Unzureichende Einbindung des Gruppen/Konzern-DSB und mangelnde Ressourcen? 18.000 EUR Bußgeld gegen ein Unternehmen in Luxemburg

Das Verwaltungsgericht des Großherzogtums Luxemburg bestätigte ein von der luxemburgischen Datenschutzbehörde gegen einen Verantwortlichen verhängtes Bußgeld in Höhe von 18.000 EUR, weil dieser 1) den Datenschutzbeauftragten der Gruppe nicht ausreichend eingebunden und 2) ihm nicht genügend Ressourcen zur Erfüllung seiner Aufgaben zur Verfügung gestellt hatte. Die Entscheidung wurde in Englisch auf GDPRhub zusammengefasst.

Sachverhalt

Eine Unternehmensgruppe benannte einen Datenschutzbeauftragten („Group DPO“) gemäß Art. 37 Abs. 2 DSGVO. Zur Unterstützung des Group DPO wurde ein Rechtsanwalt (wohl aus dem Unternehmen) als lokale Kontaktstelle in Luxemburg eingesetzt. Der Verantwortliche richtete auch ein „GDPR-Board“ ein, ein Gremium, das sich mit dem Datenschutz in Luxemburg befassen musste.

Der Group DPO war jedoch kein Mitglied dieses Gremiums und wurde nur durch die Protokolle der GDPR-Board-Sitzungen oder durch Fragen, die die lokale Kontaktstelle stellte, über die behandelten Themen informiert.

Entscheidung des Gerichts (Bestätigung der Bußgeldentscheidung)

Keine ausreichende Beteiligung des Group DPO

Gemäß Art. 38 Abs. 1 DSGVO hat der Verantwortliche sicherzustellen, dass der DSB in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen ordnungsgemäß und frühzeitig eingebunden wird. Insbesondere relevant ist diese Vorgabe im Hinblick auf die Aufgabe des DSB gem. Art. 39 Abs. 1 DSGVO, den Verantwortlichen hinsichtlich seiner Pflichten nach der DSGVO zu unterrichten und zu beraten.

Vor diesem Hintergrund stellte das Gericht fest, dass es notwendig und zwingend erforderlich ist, dass der DSB bei allen Themen und Projekten, die die mit dem Schutz personenbezogener Daten zusammenhängenden Fragen betreffen, in einem möglichst frühen Stadium eingebunden wird.

In diesem Fall wurde der Group DPO aber erst eingeschaltet, wenn eine betroffene Person mit der Bearbeitung ihrer Anfrage durch die lokale Kontaktstelle nicht zufrieden war. Der Verantwortliche verwies zwar auf die regelmäßige Kommunikation (Telefon, Video und E-Mail) zwischen der lokalen Kontaktstelle und dem Group DPO, legte aber keine Nachweise dieser Kommunikation vor.

Das Gericht stellte fest, dass der Datenschutzbeauftragte nicht unmittelbar an allen datenschutzrelevanten Angelegenheiten beteiligt und eingebunden war, was einen Verstoß gegen Art. 38 Abs. 1 & 39 Abs. 1 DSGVO darstellt.

Das Gericht sieht hier also strenge Anforderungen an die Einbindung des Datenschutzbeauftragten. Es genügt gerade nicht, diesen nur regelmäßig über bestimmte Themen zu informieren – er muss auch (bereits möglichst frühzeitig) in diese Themen und die interne Beratung hierzu aktiv eingebunden werden.

Dem Datenschutzbeauftragten zur Verfügung gestellte Ressourcen

Gemäß Art. 38 Abs. 2 DSGVO hat der Verantwortliche den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu unterstützen, indem er ihm die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen zur Verfügung stellt und Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen gewährt.

Das Gericht stellte fest, dass der Verantwortliche keine Informationen zur formalen Festlegung der Arbeitszeit der lokalen Kontaktstelle vorgelegt hat. Nach Ansicht des Gerichts rechtfertigt der Umfang der Tätigkeit des Verantwortlichen in Luxemburg (70 Standorte, zwischen 1.600 und 2.100 Beschäftigte und 25.000 Verbraucher pro Tag) die Beschäftigung von mindestens einer Vollzeitkraft für den Datenschutz.

