12.04.2024
Schutz personenbezogener Daten: Datenschutzbehörde muss handeln
Nach Ansicht des Generalanwalts beim Europäischen Gerichtshof (EuGH) Priit Pikamäe ist der Datenschutzbeauftragte als Aufsichtsbehörde zum Einschreiten verpflichtet, wenn er bei der Prüfung einer Beschwerde einen Datenschutzverstoß feststellt. Welche konkrete Abhilfemaßnahme zu ergreifen ist, hänge jedoch von den Umständen des jeweiligen Einzelfalls ab.
Ein Sparkassenkunde ersuchte den Hessischen Beauftragten für Datenschutz und Informationsfreiheit, gegen die Sparkasse wegen einer Verletzung des Schutzes seiner personenbezogenen Daten einzuschreiten. Eine Mitarbeiterin der Sparkasse hatte nämlich mehrmals unbefugt auf seine Daten zugegriffen.
Der Datenschutzbeauftragte stellte eine Verletzung des in der Datenschutz-Grundverordnung (DSGVO) vorgesehenen Datenschutzes fest. Er kam jedoch zu dem Ergebnis, dass kein Einschreiten gegen die Sparkasse geboten sei, da diese gegen die betreffende Mitarbeiterin bereits Disziplinarmaßnahmen ergriffen habe.
Der Kunde geht gegen diese Weigerung vor einem deutschen Gericht vor und beantragt, den Datenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten. Er macht unter anderem geltend, dass der Datenschutzbeauftragte gegen die Sparkasse Bußgelder hätte verhängen müssen.
Das deutsche Gericht hat den EuGH zu den Befugnissen und Pflichten des Datenschutzbeauftragten als "Aufsichtsbehörde" im Sinne der DSGVO befragt. Nach Ansicht Pikamäes ist die Aufsichtsbehörde zum Einschreiten verpflichtet, wenn sie bei der Prüfung einer Beschwerde eine Verletzung des Schutzes personenbezogener Daten feststelle. Insbesondere habe sie die Abhilfemaßnahme(n) zu ermitteln, die zur Behebung des Verstoßes und zur Durchsetzung der Rechte der betroffenen Person am besten geeignet sei beziehungsweise seien.
In diesem Zusammenhang räume die DSGVO der Aufsichtsbehörde zwar ein gewisses Ermessen ein, verlange jedoch, dass die Maßnahmen geeignet, erforderlich und verhältnismäßig seien. Daraus ergebe sich zum einen, dass das Ermessen bei der Wahl der Mittel beschränkt sei, wenn der erforderliche Schutz nur durch ganz bestimmte Maßnahmen gewährleistet werden könne, und zum anderen, dass die Aufsichtsbehörde unter bestimmten Voraussetzungen auf die Maßnahmen nach der DSGVO verzichten dürfe, wenn dies durch die besonderen Umstände des Einzelfalls gerechtfertigt sei. Dies könne insbesondere dann der Fall sein, wenn der Verantwortliche bestimmte Maßnahmen aus eigener Initiative ergriffen habe. Jedenfalls habe die betroffene Person keinen Anspruch auf Erlass einer bestimmten Maßnahme. Diese Grundsätze gälten auch für die Geldbußenregelung.
Generalanwalt beim Europäischen Gerichtshof, Schlussanträge vom 11.04.2024, C-768/21