Die Mitarbeiterin einer hessischen Sparkasse hatte mehrmals unbefugt auf personenbezogene Daten eines Kunden zugegriffen. Nachdem die Sparkasse das bemerkt hatte, informierte sie den Kunden hierüber nicht. Denn ihr Datenschutzbeauftragter sah kein hohes Risiko für die Rechte und Freiheiten des Kunden. Zuvor hatte die Mitarbeiterin nämlich schriftlich bestätigt, dass sie die Daten weder kopiert oder gespeichert noch an Dritte übermittelt habe und dass sie dies auch zukünftig nicht tun werde. Die Sparkasse hatte zudem bereits Disziplinarmaßnahmen gegen die Angestellte ergriffen.
Gleichwohl meldete die Sparkasse den Verstoß dem Landesdatenschutzbeauftragten. Nachdem der Kunde nebenbei von diesem Vorfall Kenntnis erlangt hatte, reichte er beim Landesdatenschutzbeauftragten eine Beschwerde ein. Nach Anhörung der Sparkasse teilte der Landesdatenschutzbeauftragte dem Kunden mit, dass er es nicht für erforderlich halte, gegen die Sparkasse Abhilfemaßnahmen zu ergreifen.
Das reichte dem Kunden nicht; er klagte mit dem Ziel, den Landesdatenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten, insbesondere eine Geldbuße zu verhängen.
Ermessen der Aufsichtsbehörde
Der vom VG Wiesbaden angerufene EuGH stellte klar, dass die Aufsichtsbehörde bei einer festgestellten Verletzung des Schutzes personenbezogener Daten nicht immer verpflichtet ist, eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen. Tätig werden müsse die Datenschutzbehörde nur, wenn dies erforderlich sei, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung der DSGVO zu gewährleisten (Urteil vom 26.09.2024 – C-768/21).
Denn die DSGVO räume der Aufsichtsbehörde ein Ermessen hinsichtlich der Art und Weise ein, wie sie der festgestellten Unzulänglichkeit Abhilfe leiste. Wenn der für die Verarbeitung Verantwortliche, sobald er von der Verletzung Kenntnis erlangt, die erforderlichen Maßnahmen ergreift, damit die Verletzung abgestellt wird und sich nicht wiederholt, könne eine Ahnung unterbleiben.
Das behördliche Ermessen werde lediglich durch das Erfordernis begrenzt, durch den klar durchsetzbaren Rechtsrahmen der DSGVO ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu gewährleisten. Ob der Landesdatenschutzbeauftragte diese Grenzen eingehalten habe, müsse nun das VG Wiesbaden prüfen.