de zin van dat artikel, niet kennelijk onjuist was. De gegevens waren immers weliswaar door de werkneemster geraadpleegd, maar niets wees erop dat zij deze aan derden had doorgegeven of ten nadele van TR had gebruikt. Voorts heeft de HBDI aangegeven dat hij de Sparkasse had verzocht de gegevens in haar toegangsregister voortaan langer dan drie maanden te bewaren. Wat ten slotte de kwestie betreft van de toegang tot de persoonsgegevens door de werknemers van de Sparkasse, heeft de HBDI de klacht van TR afgewezen op grond dat in beginsel uitgebreide toegangsrechten kunnen worden verleend indien het zeker is dat elke gebruiker op de hoogte is van de voorwaarden waaronder hij toegang tot de gegevens kan krijgen. Volgens de HBDI is een principiële controle van elke toegang dus niet nodig.

• 18.

  TR heeft tegen dat besluit beroep ingesteld bij het Verwaltungsgericht Wiesbaden (bestuursrechter in eerste aanleg Wiesbaden, Duitsland), de verwijzende rechter, met het verzoek om de HBDI te gelasten op te treden tegen de Sparkasse.

• 19.

  Ter ondersteuning van zijn beroep voert TR aan dat de HBDI zijn klacht niet in overeenstemming met de AVG heeft behandeld, dat wil zeggen met inachtneming van alle feitelijke omstandigheden, en voegt daaraan toe dat de HBDI de Sparkasse een geldboete had moeten opleggen gelet op de verschillende inbreuken die zij had gemaakt op de bepalingen van deze verordening, in het bijzonder artikel 5, artikel 12, lid 3, artikel 15, lid 1, onder c), artikel 33, lid 1, en artikel 33, lid 3, ervan. TR is van mening dat in het geval van een bewezen inbreuk op de verordening, zoals in casu, het opportuniteitsbeginsel niet van toepassing is, zodat het de HBDI niet vrijstond om al dan niet op te treden, maar hooguit om de te nemen maatregelen te kiezen.

• 20.

  Dienaangaande vraagt de verwijzende rechter zich in wezen af, of de AVG in geval van een bewezen schending van de bepalingen inzake de bescherming van persoonsgegevens aldus moet worden uitgelegd dat de toezichthoudende autoriteit op grond van artikel 58, lid 2, van deze verordening verplicht is om corrigerende maatregelen te nemen, zoals een administratieve geldboete, dan wel dat deze autoriteit over een beoordelingsbevoegdheid beschikt op grond waarvan zij, afhankelijk van de omstandigheden, ervan kan afzien om dergelijke maatregelen te nemen.

• 21.

  De verwijzende rechter merkt op dat de eerste uitlegging, die door TR wordt voorgestaan en ook in een deel van de rechtspraak wordt verdedigd, berust op het feit dat de bevoegdheden van een toezichthoudende autoriteit om corrigerende maatregelen te nemen tot doel hebben de rechtmatige toestand te herstellen wanneer een gegevensverwerking inbreuk maakt op de rechten van burgers. Artikel 58, lid 2, AVG moet bijgevolg worden opgevat als een verplichting op grond waarvan de burger aanspraak kan maken op handelen van een overheidsinstantie, indien een onderneming of een autoriteit persoonsgegevens van de burger onrechtmatig heeft verwerkt of anderszins inbreuk heeft gemaakt op zijn rechten. In het geval van vastgestelde inbreuken op de gegevensbescherming is de toezichthoudende autoriteit dus verplicht om corrigerende maatregelen te nemen. Haar enige beoordelingsbevoegdheid bestaat erin te kiezen welke van de mogelijke maatregelen zij neemt.

• 22.

