Datenzugriff durch Sparkassenmitarbeiterin: Ist die Datenschutzbehörde verpflichtet zu handeln?

Die Aufsichtsbehörde ist hinsichtlich des Schutzes personenbezogener Daten nicht verpflichtet, in jedem Fall eines Verstoßes eine Abhilfemaßnahme zu ergreifen und insbesondere eine Geldbuße zu verhängen. Sie kann davon absehen, wenn der Verantwortliche bereits von sich aus die erforderlichen Maßnahmen ergriffen hat.

Der Sachverhalt:
Die Mitarbeiterin einer Sparkasse griff mehrmals unbefugt auf personenbezogene Daten des klagenden Kunden zu. Die Sparkasse, die hiervon Kenntnis erlangt hatte, setzte den Kläger hiervon nicht in Kenntnis, da ihr Datenschutzbeauftragter der Ansicht war, dass für ihn kein hohes Risiko bestehe. Denn die Mitarbeiterin hatte schriftlich bestätigt, dass sie die Daten weder kopiert oder gespeichert noch an Dritte übermittelt habe und dass sie dies auch zukünftig nicht tun werde. Außerdem ergriff die Sparkasse gegen die Mitarbeiterin Disziplinarmaßnahmen. Gleichwohl meldete die Sparkasse diesen Verstoß dem beklagten Landesdatenschutzbeauftragten.

Nachdem der Kläger von diesem Vorfall Kenntnis erlangt hatte, reichte er bei dem Beklagten eine Beschwerde ein. Nach Anhörung der Sparkasse teilte der Beklagte dem Kläger mit, dass er es nicht für erforderlich halte, gegen die Sparkasse Abhilfemaßnahmen zu ergreifen. Daraufhin erhob der Kläger Klage und beantragte, den Beklagten zum Einschreiten gegen die Sparkasse zu verpflichten und insbesondere dazu, gegen die Sparkasse eine Geldbuße zu verhängen.

Das mit der Sache befasste VG Wiesbaden hat das Verfahren ausgesetzt und den EuGH um Auslegung der DSGVO im Hinblick auf diese Fragestellung gebeten.

Die Gründe:
Die Aufsichtsbehörde (hier die Beklagte) ist im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet, eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen, wenn dies nicht erforderlich ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung der DSGVO zu gewährleisten. Ein solcher Fall könnte u. a. dann vorliegen, wenn der für die Verarbeitung Verantwortliche, sobald er von der Verletzung Kenntnis erlangt hat, die erforderlichen Maßnahmen ergriffen hat, damit die Verletzung abgestellt wird und sich nicht wiederholt.

Die DSGVO räumt der Aufsichtsbehörde ein Ermessen hinsichtlich der Art und Weise ein, wie sie der festgestellten Unzulänglichkeit abhilft. Dieses Ermessen wird durch das Erfordernis begrenzt, durch den klar durchsetzbaren Rechtsrahmen der DSGVO ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu gewährleisten. Es wird vorliegend Sache des VG sein, zu prüfen, ob der Beklagte diese Grenzen hier eingehalten hat.

Mehr zum Thema:

Beratermodul Datenschutzrecht
Das weitgreifende Komplettangebot zum deutschen und europäischen Datenschutzrecht deckt die DSGVO, das TTDSG und das BDSG ab. Mit Top-Inhalten aus den Verlagen Dr. Otto Schmidt und C.F. Müller. Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! Das Komplettangebot zum Datenschutzrecht. 4 Wochen gratis nutzen!

Beratermodul WM / WuB Wirtschafts- und Bankrecht
WM und WuB in einem Modul: Die WM Zeitschrift für Wirtschafts- und Bankrecht informiert wöchentlich aktuell und umfassend im Rechtsprechungsteil über Urteile und Beschlüsse der Gerichte. Die WuB Entscheidungsanmerkungen zum Wirtschafts- und Bankrecht informieren monatlich aktuell und praxisbezogen kommentiert über alle wichtigen wirtschafts- und bankrechtlichen Entscheidungen. 4 Wochen gratis nutzen!