Das Gericht nahm einen Verstoß gegen Art. 38 Abs. 2 DSGVO an, da dem Datenschutzbeauftragten die erforderlichen Ressourcen nicht im angemessenen Umfang zur Verfügung gestellt wurden.

Bußgeldhaftung nach der DSGVO: welche Faktoren sprechen für und gegen ein Verschulden? Bundesverwaltungsgericht Österreich zum Merkmal „über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte“

Das Bundesverwaltungsgericht Österreich (BVwG) hat kürzlich eine wichtige Entscheidung gefällt, die sich mit den Faktoren für und auch gegen ein Verschulden im Rahmen von Art. 83 DSGVO befasst. Interessant ist dabei insbesondere, dass die Vorgaben des EuGH aus dem Deutsche Wohnen-Verfahren nun durch ein mitgliedstaatliches Gericht konkretisiert werden.

Hintergrund

Das Unternehmen betreibt ein Kundenbindungsprogramm, im Rahmen dessen auch Einwilligungen für die Verarbeitung zu werblichen Zwecken eingeholt wurden. Die österreichische Aufsichtsbehörde (DSB) leitete ein Prüfverfahren und aufgrund der Ermittlungsergebnisse auch ein Verwaltungsstrafverfahren ein, welches mit einem Bußgeldbescheid endete. Gegen diesen legte das Unternehmen Beschwerde ein.

Nach Ansicht der DSB habe das Ersuchen um Einwilligung der betroffenen Personen, die sich für das Kundenbindungsprogramm registriert hätten, nicht den Anforderungen gemäß Art. 4 (11) iVm Art. 5 Abs. 1 a) iVm Art. 7 Abs. 2 DSGVO entsprochen. Das Unternehmen habe daher personenbezogene Daten unrechtmäßig verarbeitet, da die Verarbeitung auch auf keine andere Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO gestützt habe werden können.

Im vorliegenden Verfahren ging um Fragen der Bußgeldhaftung des Unternehmens, also Art. 83 DSGVO. Konkret möchte ich mich hier mit dem Merkmal des Verschuldens (also der subjektiven Tatseite) befassen.

Merkmal des Verschuldens

Wie bekannt, hatte der EuGH in dem Deutsche Wohnen-Verfahren (C-807/21) im Dezember 2023 geurteilt, dass gegen einen Verantwortlichen nur dann eine Geldbuße wegen Verstoßes gegen die DSGVO verhängt werden kann, wenn dieser Verstoß schuldhaft – also vorsätzlich oder fahrlässig – begangen wurde. Ein Verschulden liegt nach Rechtsprechung des EuGH wiederum dann vor, wenn das Unternehmen hätte erkennen können, dass sein Verhalten datenschutzwidrig war.

Die DSB sah ein Verschulden als gegeben an: die Geschäftsführer des Unternehmens hätten im konkreten Fall zunächst aufgrund objektiver Sorgfaltswidrigkeit die Entwürfe zu den gegenständlichen Ersuchen um Einwilligung genehmigt, obwohl diese dem Wortlaut der DSGVO bzw. den Anforderungen gemäß Art. 4 (11) iVm Art. 5 Abs. 1 a) iVm Art. 7 Abs. 2 DSGVO widersprechen würden. Zudem, so die DSB, hätten sie kein wirksames internes Kontrollsystem im Rahmen des Betriebs des Unternehmens implementiert, um die laufende Rechtsentwicklung in Bezug auf die gegenständlichen Einwilligungsersuchen zu überwachen.

Die beiden Kernvorwürfe waren also:

  • (Er)Kennenmüssen der Unzulässigkeit der Einwilligung, allein aufgrund der DSGVO-Anforderungen
  • Kein ausreichendes internes Compliance-System, das auch die aktuelle Rechtsprechung und Behördenansichten zu Anforderungen an die Einwilligung nach der DSGVO überwacht

Entscheidung des BVwG zum Merkmal „über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte

Das BVwG befasst sich mit der Frage des Verschuldens im Abschnitt „3.3.4.1. Zur strafrechtlichen Verantwortlichkeit und Verschulden der Beschwerdeführerin“.

