Bußgelder
DSGVO-Verstöße von öffent­lichen Verwaltungen bleiben ohne Sanktion

© techconsult GmbH

Mitte Mai dieses Jahres war es in der nord­rhein-west­fälischen Stadt Menden zu einem eklatanten Daten­schutz­verstoß gekommen, nach­dem die Ver­waltung die Namen von 12.000 Abi­turienten im Inter­net ver­öffent­licht hatte.

Eine solche Öffentlichmachung personenbezogener Daten stellt einen Verarbeitungsvorgang gemäß Art. 4 Nr. 2 DSGVO dar, für den wiederum eine rechtliche Grundlage wie zum Beispiel das Einverständnis der betroffenen Personen vorliegen müsste. Ein solcher Rechtsgrund fehlte der Stadt.

Nachdem der Vorfall bekannt geworden war, erstattete die Stadtverwaltung Selbstanzeige bei der Datenschutzbehörde. Die Landesbeauftragte für den Datenschutz in Nordrhein-Westfalen kam Ende Juli zu dem Ergebnis, keine Sanktionen gegen die Stadt verhängen zu wollen, da die Daten mittlerweile wieder entfernt worden seien.

Unter Datenschützern ist es derzeit noch umstritten, ob Sanktionen wie Bußgelder gegen öffentliche Verwaltungen aufgrund von DSGVO-Verstößen verhängt werden können. Unstreitig ist indes, dass die Pflicht zur Meldung von Datenschutzverstößen nach Art. 33 DSGVO sowohl private wie auch öffentliche Institutionen betrifft. Eine techconsult-Studie auf Basis der Daten aus dem DSGVO-Index kommt im Branchenvergleich, der auch die Verwaltungen mit einbezieht, zu dem Schluss, dass „in sämtlichen Bundesländern bei Verstößen keine Bußgelder an Stellen der öffentlichen Verwaltung verhängt [werden], weshalb die Umsetzung der DSGVO aufgrund der fehlenden Sanktionierung in der öffentlichen Verwaltung schwerfällig erscheint.“

Von Dipl.-Jur. Niklas Mühleis, LL.M., Kanzlei Heidrich Rechtsanwälte in Hannover, www.recht-im-internet.de