DSGVO-Verstoß: Muss die Datenschutzaufsicht immer einschreiten?

Datenschutz Datenschutz national Datenschutz international Datenschutz Rechtsprechung

Dienstag, 09. Juli 2024

Sparkassenmitarbeiterin greift unbefugt auf Daten eines Kunden zu

Der EuGH, der Europäische Gerichtshof, musste klären, ob die Datenschutzaufsicht immer aktiv werden muss, wenn ein Datenschutzverstoß im Sinne der DSGVO festgestellt wurde. Hintergrund war ein Vorfall, der von einem hessischen Gericht geklärt werden sollte: Eine Sparkassenmitarbeiterin griff mehrmals auf die persönlichen Daten eines Kunden zu, ohne dazu befugt gewesen zu sein. Das meldete die Sparkasse im November 2019 an die zuständige Datenschutzbehörde. Diese stellte fest, dass die Vorgaben der DSGVO verletzt wurden, sah aber keinen Handlungsbedarf, da das Finanzinstitut gegenüber der Mitarbeiterin zu diesem Zeitpunkt schon disziplinarische Maßnahmen eingeleitet hatte.

Betroffener Kunde erwartet Sanktionen

Der betroffene Kunde war damit nicht zufrieden und beantragte beim Verwaltungsgericht Wiesbaden, den Beauftragten zum Einschreiten zu verpflichten und unter anderem ein Bußgeld gegen die Sparkasse zu verhängen. Das Verwaltungsgericht wiederum befragte den EuGH nach den Pflichten und Befugnissen der Datenschutzbehörde. EuGH-Generalanwalt Priit Pikamäe sah ebenfalls einen Handlungsbedarf aufseiten der Datenschutzbehörde: Die Datenschutzbehörde müsse aktiv werden und Maßnahmen ergreifen, um den Verstoß zu beheben und die Rechte der Betroffenen durchzusetzen. Bliebe die Behörde passiv, sei das Beschwerdeverfahren nutzlos.

Angemessene Konsequenzen

Welche Konsequenzen angemessen seien, hänge allerdings vom Einzelfall ab. Laut Generalanwalt Pikamäe solle die Aufsichtsbehörde erforderliche und geeignete Maßnahmen ergreifen, die im angemessenen Verhältnis zum Verstoß stünden. Je nach Schweregrad kann diesen Anspruch eine Geldbuße erfüllen, doch auch eine Verwarnung kann angemessen sein. Insbesondere wenn die Verantwortlichen bereits Abhilfe geschaffen hätten, könne ein Bußgeld unangemessen sein. Die Aufsichtsbehörde solle ihren Ermessensspielraum gewissenhaft und entsprechend der DSGVO nutzen. Das Urteil des EuGH wird in den nächsten Monaten erwartet.

Was tun bei einem Datenschutzverstoß im Unternehmen?

Sie möchten wissen, wie Sie sich bei einem Datenschutzverstoß in Ihrem Unternehmen am besten verhalten sollten? Wir schauen uns den Einzelfall genau an und beraten Sie umfassend. Rufen Sie uns unter 09122 6937302 an und vereinbaren Sie Ihren persönlichen Gesprächstermin. Oder senden Sie uns einfach Ihre Nachricht. Wir freuen uns, Sie kennenzulernen.

Ihr Team von Datenschutz Prinz