Zunächst weist das Gericht auf die Grundlagen seiner nachfolgenden Bewertung hin. Insbesondere die Rechtsprechung des EuGH, wonach ein Verantwortlicher sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt.

Zur Haftung des Verantwortlichen setzt das BVwG vorab den generellen Pflichtenrahmen. Die in der DSGVO vorgesehenen Grundsätze, Verbote und Pflichten richten sich insbesondere an „Verantwortliche“. Deren Verantwortung und Haftung erstreckt sich

auf jedwede Verarbeitung personenbezogener Daten, die durch sie oder in ihrem Namen erfolgt. In diesem Rahmen müssen sie nicht nur geeignete und wirksame Maßnahmen treffen, sondern sie müssen auch nachweisen können, dass ihre Verarbeitungstätigkeiten im Einklang mit der DSGVO stehen und die Maßnahmen, die sie ergriffen haben, um diesen Einklang sicherzustellen, auch wirksam sind.“

Diese Haftung des Verantwortlichen bildet nach Ansicht des BVwG bei einem der in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstöße die Grundlage dafür, nach Art. 83 DSGVO eine Geldbuße zu verhängen.

Nach dem Urteil in der Rechtssache „Deutsche Wohnen“ hat man sich gefragt, was der EuGH konkret mit der Umschreibung „wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt“ meint – welche Faktoren in der Praxis also für oder gegen ein Verschulden sprechen können. Hierzu gibt das BVwG einige praxisrelevante Hinweise:

A. Erkundigungspflicht des Verantwortlichen (bzw. der Geschäftsführung)

Das BVwG ist, mit der DSB, der Ansicht, dass das Unternehmen eine Erkundigungspflicht hinsichtlich der einschlägigen relevanten Bestimmungen der DSGVO (hier im Zusammenhang mit den verwendeten Einwilligungserklärungen), vor Verwendung eben dieser Einwilligung im Zuge des Markstarts des Programms traf. Nach Ansicht der DSB hätten die Geschäftsführer dann, bei bestehenden Zweifeln, diese durch weitere Erkundigungen beseitigen müssen, beispielsweise durch eine Auskunftsanfrage an die belangte Behörde oder mittels Rechtsgutachten von Sachverständigen, das sich mit dieser spezifischen Fragestellung beschäftige.

B. Erkennenmüssen allein aufgrund des Wortlauts der DSGVO-Norm

Nach Ansicht des BVwG hätten insbesondere die beiden Geschäftsführer sowie die Leiterin der Rechtsabteilung erkennen müssen, dass die gewählte Gestaltung der Einwilligung nicht im Einklang mit der DSGVO stand.

Hierbei sei nicht ausschlaggebend, ob sich das Unternehmen mit

  • dem Urteil des EuGH in der Rechtssache Planet49 (zur Frage der Anforderungen an die Einwilligung),
  • oder den Leitlinien 05/2020 der Art. 29 Datenschutzgruppe zur Einwilligung auseinandergesetzt habe.

Denn im vorliegenden Fall hätte bereits aufgrund des reinen Wortlautes der Art. 4 (11) iVm Art. 5 Abs. 1 a) iVm Art. 7 Abs. 2 DSGVO von dem Unternehmen erkannt werden müssen, dass die von ihr gewählte optische Gestaltung aufgrund der dargestellten kumuliert irreführenden Faktoren nicht den Anordnungen einer in „informierter Weise und unmissverständlich abgegebenen Willensbekundung“ entspricht.

C. (Un)Kenntnis der internen Rechtsabteilung

Zudem geht das BVwG davon aus, dass insbesondere der mit der Beratung des Unternehmens betrauten Rechtsabteilung hätte auffallen müssen, dass die bei den Einwilligungserklärungen gewählte Vorgehensweise missverständlich und damit rechtswidrig war.

