Datenschutzbehörde muss bei DSGVO-Verstoß nicht stets zwingend tätig werden

| Kann ein Betroffener die Aufsichtsbehörde zwingen, zu handeln, wenn der Schutz personenbezogener Daten nach der DSGVO verletzt wird? Nein, sagt der EuGH. Die Datenschutzbehörde hat hier ein Ermessen ‒ insbesondere, wenn die Datenschutzverletzung auch ohne ihr Einschreiten bereits abgestellt wurde und keine Wiederholungsgefahr besteht. Auch Unternehmen können aus der Entscheidung lernen und so möglicherweise Sanktionen vermeiden. |

Der Fall

Eine Mitarbeiterin einer Sparkasse hatte mehrmals unbefugt auf die personenbezogenen Daten eines Kunden zugegriffen. Die Sparkasse informierte nicht den Kunden, aber meldete den Vorfall dem Hessischen Datenschutzbeauftragten. Außerdem ergriff sie nach eigenen Angaben gegen die Mitarbeiterin Disziplinarmaßnahmen. Diese habe auch schriftlich bestätigt, die personenbezogenen Daten weder kopiert noch gespeichert oder an Dritte übermittelt zu haben und dies auch zukünftig nicht zu tun.

Als der betroffene Kunde von der Datenschutzverletzung erfuhr, beschwerte er sich beim Landesdatenschutzbeauftragten. Dieser weigerte sich, Abhilfemaßnahmen gegen die Sparkasse zu ergreifen. Trotz des Zugriffs auf die Daten gebe es keinerlei Anhaltspunkte dafür, dass sie diese an Dritte weitergegeben oder zum Nachteil des Kunden verwendet habe.