  De verwijzende rechter betwijfelt echter of deze uitlegging, die hij te ruim acht, juist is, en is veeleer geneigd te erkennen dat de toezichthoudende autoriteit over een beoordelingsmarge beschikt op grond waarvan zij in bepaalde gevallen kan afzien van het nemen van een corrigerende maatregel, met name het opleggen van een sanctie, in geval van een bewezen inbreuk. De toezichthoudende autoriteit is weliswaar krachtens artikel 57, lid 1, onder f), AVG verplicht om de gegrondheid van klachten zorgvuldig te onderzoeken en elk afzonderlijk geval te onderzoeken, maar zij is niet verplicht om in elke situatie een corrigerende maatregel te nemen. Zo is zij niet aan een dergelijke verplichting onderworpen wanneer regels inzake de bescherming van persoonsgegevens in het verleden zijn geschonden, maar de verwerkingsverantwoordelijke maatregelen heeft genomen die van dien aard zijn dat een nieuwe inbreuk op de gegevensbescherming onwaarschijnlijk is.

• 23.

  In deze omstandigheden heeft het Verwaltungsgericht Wiesbaden de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vraag:

  „Moeten artikel 57, lid 1, onder a) en f), artikel 58, lid 2, onder a) tot en met j), juncto artikel 77, lid 1, [AVG] aldus worden uitgelegd dat de toezichthoudende autoriteit altijd verplicht is om op te treden overeenkomstig artikel 58, lid 2, [van deze verordening] wanneer zij vaststelt dat een gegevensverwerking inbreuk maakt op de rechten van de betrokkene?”

 Ontvankelijkheid van het verzoek om een prejudiciële beslissing

• 24.

  Zonder uitdrukkelijk de ontvankelijkheid van het verzoek om een prejudiciële beslissing te betwisten, betoogt TR dat een antwoord op de gestelde vraag niet noodzakelijk is voor de beslechting van het hoofdgeding. Zijn beroep strekt er enkel toe dat de verwijzende rechter de HBDI gelast overeenkomstig artikel 57, lid 1, onder f), AVG uitspraak te doen op de grieven die in zijn klacht zijn aangevoerd, en niet dat de verwijzende rechter de HBDI gelast om de hem bij artikel 58, lid 2, van deze verordening verleende bevoegdheden uit te oefenen.

• 25.

  In dit verband zij eraan herinnerd dat het in het kader van de in artikel 267 VWEU geregelde samenwerking tussen het Hof en de nationale rechterlijke instanties uitsluitend een zaak is van de nationale rechter aan wie het geschil is voorgelegd en die de verantwoordelijkheid voor de te geven rechterlijke beslissing draagt, om gelet op de bijzonderheden van het geval zowel de noodzaak van een prejudiciële beslissing voor het wijzen van zijn vonnis als de relevantie van de door hem aan het Hof voorgelegde vragen te beoordelen. Wanneer de vragen betrekking hebben op de uitlegging van het Unierecht is het Hof derhalve in beginsel verplicht daarop te antwoorden (arrest van 30 november 2023, Ministero dell’Istruzione en INPS, C‑270/22, EU:C:2023:933, punt 33 en aldaar aangehaalde rechtspraak).

• 26.

  Hieruit vloeit voort dat er een vermoeden van relevantie rust op de vragen inzake de uitlegging van het Unierecht die de nationale rechter heeft gesteld binnen het onder zijn verantwoordelijkheid geschetste feitelijke en wettelijke kader, ten aanzien waarvan het niet aan het Hof is de juistheid ervan te onderzoeken. Het Hof kan slechts weigeren uitspraak te doen op een verzoek van een nationale rechter wanneer duidelijk blijkt dat de gevraagde uitlegging van het Unierecht geen verband houdt met een reëel geschil of met het voorwerp van het hoofdgeding, wanneer het vraagstuk hypothetisch van aard is of wanneer het Hof niet beschikt over de gegevens, feitelijk en rechtens, die noodzakelijk zijn om een zinvol antwoord te geven op de gestelde vragen (arrest van 30 november 2023, Ministero dell’Istruzione en INPS, C‑270/22, EU:C:2023:933, punt 34 en aldaar aangehaalde rechtspraak).

• 27.