D. Rechtsprechung und Verwaltungspraxis

Als möglichen entlastenden (!) Faktor prüft das BVwG, ob zum Tatzeitpunkt eventuell entsprechende Rechtsprechung oder eine Praxis der Aufsichtsbehörden existierte, die gegen ein Verschulden sprechen könnte. Vorliegend, so das BVwG, lag aber

keine höchstgerichtliche Rechtsprechung oder entsprechende Verwaltungspraxis zu den zitierten Bestimmungen vor, aufgrund derer die Beschwerdeführerin entgegen der dargestellten, irreführenden Faktoren darauf vertrauen hätte können, dass die Gestaltung der DSGVO entspricht“.

Dies ist ein wichtiger Aspekt bei der Verteidigung gegen Bußgelder – eine entsprechende Verwaltungspraxis kann ein Verantwortlicher verwenden, um seine Rechtsansicht zu stützen und im Rahmen des Verschuldens

Im Grunde wird damit auch bestätigt, was aus meiner Sicht für datenverarbeitende Stellen ein großer Vorteil ist: die Pluralität des Aufsichtssystems in Deutschland. Mit 18 Datenschutzbehörden (inkl. BfDI, und die speziellen Aufsichtsbehörden noch nicht mitgezählt), finden sich sehr viele verschiedene Sichtweisen und rechtliche Interpretation der Behörden. Diese Sichtweisen und darauf beruhende Verwaltungspraxis (siehe oben) können und sollten Verantwortliche und Auftragsverarbeiter bei ihren eigenen Datenverarbeitungen und der rechtlichen Bewertung mit in den Blick nehmen.

E. Externe Rechtsgutachten

Auch würde das BVwG als entlastenden Faktor wohl das Vorliegen von externen Einschätzungen, wie etwa Rechtsgutachten, bewerten. Vorliegend habe das Unternehmen aber keine

Rechtsgutachten hinsichtlich der DSGVO Konformität der gegenständlichen Einwilligungserklärungen erstellen lassen“.

F. Nachfrage bei der Aufsichtsbehörde

Ja, auch dies könnte ein entlastender Faktor beim Verschulden sein. Andererseits muss man als anfragendes Unternehmen aber natürlich auch mit der Antwort leben, wenn sie „nicht gefällt“. Das BVwG stellt vorliegend fest, dass bei der belangten Behörde (DSB) als Spezialbehörde diesbezüglich keine Auskünfte eingeholt wurden.

G. Fehlende Dokumentation zur internen oder externen rechtlichen Bewertung

Negativ bewertet das BVwG den Umstand, dass das Unternehmen keine (aussagekräftigen) Unterlagen zu stattgefundener interner und externer Beratung der Beschwerdeführerin im Hinblick auf die (Gestaltung der) Einwilligungserklärungen vorgelegt hat. Hieraus hätte sich (durchaus auch positiv) ergeben können, dass die angeführten Faktoren aus rechtlicher Sicht ausführlich diskutiert bzw. problematisiert worden wären.

H. Anforderungen an das interne Kontrollsystem (Compliance)

Nach Ansicht des BVwG muss für die Wirksamkeit eines internen Kontrollsystems dargelegt werden, wie dieses Kontrollsystem im Einzelfall hätte funktionieren sollen. Zwar habe das Unternehmen hier gewisse Kontroll- und Beratungsmechanismen im Bereich des Datenschutzes eingeführt. Jedoch habe dieses System im konkreten Fall nicht funktioniert.

Fazit

Insgesamt geht das BVwG daher davon aus, „dass auf subjektiver Tatseite zumindest Verschulden in Form von Fahrlässigkeit der Beschwerdeführerin vorliegt“. Die Entscheidung gibt für die Praxis einen guten Leitfaden für verschiedenste Faktoren und (Gegen)Argumente, die im Rahmen des Verschuldens durch Verantwortliche und Auftragsverarbeiter bei der Bußgeldhaftung nach Art. 83 DSGVO in der Praxis berücksichtigt werden sollten.

