Bei einem Datenschutzverstoß muss die Aufsichtsbehörde nicht in jedem Fall einschreiten und auch nicht immer eine Geldbuße verhängen. Sie kann darauf verzichten, wenn die Verantwortlichen schon handelten, wie der Europäische Gerichtshof (EuGH) am Donnerstag in Luxemburg entschied. Es ging um einen Fall aus Hessen. (Az. C-768/21)
Eine Mitarbeiterin einer Sparkasse hatte mehrmals unbefugt auf personenbezogene Daten eines Kunden zugegriffen. Die Sparkasse gab dem Kunden nicht Bescheid, weil sie kein hohes Risiko für ihn sah. Die Mitarbeiterin habe schriftlich bestätigt, dass sie die Daten nicht kopiert, gespeichert oder weitergegeben habe. Trotzdem meldete die Sparkasse den Vorfall dem hessischen Datenschutzbeauftragten.
Der Kunde erfuhr davon und reichte beim Datenschutzbeauftragten eine Beschwerde ein. Dieser kam zu dem Schluss, dass der Datenschutz zwar verletzt sei – aber nicht gravierend. Er sah keine Notwendigkeit einzuschreiten, zumal die Sparkasse gegen die Mitarbeiterin bereits Disziplinarmaßnahmen verhängt hatte.
Dagegen klagte der Kunde vor dem Verwaltungsgericht Wiesbaden. Er findet, dass ein Bußgeld gegen die Sparkasse hätte verhängt werden müssen. Das Wiesbadener Gericht setzte das Verfahren aus und befragte den EuGH zu den Rechten und Pflichten des Datenschutzbeauftragten, der im Sinn der Datenschutzgrundverordnung als Aufsichtsbehörde gilt.
Der EuGH antwortete nun, dass die Aufsichtsbehörde nicht zwingend einschreiten müsse, wenn dies nicht notwendig sei, um den Schutz der personenbezogenen Daten zu gewährleisten. Wenn etwa die Verantwortlichen schon die entsprechenden Maßnahmen ergriffen hätten, sei ein Einschreiten der Behörde womöglich nicht notwendig.
Dem Datenschutzbeauftragten sprach der Gerichtshof einen Ermessensspielraum zu. Allerdings müsse das hohe Schutzniveau der Datenschutzgrundverordnung eingehalten werden. Ob das in dem Fall so war, soll nun das Wiesbadener Gericht prüfen.