EuGH muss über Sanktionen bei Datenschutzverstoß entscheiden
Der Europäische Gerichtshof (EuGH) steht vor einer wichtigen Entscheidung im Zusammenhang mit Datenschutzverstößen. In einem Rechtsstreit in Hessen muss der EuGH klären, welche Maßnahmen die Aufsichtsbehörden ergreifen sollten, wenn ein Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) festgestellt wird. Der Generalanwalt des EuGH, Priit Pikamäe, hat in seinen veröffentlichten Schlussanträgen bereits betont, dass eine Datenschutzbehörde zum Handeln verpflichtet ist.
Der Fall, der vorliegt, dreht sich um einen Kunden einer Sparkasse, der im Sommer 2020 den ehemaligen hessischen Beauftragten für Datenschutz und Informationsfreiheit eingeschaltet hatte. Die Sparkasse hatte zuvor die Datenschutzbehörde darüber informiert, dass eine Mitarbeiterin mehrmals unbefugt auf die Daten des Kunden zugegriffen hatte. Obwohl der Datenschutzbeauftragte einen Verstoß gegen die DSGVO feststellte, entschied er, dass keine weiteren Maßnahmen gegen die Sparkasse erforderlich seien, da bereits Disziplinarmaßnahmen gegen die Mitarbeiterin ergriffen wurden.
Der Kunde war mit dieser Entscheidung nicht einverstanden und beantragte beim Verwaltungsgericht Wiesbaden, den Datenschutzbeauftragten dazu zu verpflichten, gegen die Sparkasse vorzugehen. Er argumentierte, dass eine Geldstrafe gegen die Sparkasse verhängt werden sollte. Die Richter in Wiesbaden baten daraufhin den EuGH um Klarstellung bezüglich der Kompetenzen und Verpflichtungen der Aufsichtsbehörde.
Der Generalanwalt Pikamäe ist der Ansicht, dass die hessische Behörde Maßnahmen ergreifen muss, um den Verstoß zu beheben und die Rechte der betroffenen Person durchzusetzen. Es wäre unzulässig, wenn die Aufsichtsbehörde in einer solchen Situation untätig bleiben könnte. Pikamäe wies darauf hin, dass der Datenschutzbeauftragte der Sparkasse bereits bestätigt hatte, dass der Kunde keine weiteren Gefahren zu befürchten habe. Zudem wurden Maßnahmen ergriffen, um das Fehlverhalten der Mitarbeiterin zu unterbinden. Die Sparkasse wurde aufgefordert, ihre Zugriffsprotokolle für einen längeren Zeitraum zu speichern, aber eine Kontrolle jedes einzelnen Zugriffs sei nicht erforderlich.
Der betroffene Kunde forderte jedoch weitere Maßnahmen oder Strafen. Pikamäe betonte, dass die Aufsichtsbehörde verpflichtet ist, angemessene und notwendige Maßnahmen zu ergreifen. Es liegt in ihrer Verantwortung, das ihr übertragene Ermessen gewissenhaft auszuüben. In einigen Fällen könnte eine Geldbuße aufgrund des Strafzwecks und der potenziellen Schwere des Verstoßes zu hoch ausfallen, insbesondere wenn bereits Maßnahmen ergriffen wurden, um das Problem zu beheben. Eine Verwarnung könnte in solchen Fällen ausreichen.
Es bleibt abzuwarten, wie der EuGH in diesem Fall entscheiden wird. Obwohl die Schlussanträge des Generalanwalts nicht verbindlich sind, folgen die Richter ihnen oft. Das Urteil wird voraussichtlich in einigen Monaten erwartet. Bis dahin bleibt abzuwarten, wie sich der EuGH zu den Sanktionen bei Datenschutzverstößen positionieren wird.
Schlagwörter: Pikamäe + EuGH + DSGVO
Wie bewerten Sie den Schreibstil des Artikels?