Kundenbeschwerde wegen 1,50 EUR führt zu DSGVO-Bußgeld in Höhe von ca. 172.000 EUR – Ein Problem: Teilzeit-DSB, der seine Aufgaben nicht erfüllen konnte

Die Datenschutzbehörde aus Belgien (APD) verhängte gegen ein Unternehmen ein Bußgeld in Höhe von 172.431 EUR, weil es das Unternehmen unter anderem versäumt hatte, die personenbezogenen Daten einer betroffenen Person im Zusammenhang mit Direktwerbung zu löschen und weil es einen Teilzeit-DSB beschäftigte, der aber überlastet war und seine Aufgaben nicht wirksam wahrnehmen konnte (hier die englische Zusammenfassung der Entscheidung bei noyb).

Hintergrund

Die betroffene Person kaufte ein Produkt von dem Verantwortlichen und entdeckte auf der Rechnung eine unerwartete Gebühr von 1,50 EUR für einen „Energiebeitrag“. Die betroffene Person bat um die Erstattung dieses Zuschlags und verlangte die Löschung aller ihrer personenbezogenen Daten. Der Verantwortliche lehnte die Erstattung der Gebühr ab, bestätigte jedoch den Eingang des Löschungsantrags und bestätigte, dass dieser umgehend bearbeitet werde.

Es kam, wie es kommen musste. Die Daten wurden zunächst nicht gelöscht. Die betroffene Person erhielt weiterhin Werbung von dem Verantwortlichen. Der Betroffene wandte sich dann mit der Bitte um Schlichtung an die belgische Datenschutzbehörde. 

Spätestens jetzt hätten bei dem Verantwortlichen wirklich alle Hebel in Bewegung gesetzt werden müssen. Aber: der Verantwortliche reagierte nicht auf Anschreiben der APD. Daraufhin legte die betroffene Person Beschwerde bei der Datenschutzbehörde ein.

Der Verantwortliche räumte im Verfahren Fehler des früheren eigenen Datenschutzbeauftragten (DSB) ein und erklärte außerdem, dass das Ausbleiben einer Antwort an die APD während der Schlichtung auf den früheren DSB zurückzuführen war und dass weder der derzeitige DSB noch die Geschäftsleitung von diesen Problemen wussten und der frühere DSB weder die Korrespondenz mit der APD oder der betroffenen Person bearbeitet noch diese Informationen intern weitergegeben hat.

Im Rahmen des Verfahrens erläuterte der Verantwortliche, dass er Initiativen ergriffen habe, um seine Reaktionsfähigkeit zu verbessern, insbesondere durch die Einstellung eines neuen DSB, der in Vollzeit mit einem Team von zwei Personen arbeitet.

Entscheidung der Datenschutzbehörde 

Die APD geht unter anderem von Verstößen gegen Art. 5 Abs. 2 und Art. 24 DSGVO aus. Insbesondere kritisiert die Behörde, dass der frühere Teilzeit-DSB nicht die erforderliche Zeit und Ressourcen zur Verfügung hatte, um seinen Tätigkeiten nachzukommen. 

Die APD weist ganz generell darauf hin, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen ergreifen muss, um sicherzustellen, dass er in der Lage ist, nachzuweisen, dass die Verarbeitung im Einklang mit der DSGVO durchgeführt wird. Die Unfähigkeit des Verantwortlichen im vorliegenden Fall, die tatsächliche Löschung der Daten der betroffenen Person zu überprüfen oder schlüssig zu bestätigen, ließen Zweifel an der Wirksamkeit der bestehenden technischen und organisatorischen Maßnahmen aufkommen.

Als Verstoß gegen Art. 5 Abs. 1und Art. 24 DSGVO sah die Behörde auch die Tatsache, dass der frühere DSB in Teilzeit arbeitete und überlastet war, was ihn daran hinderte, wirksam auf die Anträge zu reagieren. Nach Ansicht der APD verdeutlichte dies das Versäumnis, Maßnahmen zur Gewährleistung der Einhaltung der DSGVO entsprechend Art. 5 und 24 DSGVO zu ergreifen.

Zudem verweist die Behörde auch auf die Anforderungen des Art. 38 Abs. 2 DSGVO hinsichtlich der Aufgaben des internen Datenschutzbeauftragten. Der Verantwortliche muss den DSB unterstützen, indem er ihm die zur Erfüllung seiner Aufgaben erforderlichen Mittel zur Verfügung stellt und hierbei muss er folgende Faktoren berücksichtigen.