  In casu wijst de verwijzende rechter erop dat TR heeft betoogd dat hij recht had op een optreden van de HBDI en heeft gesteld dat laatstgenoemde verplicht was om de Sparkasse een geldboete op te leggen.

• 28.

  Er blijkt dus niet duidelijk dat de gevraagde uitlegging van het Unierecht geen verband houdt met een reëel geschil of met het voorwerp van het hoofdgeding.

• 29.

  Derhalve is het verzoek om een prejudiciële beslissing ontvankelijk.

 Beantwoording van de prejudiciële vraag

• 30.

  Voor de beantwoording van de vraag moet er vooraf aan worden herinnerd dat bij de uitlegging van een Unierechtelijke bepaling niet alleen rekening moet worden gehouden met haar bewoordingen, maar ook met de context ervan en met de doelstellingen en het oogmerk van de regeling waarvan zij deel uitmaakt [arrest van 7 december 2023, SCHUFA Holding (Kwijtschelding van restschulden), C‑26/22 en C‑64/22, EU:C:2023:958, punt 48 en aldaar aangehaalde rechtspraak].

• 31.

  Evenzo zij eraan herinnerd dat overeenkomstig artikel 8, lid 3, van het Handvest van de grondrechten van de Europese Unie alsook artikel 51, lid 1, en artikel 57, lid 1, onder a), AVG de nationale toezichthoudende autoriteiten belast zijn met het toezicht op de naleving van de Unieregels inzake de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens [arrest van 7 december 2023, SCHUFA Holding (Kwijtschelding van restschulden), C‑26/22 en C‑64/22, EU:C:2023:958, punt 55 en aldaar aangehaalde rechtspraak].

• 32.

  In het bijzonder moet krachtens artikel 57, lid 1, onder f), AVG elke toezichthoudende autoriteit op haar grondgebied de klachten behandelen die eenieder overeenkomstig artikel 77, lid 1, van deze verordening kan indienen wanneer hij van oordeel is dat een verwerking van hem betreffende persoonsgegevens schending van die verordening oplevert, het voorwerp van die klachten – voor zover nodig – onderzoeken, en de klager binnen een redelijke termijn in kennis stellen van de vooruitgang en het resultaat van het onderzoek. De toezichthoudende autoriteit moet een dergelijke klacht met de nodige voortvarendheid en zorgvuldigheid onderzoeken [zie in die zin arrest van 7 december 2023, SCHUFA Holding (Kwijtschelding van restschulden), C‑26/22 en C‑64/22, EU:C:2023:958, punt 56 en aldaar aangehaalde rechtspraak].

• 33.

  Met het oog op de behandeling van klachten verleent artikel 58, lid 1, AVG elke toezichthoudende autoriteit ruime onderzoeksbevoegdheden. Wanneer een dergelijke autoriteit na afloop van haar onderzoek vaststelt dat er bepalingen van deze verordening zijn geschonden, is zij verplicht om op gepaste wijze te reageren teneinde de vastgestelde ontoereikendheid te verhelpen, waarbij – zoals vermeld in overweging 129 van die verordening – elke maatregel met name passend, noodzakelijk en evenredig dient te zijn met het oog op naleving van deze verordening en rekening houdend met de omstandigheden van elk individueel geval. Daartoe somt artikel 58, lid 2, van die verordening op welke corrigerende maatregelen de toezichthoudende autoriteit kan nemen [zie in die zin arrest van 7 december 2023, SCHUFA Holding (Kwijtschelding van restschulden), C‑26/22 en C‑64/22, EU:C:2023:958, punt 57 en aldaar aangehaalde rechtspraak].

• 34.

