Image

EU-Generalanwalt: Datenschutzaufsicht zum Einschreiten verpflichtet

EU-Generalanwalt Priit Pikamäe argumentiert, dass Datenschutzaufsichtsbehörden verpflichtet sind, geeignete Maßnahmen bei Datenschutzverstößen zu ergreifen, selbst wenn das betroffene Unternehmen bereits eigene Maßnahmen ergriffen hat.

  • advomare
  • 15.05.2024
  • Zuletzt aktualisiert am: 15.05.2024

Laut dem EU-Generalanwalt ist eine Datenschutzaufsichtsbehörde verpflichtet einzuschreiten und Maßnahmen bei einem Datenschutzverstoß zu ergreifen. Dies führte EU-Generalanwalt Priit Pikamäe in seinen Schlussanträgen zu einem Fall aus Hessen aus.

Die Mitarbeiterin einer Sparkasse griff mehrmals unberechtigt auf die Daten eines Kunden zu. 2019 meldete die Bank dies dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit. Dieser wurde 2020 auch noch einmal von dem Betroffenen verständigt. Der Datenschutzbeauftragte stellte zwar einen DS-GVO-Verstoß fest, entschied aber, dass weiteres Einschreiten nicht geboten sei, zum Beispiel in der Form eines entsprechenden Bußgeldes. Das Unternehmen hat zu diesem Zeitpunkt selbst Maßnahmen durch Disziplinarmaßnahmen gegen die Mitarbeiterin ergriffen. Zudem wurde die Sparkasse aufgefordert, ihre Zugriffsprotokolle länger zu speichern.

Ein Eingreifen sei daher nicht geboten, die Gefahr für weitere Verstöße sei nicht vorhanden, worüber die Aufsichtsbehörde auch den Kunden informierte. Der Kunde forderte Sanktionen gegen die Sparkassen und beantragte beim Verwaltungsgericht Wiesbaden, den Beauftragten zum Eingreifen zu verpflichten. Seiner Ansicht nach hätte ein Bußgeld verhängt werden müssen. Mit Fragen zu den Pflichten und Befugnissen der Aufsichtsbehörden wandte sich das Wiesbadener Gericht an den EuGH.

In seinen Schlussanträgen führte Generalanwalt Pikamäe aus, dass ein Eingreifen notwendig sei. Die Aufsichtsbehörde müsse Maßnahmen abwägen, die der Behebung des Verstoßes dienen sollen, aber auch für die Durchsetzung der Betroffenenrechte am geeignetsten sind. Andernfalls hätte das Beschwerdeverfahren keinerlei Nutzen, wenn die Aufsichtsstellen nicht aktiv werden müssen.

Die Datenschutzbehörde soll eine „geeignete, erforderliche und verhältnismäßige Maßnahme“ ergreifen. Ein Bußgeld könne schon zu hoch sein, insbesondere dann, wenn von den Verantwortlichen bereits selbst Abhilfe geschaffen wurde. Eine Verwarnung wäre aber auch ein mögliches Mittel.

Ob das der EuGH auch so sieht, bleibt abzuwarten. Die Schlussanträge des Generalanwalts sind für das Gericht nicht bindend, auch wenn diesen häufig gefolgt wird. Eine Entscheidung steht noch aus und wird in einigen Monaten erwartet.

(Bild: Mongta Studio – stock.adobe.com)

Ähnliche Beiträge