EuGH-Generalanwalt: Datenschutzaufsicht muss bei DSGVO-Verstoß einschreiten
Die Mitarbeiterin einer Sparkasse griff mehrfach unbefugt auf Daten eines Kunden zurück. Muss ein staatlicher Datenschutzbeauftragter das ahnden?
(Bild: peterschreiber.media/Shutterstock.com)
Der Europäische Gerichtshof (EuGH) hat in einem hessischen Rechtsstreit zu klären, wie die zuständigen Aufsichtsbehörden bei einem festgestellten Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) reagieren müssen. EuGH-Generalanwalt Priit Pikamäe geht in seinen am Donnerstag veröffentlichten Schlussanträgen davon aus, dass eine Datenschutzbehörde zum Einschreiten verpflichtet ist. Die Entscheidung über Konsequenzen hänge aber von den konkreten Umständen des jeweiligen Einzelfalls ab.
Datenschützer blieb passiv
In dem Fall geht es um den Kunden einer Sparkasse, der im Sommer 2020 den damaligen hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) eingeschaltet hatte. Die Mitarbeiterin der Sparkasse hatte mehrmals unbefugt auf seine Daten zugegriffen, was das Finanzinstitut im November 2019 selbst der Datenschutzbehörde gemeldet hatte. Der Datenschutzbeauftragte stellte eine DSGVO-Verletzung fest, hielt ein Einschreiten gegen die Sparkasse aber für nicht geboten, da diese bereits Disziplinarmaßnahmen gegen die Mitarbeiterin ergriffen habe.
Der Kunde hat daraufhin beim Verwaltungsgericht Wiesbaden beantragt, den Datenschutzbeauftragten zum Eingreifen gegen die Sparkasse zu verpflichten. Er macht unter anderem geltend, dass der Datenschützer ein Bußgeld hätte verhängen müssen. Die Wiesbadener Richter haben den EuGH daraufhin zu den Befugnissen und Pflichten der Aufsichtsbehörde befragt. Generalanwalt Pikamäe führt dazu nun aus, dass die hessische Behörde Maßnahmen in Betracht ziehen müsse, die zur Behebung des Verstoßes und zur Durchsetzung der Rechte der betroffenen Person am besten geeignet seien. Das Beschwerdeverfahren wäre "völlig nutzlos", wenn "die Aufsichtsbehörde angesichts einer unionsrechtswidrigen Rechtslage passiv bleiben könnte".
Der Datenschutzbeauftragte der Sparkasse sei davon ausgegangen, dass dem betroffenen Kunden keine Gefahr mehr drohe, erklärte Pikamäe. Denn es seien bereits Disziplinarmaßnahmen gegen die Mitarbeiterin ergriffen und die Praxis unterbunden worden. Der Landesdatenschützer teilte dem betroffenen Kunden im September 2020 mit, dass kein hohes Risiko für weitere Verstöße mehr gegeben sei. Zudem habe man die Sparkasse aufgefordert worden, ihre Zugriffsprotokolle länger zu speichern. Eine grundsätzliche Kontrolle eines jeden Zugriffs sei nicht erforderlich.
Verhältnismäßige Sanktion
Der in seinen Rechten verletzte Kunde verlangte hingegen Sanktionen. Auch Pikamäe zufolge ist die Aufsichtsbehörde gehalten, "die geeignete, erforderliche und verhältnismäßige Maßnahme" zu ergreifen. Sie habe dabei die Verantwortung, "das ihr eingeräumte Ermessen gewissenhaft und im Einklang mit den Vorgaben der DSGVO auszuüben". Eine Geldbuße könne "aufgrund des mit ihr zumindest in manchen Fällen verfolgten Strafzwecks und angesichts ihres gegebenenfalls hohen Schweregrads" zu hoch gegriffen sei, insbesondere wenn die für die Datenverarbeitung verantwortliche Stelle selbst schon Abhilfe geschaffen habe. Die Behörde könnte es aber etwa auch mit einer Verwarnung bewenden lassen.
Die Schlussanträge sind für den EuGH nicht bindend, oft folgen ihnen die Richter aber. Mit ihrem Urteil ist ein einigen Monaten zu rechnen.
(vbr)