  • der DSB muss gegebenenfalls in alle datenschutzrelevanten Angelegenheiten einbezogen werden
  • der Verantwortliche muss dem DSB ausreichend Zeit für die Wahrnehmung seiner Aufgaben zur Verfügung stellen
  • der Verantwortliche muss die Bestellung des DSB allen Mitarbeitern mitteilen, um sicherzustellen, dass seine Rolle innerhalb der Organisation weithin bekannt ist
  • der Verantwortliche muss für laufende Schulungen sorgen, um die Kenntnisse des DSB auf dem neuesten Stand zu halten.

Einen Verstoß gegen diese Vorgaben sah die Behörde unter anderem in der Tatsache, dass der frühere DSB in Teilzeit arbeitete und überlastet war, was ihn daran hinderte, wirksam auf die Anträge zu reagieren.

Bundesverwaltungsgericht Österreich wendet EDSA-Leitlinien zur Berechnung von Geldbußen an

Datenschutzbehörden verwenden zur Berechnung von Geldbußen bekanntlich die EDSA-Leitlinien 04/2022 vom 24.5.2023. Gleichzeitig wissen wir, dass Leitlinien des EDSA keine unmittelbare rechtliche Bindungswirkung für Verantwortliche, Auftragsverarbeiter oder auch nationale Gerichte haben. Der EDSA selbst stellte dazu bereits 2021 fest: „In dieser Hinsicht spiegeln die Leitlinien und Empfehlungen des EDPB, obwohl sie an sich nicht verbindlich sind, den gemeinsamen Standpunkt und das gemeinsame Verständnis wider, das die Behörden einheitlich anwenden wollen“. (Stellungnahme des EDSA).

Dennoch stellen die Leitlinien des EDSA in der Praxis, aber auch in gerichtlichen Verfahren, eine wichtige Ansicht dar, die auch von Generalanwälten am EuGH zur Auslegung der DSGVO verwendet werden (vgl. etwa Rz. 28 in der Rs. C-307/22, zu den Leitlinien 01/2022).

Für die Wirkung und auch rechtliche Bedeutung von Leitlinien relevant ist daher eine neuere Entscheidung des Bundesverwaltungsgerichts (BVwG) aus Österreich vom 26.3.2024 (Gz. W137 2241630-1).

In dem Verfahren ging es um eine Geldbuße der österreichischen Behörde auf Grundlage von Art. 83 DSGVO. Hiergegen wurde Beschwerde eingelegt. Das Bundesverwaltungsgericht setzte das Verfahren dann zunächst aus, bis der EuGH in der Rechtssache Deutsche Wohnen (C-807/21) entschieden hatte. Danach wurde das Verfahren inhaltlich fortgesetzt.

Das BVwG teilte den Parteien nach der Fortsetzung der Verhandlung mit, dass das Gericht bei der Frage der Bemessung der Geldbuße die Leitlinien 04/2022 zumindest mit heranziehen wird.

Dabei wurde den Verfahrensparteien bekannt gegeben, dass sich der Senat bei der allfälligen Strafbemessung an den Leitlinien 04/2022 für die Berechnung von Geldbußen im Sinne der DSGVO des Europäischen Datenschutzausschusses, Version 2.1; angenommen am 24. Mai 2023 (auch „Guidelines“ des EDPB) orientieren werde.“

Hiergegen scheint keine der Verfahrensparteien Einwände gehabt zu haben oder rechtliche Argumente gegen die Anwendung der Kriterien des EDSA vorgebracht zu haben.

Bei der konkreten Berechnung der Geldbuße hat das BVwG die Leitlinien des EDSA auch verwendet – wohl aber nicht allein die Leitlinien, da das Gericht davon spricht, dass es diese „ergänzend…herangezogen“ hat.