  Zo heeft de toezichthoudende autoriteit krachtens artikel 58, lid 2, AVG onder meer de bevoegdheid om de verwerkingsverantwoordelijke of de verwerker te berispen wanneer met verwerkingen inbreuk op bepalingen van deze verordening is gemaakt [punt b)], de verwerkingsverantwoordelijke of de verwerker te gelasten de verzoeken van de betrokkene tot uitoefening van zijn rechten uit hoofde van de genoemde verordening in te willigen [punt c)], de verwerkingsverantwoordelijke of de verwerker te gelasten, waar passend, op een nader bepaalde manier en binnen een nader bepaalde termijn [punt d)], verwerkingen in overeenstemming te brengen met de bepalingen van die verordening, of naargelang de omstandigheden van elke zaak, naast of in plaats van de in artikel 58, lid 2, bedoelde maatregelen, een administratieve geldboete op te leggen op grond van artikel 83 AVG [punt i)].

• 35.

  De klachtenprocedure is dus opgevat als een mechanisme waarmee de rechten en belangen van de betrokkenen doeltreffend kunnen worden beschermd [arrest van 7 december 2023, SCHUFA Holding (Kwijtschelding van restschulden), C‑26/22 en C‑64/22, EU:C:2023:958, punt 58].

• 36.

  In casu blijkt uit het verzoek om een prejudiciële beslissing dat de HBDI de klacht die verzoeker in het hoofdgeding bij hem heeft ingediend ten gronde heeft onderzocht en hem het resultaat van het onderzoek heeft meegedeeld. Meer in het bijzonder heeft de HBDI bevestigd dat er bij de Sparkasse sprake was van een inbreuk in verband met de persoonsgegevens van TR, bestaande in de ongeoorloofde toegang tot die persoonsgegevens door een van haar werknemers. Wat evenwel de toegangsrechten van de personeelsleden van de Sparkasse betreft, heeft de HBDI de door verzoeker in het hoofdgeding ingediende klacht afgewezen. Daarnaast is de HBDI tot de slotsom gekomen dat er geen gronden waren voor een optreden tegen de Sparkasse overeenkomstig artikel 58, lid 2, AVG.

• 37.

  In dit verband moet worden opgemerkt dat de AVG de toezichthoudende autoriteit een beoordelingsmarge laat met betrekking tot de manier waarop de vastgestelde ontoereikendheid moet worden verholpen, aangezien artikel 58, lid 2, van die verordening aan die autoriteit de bevoegdheid verleent om verschillende corrigerende maatregelen te nemen. Zo heeft het Hof reeds geoordeeld dat de keuze van het passende en noodzakelijke middel een zaak is van de toezichthoudende autoriteit, die deze keuze moet maken door alle omstandigheden van het concrete geval in aanmerking te nemen en door zich met de nodige voortvarendheid en zorgvuldigheid te kwijten van haar taak om toe te zien op de volledige naleving van de AVG (zie in die zin arrest van 16 juli 2020, Facebook Ireland en Schrems, C‑311/18, EU:C:2020:559, punt 112).

• 38.

  Deze beoordelingsmarge wordt echter beperkt door de noodzaak om door een strenge handhaving een consistent en hoog niveau van bescherming van persoonsgegevens te waarborgen, zoals blijkt uit overwegingen 7 en 10 AVG.

• 39.

  Wat meer bepaald de in artikel 58, lid 2, onder i), AVG bedoelde administratieve geldboeten betreft, blijkt uit artikel 83, lid 2, van die verordening dat deze, naargelang de omstandigheden van het concrete geval, naast of in plaats van de andere in artikel 58, lid 2, bedoelde maatregelen worden opgelegd. Bovendien bepaalt artikel 83, lid 2, dat de toezichthoudende autoriteit bij het besluit over de vraag of een administratieve geldboete wordt opgelegd en over de hoogte daarvan voor elk concreet geval naar behoren rekening moet houden met de in de punten a) tot en met k) van die bepaling genoemde factoren, zoals de aard, de ernst en de duur van de inbreuk.

• 40.

  De sanctieregeling waarin de Uniewetgever heeft voorzien, stelt de toezichthoudende autoriteiten dus in staat om, afhankelijk van de omstandigheden van elk geval, de meest passende en gerechtvaardigde sancties op te leggen (zie in die zin arrest van 5 december 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punten 75 en 78), rekening houdend met de in de punten 37 en 38 van het onderhavige arrest in herinnering gebrachte noodzaak om toe te zien op de volledige naleving van de AVG en een consistent en hoog niveau van bescherming van persoonsgegevens te waarborgen door een strenge handhaving.

