Der Europäische Gerichtshof (EuGH) hat gerade ein Urteil zum Ermessensspielraum von Datenschutzbehörden bei Maßnahme nach Art. 58 Abs. 2 DSGVO (insbesondere Geldbußen) gefällt. Aufsichtsbehörden müssen weiterhin keine Maßnahmen bei Verstößen ergreifen, haben aber eine Begründungspflicht bezüglich der Entscheidung, untätig zu bleiben.
Anzeige
Der Sparkassenfall
Am 15. November 2019 meldete eine Sparkasse als kommunale Anstalt des öffentlichen Rechts, die u. a. Bank- und Kreditgeschäfte abwickelt, dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) eine Verletzung des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO.
Hintergrund war, dass eine der Sparkassen-Mitarbeiterinnen mehrmals unbefugt auf personenbezogene Daten des Klägers, der Kunde des Instituts war, zugegriffen hatte. Die Sparkasse sah davon ab, den Kläger von der Verletzung des Schutzes seiner personenbezogenen Daten zu benachrichtigen.
Nachdem der Kläger Kenntnis von den unberechtigterweise erfolgten Zugriffe auf seine personenbezogenen Daten erhielt, reichte er am 27. Juli 2020 beim HBDI gemäß Art. 77 DSGVO eine Beschwerde ein. In dieser Beschwerde rügte er, dass er unter Verstoß gegen Art. 34 dieser Verordnung von der Verletzung des Schutzes seiner personenbezogenen Daten nicht benachrichtigt worden sei. Ferner kritisierte er die Speicherdauer der Zugriffsprotokolle der Sparkasse, die nur drei Monate betrage, sowie die umfassenden Zugriffsrechte, über die die Mitarbeiter der Sparkasse verfügten.
Infolge der Beschwerde des späteren Klägers hörte der HBDI die Sparkasse sowohl schriftlich als auch mündlich zu den gegen sie erhobenen Vorwürfen an. Im Rahmen der Anhörung wies die Sparkasse darauf hin, dass sie von einer Benachrichtigung nach Art. 34 DSGVO abgesehen habe, da ihr Datenschutzbeauftragter der Ansicht gewesen sei, dass kein hohes Risiko für die Rechte und Freiheiten von TR bestehe.
Anzeige
Gegen die betreffende Mitarbeiterin seien nämlich Disziplinarmaßnahmen ergriffen worden, und diese habe schriftlich bestätigt, dass sie die personenbezogenen Daten weder kopiert oder gespeichert noch an Dritte übermittelt habe, sowie zugesagt, dies auch zukünftig nicht zu tun. Außerdem teilte die Sparkasse dem HBDI auf seine Beanstandung der zu kurzen Speicherdauer der Zugriffsprotokolle hin mit, dass dieser Punkt überprüft werde.
Mit Bescheid vom 3. September 2020 teilte der HBDI dem Beschwerdeführer mit, dass die Sparkasse nicht gegen Art. 34 DSGVO verstoßen habe, da die Beurteilung der Sparkasse, dass die Verletzung des Schutzes personenbezogener Daten nicht mit einem hohen Risiko für seine Rechte und Freiheiten im Sinne dieses Artikels einhergehe, nicht offensichtlich falsch gewesen sei.
Denn obgleich die Mitarbeiterin auf die Daten zugegriffen habe, gebe es keinerlei Anhaltspunkte dafür, dass diese sie an Dritte weitergegeben oder zum Nachteil des Beschwerdeführers verwendet habe. Des Weiteren führte der HBDI aus, dass er die Sparkasse aufgefordert habe, ihre Zugriffsprotokolle künftig länger als drei Monate zu speichern.
Was schließlich die Frage des Zugriffs der Mitarbeiter der Sparkasse auf personenbezogene Daten angeht, wies der HBDI die Beschwerde mit der Begründung zurück, dass grundsätzlich umfangreiche Zugriffsrechte erteilt werden dürften, wenn sichergestellt sei, dass jeder Nutzer belehrt werde, unter welchen Bedingungen auf die Daten zugegriffen werden dürfe. Eine grundsätzliche Kontrolle jedes einzelnen Zugriffs ist nach Ansicht des HBDI insoweit nicht erforderlich.
Gegen den Bescheid vom 3. September 2020 erhob die betreffende Person Klage beim Verwaltungsgericht Wiesbaden (Deutschland), und beantragte, den HBDI zum Einschreiten gegen die Sparkasse zu verpflichten.
Das Gericht legte den Fall dem Europäischen Gerichtshof (EuGH) zur Beurteilung und Klärung vor. Dessen Richter fällten die Entscheidung, dass Art. 57 Abs. 1 Buchst. a und f, Art. 58 Abs. 2 sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) dahin auszulegen sind, dass die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, nach diesem Art. 58 Abs. 2 eine Abhilfemaßnahme zu ergreifen. Dies umfasst auch, eine Geldbuße zu verhängen, wenn ein solches Einschreiten nicht geeignet, erforderlich oder verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten.
Stellungnahme des Hessischen Datenschutzbeauftragten
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) begrüßt das am 26. Sept. 2024 verkündete Urteil des EuGH in der Rechtssache C-768/21. Der Europäische Gerichtshof (EuGH) habe die Befugnisse und Pflichten der Datenschutzaufsichtsbehörden bei der Durchsetzung der Datenschutz-Grundverordnung (DS-GVO) weiter konkretisiert.
"Mit seiner Entscheidung schafft der EuGH Rechtssicherheit und leistet damit einen richtungsweisenden Beitrag zur Harmonisierung des europäischen Datenschutzrechts." sagt der HBDI Prof. Dr. Alexander Roßnagel.
