Mitte Mai dieses Jahres war es in der nordrhein-westfälischen Stadt Menden zu einem eklatanten Datenschutzverstoß gekommen, nachdem die Verwaltung die Namen von 12.000 Abiturienten im Internet veröffentlicht hatte.
Eine solche Öffentlichmachung personenbezogener Daten stellt einen Verarbeitungsvorgang gemäß Art. 4 Nr. 2 DSGVO dar, für den wiederum eine rechtliche Grundlage wie zum Beispiel das Einverständnis der betroffenen Personen vorliegen müsste. Ein solcher Rechtsgrund fehlte der Stadt.
Nachdem der Vorfall bekannt geworden war, erstattete die Stadtverwaltung Selbstanzeige bei der Datenschutzbehörde. Die Landesbeauftragte für den Datenschutz in Nordrhein-Westfalen kam Ende Juli zu dem Ergebnis, keine Sanktionen gegen die Stadt verhängen zu wollen, da die Daten mittlerweile wieder entfernt worden seien.
Unter Datenschützern ist es derzeit noch umstritten, ob Sanktionen wie Bußgelder gegen öffentliche Verwaltungen aufgrund von DSGVO-Verstößen verhängt werden können. Unstreitig ist indes, dass die Pflicht zur Meldung von Datenschutzverstößen nach Art. 33 DSGVO sowohl private wie auch öffentliche Institutionen betrifft. Eine techconsult-Studie auf Basis der Daten aus dem DSGVO-Index kommt im Branchenvergleich, der auch die Verwaltungen mit einbezieht, zu dem Schluss, dass „in sämtlichen Bundesländern bei Verstößen keine Bußgelder an Stellen der öffentlichen Verwaltung verhängt [werden], weshalb die Umsetzung der DSGVO aufgrund der fehlenden Sanktionierung in der öffentlichen Verwaltung schwerfällig erscheint.“
Von Dipl.-Jur. Niklas Mühleis, LL.M., Kanzlei Heidrich Rechtsanwälte in Hannover, www.recht-im-internet.de