• 41.

  Bijgevolg kan noch uit artikel 58, lid 2, AVG, noch uit artikel 83 van diezelfde verordening worden afgeleid dat de toezichthoudende autoriteit in alle gevallen verplicht is een corrigerende maatregel, in het bijzonder een administratieve geldboete, op te leggen wanneer zij een inbreuk in verband met persoonsgegevens vaststelt, aangezien zij in dergelijke omstandigheden verplicht is om op passende wijze te reageren teneinde de vastgestelde ontoereikendheid te verhelpen. In die omstandigheden heeft de klager van wie de rechten zijn geschonden, zoals de advocaat-generaal in punt 81 van zijn conclusie heeft opgemerkt, geen subjectief recht om van de toezichthoudende autoriteit de oplegging van een administratieve geldboete jegens de verwerkingsverantwoordelijke te verlangen.

• 42.

  De toezichthoudende autoriteit is daarentegen wel verplicht om op te treden wanneer het nemen van een of meer corrigerende maatregelen waarin artikel 58, lid 2, AVG voorziet, rekening houdend met alle omstandigheden van het concrete geval, passend, noodzakelijk en evenredig is om de vastgestelde ontoereikendheid te verhelpen en de volledige naleving van die verordening te waarborgen.

• 43.

  In dit verband kan niet worden uitgesloten dat de toezichthoudende autoriteit, bij wijze van uitzondering en gelet op de bijzondere omstandigheden van het concrete geval, ervan kan afzien om een corrigerende maatregel te nemen, ook al is er een inbreuk in verband met persoonsgegevens vastgesteld. Dit kan onder meer het geval zijn wanneer de vastgestelde inbreuk niet heeft voortgeduurd, bijvoorbeeld wanneer de verwerkingsverantwoordelijke – die in beginsel passende technische en organisatorische maatregelen in de zin van artikel 24 AVG had getroffen – in het licht van de verplichtingen die met name op grond van artikel 5, lid 2, en artikel 24 van deze verordening op hem rusten, zodra hij van deze inbreuk op de hoogte was, de passende en noodzakelijke maatregelen heeft genomen om ervoor te zorgen dat er een einde wordt gemaakt aan die inbreuk en dat deze zich niet opnieuw voordoet.

• 44.

  De uitlegging dat de toezichthoudende autoriteit, wanneer zij een inbreuk in verband met persoonsgegevens vaststelt, niet in alle gevallen verplicht is een corrigerende maatregel te nemen op grond van artikel 58, lid 2, AVG, wordt ondersteund door de doelstellingen die met respectievelijk artikel 58, lid 2, en artikel 83 van die verordening worden nagestreefd.

• 45.

  Wat betreft het met artikel 58, lid 2, AVG nagestreefde doel, blijkt uit overweging 129 daarvan dat die bepaling beoogt te waarborgen dat de verwerking van persoonsgegevens plaatsvindt in overeenstemming met deze verordening en dat, bij schending van die verordening, de situatie door het optreden van de nationale toezichthoudende autoriteiten in overeenstemming wordt gebracht met het Unierecht (arrest van 14 maart 2024, Újpesti Polgármesteri Hivatal, C‑46/23, EU:C:2024:239, punt 40).

• 46.

  Hieruit volgt dat het mogelijk is dat het nemen van een corrigerende maatregel, bij wijze van uitzondering en gelet op de bijzondere omstandigheden van het concrete geval, niet geboden is, mits reeds een einde is gemaakt aan de situatie die een inbreuk op de AVG inhoudt en de verwerking van persoonsgegevens in overeenstemming met deze verordening door de verwerkingsverantwoordelijke wordt gewaarborgd, en voorts dat een dergelijk niet-optreden van de toezichthoudende autoriteit het in punt 38 van dit arrest vermelde vereiste van een strenge handhaving niet kan ondermijnen.