Der EuGH stellt hierzu fest, dass die Datenschutzaufsichtsbehörden, auch wenn sie eine Verletzung des Schutzes personenbezogener Daten feststellen, nicht verpflichtet sind, eine Abhilfemaßnahme zu ergreifen, insbesondere Geldbußen zu verhängen, wenn dies nicht erforderlich ist, um der festgestellten Unzulänglichkeit abzuhelfen und die Einhaltung dieser Verordnung zu gewährleisten, so der HBDI weiter.
Ein solcher Fall könnte u.a. dann vorliegen, wenn der für die Verarbeitung Verantwortliche, sobald er von der Verletzung Kenntnis erlangt hat, die erforderlichen Maßnahmen ergriffen hat, damit die Verletzung abgestellt wird und sich nicht wiederholt.
Positiv sieht der HBDI, dass die DS-GVO der Aufsichtsbehörde ein Ermessen hinsichtlich der Art und Weise einräumt, wie sie der festgestellten Unzulänglichkeit abhilft. Dieses Ermessen wird durch das Erfordernis begrenzt, durch den klar durchsetzbaren Rechtsrahmen der DS-GVO ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu gewährleisten.
Der Hessische Datenschutzbeauftragte hebt insbesondere positiv hervor, dass der EuGH klarstellt, dass die Aufsichtsbehörde bei der Durchsetzung der DS-GVO mit Augenmaß vorgehen und insbesondere konstruktive Maßnahmen der Verantwortlichen berücksichtigen kann. Dies gibt für diese einen positiven Anreiz, die Einhaltung von Datenschutzvorgaben zu überwachen und bei Verletzungen unmittelbar zu reagieren. Die Entscheidung gibt den Behörden die nötige Flexibilität, um individuell auf Verstöße reagieren zu können.
"Der HBDI wird seine Praxis weiterhin daran ausrichten, Datenschutzverstöße effektiv zu verfolgen und gleichzeitig sicherstellen, dass Maßnahmen in jedem Einzelfall verhältnismäßig und im Interesse der Betroffenen ergriffen werden", so Roßnagel.
Anzeige
Zitat: "nicht verpflichtet sind, eine Abhilfemaßnahme zu ergreifen … Dies umfasst auch, eine Geldbuße zu verhängen, wenn ein solches Einschreiten nicht geeignet, erforderlich oder verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten."
Also ich fahre mit 80 in der 30er Zone und die zuständigen Behörden verzichten darauf, ein Bußgeld gegen mich zu verhängen, weil "ein solches Einschreiten nicht geeignet, erforderlich oder verhältnismäßig ist," mich dazu zu bringen, langsam zu fahren.
Na Prima!
Du fährst mit 33 durch eine 30er Zone und wirst geblitzt. Formal warst Du zu schnell und müsstest ein Bußgeld wegen Überschreiten der zulässigen Höchstgeschwindigkeit zahlen. In der Regel dürfte man aber bei der Messung eine Toleranz berücksichtigen, wo trotz "zu schnell" kein Bußgeld kommt. Dieses Szenario trifft wohl eher dein Beispiel – imho.
Lies dir den Fall durch, der zur Entscheidung dem EuGH vorlag. Eine Mitarbeiterin der Bank hatte unbefugt auf persönliche Informationen eines Kunden zugegriffen, wurde abgemahnt, aber ein wirklicher Schaden entstand nicht. Nimm den Fall, wo jemand einige Mail-Adressen auf CC oder An statt auf CC setzt und das verschickt. Wenn es ein einmaliger "Unfall" war und das Unternehmen Maßnahmen ergreift, um so etwas zu verhindern, soll also deiner Meinung nach zwingend ein Bußgeld verhängt werden?
Die Altvorderen kannten das mit "der Kirche im Dorf lassen" – wenn ein Unternehmen aber fortgesetzt DSGVO-Verstöße begeht oder das sogar bewusst eingeht, sieht es anders aus. Es ist gut, dass ein Ermessensspielraum eingeräumt wird – aber die Behörde muss begründen – und der DSGVO-Verletzte hat dann den Rechtsweg, gegen die Nichttätigkeit der Behörde vorzugehen und Beschwerde einzulegen.
| Eine Mitarbeiterin der Bank hatte unbefugt auf
| persönliche Informationen einesKunden zugegriffen,
| wurde abgemahnt, aber ein wirklicher Schaden
| entstand nicht.
Sehe ich anders. Auch wenn es ich es nicht beweisen kann, aber dadurch, dass die Dame *mehrfach* unberechtigt die Daten abgerufen hat (so steht es im Text) scheint sie doch ein ziemliches Interesse an diesem einen Kunden gehabt zu haben. Sollte sie selber weder verwandt noch verschwägert noch befreundet mit diesem sein oder in seiner Nachbarschaft wohnen, steht doch mit sehr hoher Wahrscheinlichkeit das Interesse einer weiteren Person im Raum, die über die Finanzsituation des 'Opfers' informiert werden wollte.
Meiner Meinung nach hätte bereits die Sparkasse den Kunden über den Vorfall informieren müssen. Ob mehr Sein als Schein vorherrscht oder umgekehrt, geht außer der Bank und dem entsprechenden Kunden keinen Dritten etwas an, lassen wir berechtigte Behörden jetzt mal außen vor.
Die Ansicht des Datenschutzbeauftragten der Sparkasse mag ich jedenfalls weder nachvollziehen noch teilen.