Das Bundesverwaltungsgericht hat ergänzend die Leitlinien 04/2022 des Europäischen Datenschutzausschusses  als Berechnungsgrundlage herangezogen, die bei – hier gegebenem geringem Schweregrad („low level of seriousness“) – und der oben festgehaltenen Umsatzgröße einen statischen Strafrahmen von bis zu EUR 500.000 annehmen, wobei der konkrete Umsatz im unteren Drittel der Bandbreite (100 Millionen bis 250 Millionen Euro) liegt“.

Was lässt sich aus dieser Entscheidung des BVwG ableiten?

Das Gericht scheint zum einen keinerlei rechtliche Bedenken hinsichtlich der Anwendung der Leitlinien zur Berechnung von Geldbußen zu haben. Zum anderen wird die dort vorgeschlagene Berechnungsmethode vom BVwG verwendet (was für das betroffene Unternehmen im Übrigen auch nicht immer „schlecht“ sein muss). Daher scheint das Gericht also auch die vorgeschlagene Berechnung des EDSA auf Basis des Art. 83 DSGVO als schlüssig anzusehen. Zumindest ergeben sich aus der Entscheidung des BVwG keine Hinweise darauf, dass das Gericht die Vorschläge des EDSA inhaltlich als unzulässig oder mit der DSGVO nicht vereinbar ansieht. Im Ergebnis wird man die Entscheidung des BVwG daher auch als eine Art „Bestätigung“ der vom EDSA vorgeschlagenen Berechnungsmethode ansehen können.

Bußgeld in Höhe von 310.000 EUR: Einkauf und Verwendung von Datensätzen (Leads) für Werbezwecke ohne rechtmäßige Einwilligung

Die französische Aufsichtsbehörde (CNIL) hat ein Bußgeld in Höhe von 310.000 EUR gegen das Unternehmen FORIOU erlassen, weil das Unternehmen personenbezogene Datensätze ohne Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO für Marketingzwecke verwendet hat (Pressemitteilung der CNIL). Der konkrete Fall an sich mag „wenig spannend“ klingen, jedoch sind die der Entscheidung zugrunde liegenden Ansichten der CNIL generell praxisrelevant für den Umgang mit Daten von Kunden oder potentiellen Neukunden.

Entscheidung der CNIL

FORIOU führt telefonische Akquisitionskampagnen durch, um die von ihm vermarkteten Treueprogramme und -karten zu bewerben. Die Daten der potentiellen Interessenten kauft das Unternehmen von Datenmaklern und Betreibern von Websites für Gewinnspiele und Produkttests. Im Grunde also ein recht alltäglicher Vorgang in der heutigen digitalen Wirtschaft – der Einkauf von Leads / Datensätzen für Werbezwecke.

Die CNIL stellte im Rahmen einer Untersuchung jedoch fest, dass FORIOU keine Rechtsgrundlage, in Form einer wirksamen Einwilligung nach Art. 6 Abs. 1 a) DSGVO, für die Verwendung der Daten nachweisen konnte. Hierbei lag der Fehler nicht nur bei dem werbenden Unternehmen selbst – die Datensätze / Leads waren quasi schon ohne ausreichende Rechtsgrundlage erhoben und mit diesem Makel der „Rechtswidrigkeit“ an FORIOU verkauft worden. Folgende Verstöße legte die CNIL dem Unternehmen zur Last:

  • Irreführende Darstellung der Formulare zur Datenerhebung und Einholung einer (unwirksamen) Einwilligung bei den Datenlieferanten.
  • Die Zustimmungs-Schaltflächen, mit denen die Betroffenen die Einwilligung in die Weitergabe und werbliche Nutzung ihrer Daten erteilen sollten, wurden (durch ihre Größe, Farbe, Überschrift und Position) viel größer und deutlicher hervorgehoben, als die Ablehnungsmöglichkeit.
  • Zudem ist FORIOU, als Käufer der Daten, nach der DSGVO verpflichtet, sich zu vergewissern, dass die betroffenen Personen eine gültige Einwilligung erteilt haben.
  • Zwar habe FORIOU seinen Datenlieferanten im Vorfeld bestimmte vertragliche Anforderungen auferlegt – diese jedoch im weiteren Verlauf nicht wirksam kontrolliert.
  • Zudem wurde FORIOU nicht in jedem Formular als Partner / Unternehmen erwähnt, welches die Daten für werbliche Nutzungszwecke erhält.

