Mitte Mai diesen Jahres war es in der nordrhein-westfälischen Stadt Menden zu einem eklatanten Datenschutzverstoß gekommen, nachdem durch die Verwaltung die Namen von 12.000 Abiturienten im Internet veröffentlicht worden waren. Eine solche Öffentlichmachung personenbezogener Daten stellt einen Verarbeitungsvorgang gemäß Art. 4 DSGVO dar, für den wiederum eine rechtliche Grundlage wie zum Beispiel das Einverständnis der betroffenen Personen vorliegen müsste. Ein solcher Rechtsgrund fehlte der Stadt.
Nachdem der Vorfall öffentlich geworden war, erstattete die Stadtverwaltung Selbstanzeige bei der Datenschutzbehörde. Die Landesbeauftragte für den Datenschutz in Nordrhein-Westfalen kam nun Ende Juli zu dem Ergebnis, keine Sanktionen gegen die Stadt verhängen zu wollen, da die Daten mittlerweile wieder entfernt worden seien.
Unter Datenschützern ist es derzeit noch umstritten, ob Sanktionen wie Bußgelder gegen öffentliche Verwaltungen aufgrund von DSGVO-Verstößen verhängt werden können. Unstreitig ist indes, dass die Pflicht zur Meldung von Datenschutzverstößen nach Art. 33 DSGVO sowohl private wie auch öffentliche Institutionen betrifft.
Autor: Dipl.-Jur. Niklas Mühleis, LL.M., Kanzlei Heidrich Rechtsanwälte in Hannover, www.recht-im-internet.de
