Bundesverwaltungsgericht (BVwG) anser att Datenschutzbehörde (DSB) saknat rättslig grund för att fatta ett beslut om lagligheten av en behandling som en personuppgiftsansvarig utför inom ramen för en tillsyn på eget initiativ enligt dataskyddsförordningen (GDPR).
Av domen framgår att DSB den 15 juni 2020 tagit emot ett USB-minne med en uppsättning dokument, inklusive intern information om ett företag, från en anonym avsändare. DSB inledde en tillsyn på eget initiativ och drog genom ett beslut den 6 november 2021 slutsatsen att den personuppgiftsansvarige, i egenskap av chef för företaget, inte uppfyllde säkerhetskraven eftersom personen sparat personuppgifter på ett privat och osäkert USB-minne.
Den personuppgiftsansvarige överklagade beslutet till BVwG och anförde bland annat att DSB inte hade rätt att inleda ett sådant förfarande mot den personuppgiftsansvarige och att beslutet saknade en rimlig motivering enligt artikel 58 GDPR. Den personuppgiftsansvarige gjorde även gällande att DSB inte hade tagit hänsyn till att USB-minnet faktiskt stulits av en anställd hos den personuppgiftsansvarige.
BVwG tog upp överklagandet till prövning och ansåg att det inte kan utläsas av artikel 58 GDPR att behöriga tillsynsmyndigheter får anta förklarande uttalanden om att en behandling är olaglig på grundval av en tillsyn på eget initiativ. Enligt BVwG innehåller artikel 58 GDPR inte en uttrycklig rättslig grund för att sådana beslut ska kunna utfärdas. Mot bakgrund av detta ansåg BVwG att överklagandet skulle bifallas, eftersom DSB:s beslut saknade rättslig grund och därför skulle upphävas.