Στη Γερμανία, ένα ταμιευτήριο διαπίστωσε ότι ένας από τους υπαλλήλους του είχε συμβουλευτεί τα προσωπικά δεδομένα ενός πελάτη σε πολλές περιπτώσεις χωρίς να είναι εξουσιοδοτημένος να το πράξει. Το ταμιευτήριο δεν ενημέρωσε τον πελάτη για το γεγονός αυτό, καθώς τα δεδομένα του υπεύθυνος προστασίας είχε την άποψη ότι δεν υπήρχε υψηλός κίνδυνος για τον ίδιο. Ο υπάλληλος είχε επιβεβαιώσει εγγράφως ότι δεν είχε αντιγράψει ούτε διατηρήσει τα δεδομένα, ότι δεν τα είχε διαβιβάσει σε τρίτους και ότι
δεν θα το έκανε στο μέλλον. Επιπλέον, το ταμιευτήριο είχε λάβει πειθαρχικά μέτρα εναντίον της. Το ταμιευτήριο κοινοποίησε ωστόσο την παράβαση αυτή στον Επίτροπο Προστασίας Δεδομένων του ομόσπονδου κρατιδίου της Έσσης.
Αφού έλαβε τυχαία γνώση της παραβίασης αυτής, ο πελάτης υπέβαλε καταγγελία στον εν λόγω Επίτροπο για τα δεδομένα Προστασίας. Αφού άκουσε το ταμιευτήριο, ο Επίτροπος Προστασίας Δεδομένων ενημέρωσε την πελάτισσα ότι δεν έκρινε αναγκαίο να ασκήσει διορθωτικές εξουσίες έναντι του ταμιευτηρίου.
Στη συνέχεια, ο πελάτης άσκησε αγωγή ενώπιον γερμανικού δικαστηρίου, ζητώντας του να διατάξει τον Επίτροπο για τα δεδομένα Προστασίας Δεδομένων Προσωπικού Χαρακτήρα να λάβει μέτρα κατά του ταμιευτηρίου και, ιδίως, να του επιβάλει πρόστιμο.
Το γερμανικό δικαστήριο ζήτησε από το Δικαστήριο να ερμηνεύσει τον Γενικό Κανονισμό για την Προστασία Δεδομένων (ΓΚΠΔ) σε σχέση με αυτό το αίτημα.
Το Δικαστήριο απαντά ότι όταν διαπιστώνεται παραβίαση δεδομένων προσωπικού χαρακτήρα, η εποπτική αρχή δεν υποχρεούται να ασκήσει διορθωτική εξουσία, ιδίως την εξουσία επιβολής διοικητικού προστίμου, όταν αυτό δεν είναι αναγκαίο για την αποκατάσταση της διαπιστωθείσας πλημμέλειας και τη διασφάλιση της πλήρους εφαρμογής του ΓΚΠΔ.
Αυτή θα μπορούσε να συμβεί, μεταξύ άλλων, όταν, μόλις ο υπεύθυνος επεξεργασίας έλαβε γνώση της παράβασης, έλαβε τα αναγκαία μέτρα για να διασφαλίσει ότι η εν λόγω παραβίαση τερματίστηκε και δεν επαναλήφθηκε.
Ο ΓΚΠΔ αφήνει στην εποπτική αρχή τη διακριτική ευχέρεια ως προς τον τρόπο με τον οποίο πρέπει να αποκαταστήσει την σχετική ανεπάρκεια. Η εν λόγω διακριτική ευχέρεια περιορίζεται από την ανάγκη να διασφαλιστεί ένα συνεπές και υψηλό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα μέσω της αυστηρής εφαρμογής του ΓΚΠΔ.
Εναπόκειται στο γερμανικό δικαστήριο να εξακριβώσει αν ο Επίτροπος Προστασίας Δεδομένων συμμορφώθηκε με τα όρια αυτά.
