Einem Gutachten am Europäischen Gerichtshof (EuGH) zufolge muss die Aufsichtsbehörde einschreiten, wenn sie bei der Prüfung einer Beschwerde einen Datenschutzverstoß feststellt. Dabei habe die Behörde aber ein gewisses Ermessen, argumentierte der zuständige Generalanwalt in seinem am Donnerstag in Luxemburg vorgelegten Schlussanträgen. Es ging um einen Fall aus Hessen. (Az. C-768/21)
Eine Mitarbeiterin einer Sparkasse hatte mehrmals unbefugt auf personenbezogene Daten eines Kunden zugegriffen. Der hessische Datenschutzbeauftragte kam zu dem Schluss, dass der Datenschutz zwar verletzt sei – aber nicht gravierend. Er sah keine Notwendigkeit einzuschreiten, zumal die Sparkasse gegen die Mitarbeiterin bereits Disziplinarmaßnahmen verhängt hatte.
Dagegen klagte der Kunde vor dem Verwaltungsgericht Wiesbaden. Er findet, dass ein Bußgeld gegen die Sparkasse hätte verhängt werden müssen. Das Wiesbadener Gericht setzte das Verfahren aus und befragte den EuGH zu den Rechten und Pflichten des Datenschutzbeauftragten, der im Sinn der Datenschutzgrundverordnung als Aufsichtsbehörde gilt.
Nach Auffassung des zuständigen EuGH-Generalanwalts Priit Pikamäe muss die Aufsichtsbehörde in einem solchen Fall herausfinden, welche Abhilfemaßnahmen ergriffen werden können, um die Rechte des Betroffenen durchzusetzen. Dieser habe aber keinen Anspruch auf eine bestimmte Maßnahme. Unter bestimmten Umständen – etwa wenn die Verantwortlichen bereits aus eigener Initiative Abhilfe geschaffen hätten – müsse die Behörde nicht handeln.
Die Schlussanträge sind noch kein Urteil. Wann die europäischen Richterinnen und Richter entscheiden, wurde noch nicht bekannt gegeben. In einem anderen Datenschutzfall urteilte der EuGH aber am Donnerstag.
Er bestätigte dabei seine bisherige Rechtsprechung, wonach ein Datenschutzverstoß für sich genommen noch keinen Schadenersatz auslösen kann. Vielmehr müssen Betroffene einen tatsächlichen Schaden nachweisen. Schon ein vorübergehender Kontrollverlust über die eigenen Daten könne aber ein solcher Schaden sein. Verantwortliche könnten dabei nicht auf das Fehlverhalten einzelner Mitarbeiter verweisen.
© AFP