• 47.

  Wat betreft het doel dat wordt nagestreefd met artikel 83 AVG, dat betrekking heeft op het opleggen van administratieve geldboeten, zij opgemerkt dat dit doel er volgens overweging 148 van die verordening erin bestaat om voor een krachtiger handhaving van de regels daarvan te zorgen. In diezelfde overweging staat echter te lezen dat, indien het gaat om een kleine inbreuk op die verordening of indien de te verwachten administratieve geldboete een onevenredige last zou berokkenen aan een natuurlijk persoon, de toezichthoudende autoriteiten ervoor mogen kiezen om geen geldboete op te leggen en in plaats daarvan een berisping te geven (zie in die zin arrest van 5 december 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punt 76).

• 48.

  In casu blijkt uit het verzoek om een prejudiciële beslissing dat de Sparkasse de HBDI overeenkomstig artikel 33 AVG in kennis heeft gesteld van de inbreuk in verband met de persoonsgegevens van verzoeker in het hoofdgeding, die het gevolg was van de ongeoorloofde toegang daartoe door een van haar werknemers. De Sparkasse gaf ook aan dat er tegen deze werkneemster tuchtmaatregelen waren genomen en dat de bewaartermijn van het toegangsregister opnieuw zou worden onderzocht. Tegen deze achtergrond heeft de HBDI ervan afgezien om een corrigerende maatregel te nemen op grond van artikel 58, lid 2, AVG, en met name om een administratieve geldboete op te leggen.

• 49.

  Aangezien de besluiten van een toezichthoudende autoriteit op een klacht onderworpen zijn aan een volledige rechterlijke toetsing [arrest van 7 december 2023, SCHUFA Holding (Kwijtschelding van restschulden), C‑26/22 en C‑64/22, EU:C:2023:958, punt 70], staat het aan de verwijzende rechter om na te gaan of de HBDI de betrokken klacht met de nodige voortvarendheid en zorgvuldigheid heeft onderzocht en of zij bij de vaststelling van het besluit in het hoofdgeding de grenzen van de haar door artikel 58, lid 2, AVG geboden beoordelingsmarge in acht heeft genomen [zie naar analogie arrest van 7 december 2023, SCHUFA Holding (Kwijtschelding van restschulden), C‑26/22 en C‑64/22, EU:C:2023:958, punten 68 en 69 en aldaar aangehaalde rechtspraak].

• 50.

  Gelet op een en ander moet op de vraag worden geantwoord dat artikel 57, lid 1, onder a) en f), artikel 58, lid 2, en artikel 77, lid 1, AVG aldus moeten worden uitgelegd dat wanneer de toezichthoudende autoriteit een inbreuk in verband met persoonsgegevens vaststelt, zij niet verplicht is om krachtens artikel 58, lid 2, een corrigerende maatregel, met name een administratieve geldboete, op te leggen wanneer een dergelijk optreden niet passend, noodzakelijk of evenredig is om de vastgestelde ontoereikendheid te verhelpen en de volledige naleving van die verordening te waarborgen.

 Kosten

• 51.

  Ten aanzien van de partijen in het hoofdgeding is de procedure als een aldaar gerezen incident te beschouwen, zodat de verwijzende rechter over de kosten heeft te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking.

  Het Hof (Eerste kamer) verklaart voor recht:

  Artikel 57, lid 1, onder a) en f), artikel 58, lid 2, en artikel 77, lid 1, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming)

  moeten aldus worden uitgelegd dat

  wanneer de toezichthoudende autoriteit een inbreuk in verband met persoonsgegevens vaststelt, zij niet verplicht is om krachtens artikel 58, lid 2, een corrigerende maatregel, met name een administratieve geldboete, op te leggen wanneer een dergelijk optreden niet passend, noodzakelijk of evenredig is om de vastgestelde ontoereikendheid te verhelpen en de volledige naleving van die verordening te waarborgen.

  ondertekeningen

  *      Procestaal: Duits.