Direkt zum Inhalt wechseln

Sachverhalt

Eine Mitarbeiterin der Sparkasse hat mehrmals unbefugt auf Personendaten eines Kunden zugegriffen. Die Sparkasse sah davon ab, den betroffenen Kunden über die Datenschutzverletzung zu informieren. Sie hat jedoch gegen die verantwortliche Mitarbeiterin Disziplinarmassnahmen eingeleitet. Die Mitarbeiterin hat dabei auch schriftlich bestätigt, die Personendaten weder kopiert noch gespeichert oder an Dritte übermittelt zu haben und dies auch künftig nicht zu tun.

Als der betroffene Kunde von der Datenschutzverletzung erfuhr, reichte er beim Landesdatenschutzbeauftragten gemäss Art. 77 DSGVO eine Beschwerde ein. In dieser Beschwerde rügte er, dass er unter Verstoss gegen Art. 34 DSGVO von der Datenschutzverletzung seiner Personendaten nicht benachrichtigt worden sei. Der Landesbeauftragte verneinte jedoch eine Verletzung von Art. 34 DSGVO, denn trotz des Zugriffs auf die Daten gebe es keinerlei Anhaltspunkte dafür, dass die Mitarbeiterin diese an Dritte weitergegeben oder zum Nachteil des Kunden verwendet habe. Daraufhin erhob der Kunde Klage beim Verwaltungsgericht Wiesbaden und beantragte, den Datenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu verpflichten. Das Verwaltungsgericht wandte sich daraufhin mittels Vorabentscheidungsersuchen an den EuGH.

 

Entscheid des EuGH

Zu den Aufgaben einer Aufsichtsbehörde gehört gemäss Art. 57 Abs. 1 lit. a DSGVO die Anwendung der Verordnung zu überwachen und durchzusetzen. Dabei verleiht Art. 58 Abs. 1 DSGVO jeder Aufsichtsbehörde weitreichende Untersuchungsbefugnisse. Stellt sie einen Verstoss gegen die Bestimmungen der Verordnung fest, ist sie verpflichtet, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit Abhilfe zu schaffen. Gemäss der Klarstellung im 129. Erwägungsgrund der DSGVO müssen die Massnahmen insbesondere im Hinblick auf die Gewährleistung der Einhaltung der Verordnung geeignet, erforderlich und verhältnismässig sein und es sind die Umstände des jeweiligen Einzelfalls zu berücksichtigen. Zu diesem Zweck werden in Art. 58 Abs. 2 DSGVO die verschiedenen der Aufsichtsbehörde zur Verfügung stehenden Abhilfebefugnisse aufgezählt, wobei unter anderem auch eine Geldbusse verhängt werden kann. Es obliegt demnach der Aufsichtsbehörde unter Berücksichtigung aller Umstände des konkreten Einzelfalles das geeignete und erforderliche Mittel zu wählen (E. 30ff.).

Der EuGH kam folglich zum Schluss, dass die Aufsichtsbehörde einen Ermessensspielraum in Bezug auf ihre Reaktionen auf eine Datenschutzverletzung hat und weder aus Art. 58 Abs. 2 DSGVO noch aus Art. 83 DSGVO abgeleitet werden kann, dass die Aufsichtsbehörde verpflichtet wäre, in jedem Fall eine Abhilfemassnahme zu ergreifen, insbesondere eine Geldbusse zu verhängen. Namentlich kann ausnahmsweise von Abhilfemassnahmen abgesehen werden, wenn der angezeigte Mangel dementsprechend bereits von den Verantwortlichen behoben wurde und die erforderlichen Massnahmen ergriffen wurden, sofern zu erwarten ist, dass sich diese Verletzung in der Zukunft nicht wiederholt (E. 41 ff.).

 

Bedeutung für Unternehmen

Das Urteil des EuGH macht deutlich, dass Unternehmen mit der korrekten Handhabung eines Datenschutzverstosses möglicherweise Sanktionen vermeiden können. Umso wichtiger ist es demnach, dass Unternehmen bei Datenschutzvorfällen umgehend und proaktiv geeignete Massnahmen ergreifen, um die Verletzung zu beseitigen und dessen Folgen sowie Widerholungsgefahr zu minimieren. Hierfür ist es unabdingbar vorab, Prozesse und Strategien für ein wirksames Incident Report Management zu definieren.

 

Und wie sieht es in der Schweiz aus?

Gemäss Art. 4 Abs. 1 DSG beaufsichtigt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) die Anwendung der Datenschutzvorschriften. Ein Blick in die einschlägigen Bestimmungen des DSG zeigen auf, dass auch dem EDÖB bei seinen Untersuchungen und Sanktionen ein Ermessensspielraum zusteht.

Art. 49 Abs. 1 DSG statuiert, dass der EDÖB von Amtes wegen oder auf Anzeige hin eine Untersuchung eröffnen kann, wenn genügend Anzeichen bestehen, dass eine Datenbearbeitung gegen die Datenschutzvorschriften verstossen könnte. In dessen Abs. 2 wird dem EDÖB ein Ermessen eingeräumt, wonach er von einer Untersuchung absehen kann, wenn die Verletzung nur von geringfügiger Bedeutung ist. Liegt schliesslich eine Datenschutzverletzung vor, so wird dem EDÖB auch mit Art. 51 DSG nach Eröffnung eines Verfahrens durch «Kann»-Bestimmungen ein Ermessen eingeräumt. Namentlich kann der EDÖB sich darauf beschränken, eine Verwarnung auszusprechen, wenn bereits während der Untersuchung die erforderlichen Massnahmen getroffen wurden, um die Einhaltung des Datenschutzes wiederherzustellen.

Quellen