Fazit

Die Entscheidung der CNIL knüpft inhaltlich an die festgestellten Verstöße im vergangenen Bußgeldverfahren gegen das Unternehmen CRITEO an. Für die Praxis bedeutet dies, dass Unternehmen, wenn sie personenbezogene Daten von Datenlieferanten, Partnern oder auch Konzerngesellschaften erhalten, stets selbst dafür Sorge tragen müssen, dass eine Rechtsgrundlage für den intendierten Nutzungszweck vorhanden ist.

Geplante EU-Verordnung zur besseren Durchsetzung der DSGVO – Weitergabe von Informationen aus behördlichen Datenschutzverfahren an andere nationale Aufsichtsbehörden (z. B. Wettbewerb, Finanzen) vorgeschlagen

Derzeit wird in Brüssel über den Vorschlag der EU-Kommission für eine Verordnung zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der Verordnung (EU) 2016/679 (2023/0202(COD)) verhandelt. Im Europäischen Parlament ist der LIBE-Ausschuss federführend zuständig und dieser hat mit Datum vom 14. Dezember 2023 seine Änderungsvorschläge zu dem Berichtsentwurf vom 9. November 2023 vorgelegt.

Verordnung zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der DSGVO

Ich hatte hier im Blog schon vor einiger Zeit einen Beitrag zu einer möglichen geänderten Fristenberechnung bei der Meldung von Datenschutzverletzungen verfasst. Die vorgeschlagene Verordnung fliegt meines Erachtens immer noch sehr unter dem „Radar“ der betroffenen Kreise, hat dabei extrem viele (potentiell) relevante Änderungen zur Folge.

Kurz zur Einordnung: die Verordnung soll Verfahrensregeln im Fall von grenzüberschreitenden Verarbeitungen und darauf basierenden aufsichtsbehördlichen Verfahren etablieren. Die Regelungen der Verordnung würden nationalen Verfahrensvorgaben als Spezialvorschriften vorgehen.

Heute möchte ich auf einen aus meiner Sicht für betroffene Unternehmen und öffentliche Stellen beachtenswerten Vorschlag aus dem LIBE-Ausschuss hinweisen.

Weitergabe von Informationen aus aufsichtsbehördlichen Verfahren an andere nationale Stellen

Nach einem neu vorgeschlagenen Art. 7 Abs. 2a (Änderungsantrag 311 in dem Dokument vom 14. Dezember 2023) sollen die Aufsichtsbehörden anstreben, die im Rahmen der in dieser Verordnung festgelegten Verfahren erhaltenen Informationen an die für den Datenschutz und andere Bereiche zuständigen nationalen und Unionsaufsichtsbehörden, einschließlich der Wettbewerbs-, Finanzdienstleistungs-, Energie-, Telekommunikations- und Verbraucherschutzbehörden, weiterzuleiten, wenn die Informationen für die Aufgaben und Pflichten dieser Behörden als relevant erachtet werden.

Hier noch das englische Original:

Supervisory authorities shall strive to communicate the information obtained in the context of the procedures set out in this Regulation to national and Union supervisory authorities competent in data protection and other areas, including competition, financial services, energy, telecommunications and consumer protection authorities, where the information is deemed relevant to the tasks and duties of those authorities.”

Der Vorschlag bedeutet im Grunde, dass Datenschutzbehörden dazu angehalten sind, Informationen aus einem Aufsichtsverfahren gegen einen Verantwortlichen oder Auftragsverarbeiter auch an andere nationale Stellen zu geben, die ebenfalls in ihrem jeweiligen Rechtsbereich für die Überwachung des Verantwortlichen oder Auftragsverarbeiters zuständig sind.

Interessant ist, dass der Vorschlag wohl keine Pflicht zur Weitergabe der Informationen vorsieht. Andererseits sollen die Aufsichtsbehörden zur Informationsweitergabe angehalten werden. Für die Frage, ob Informationen aus dem Verfahren weitergegeben werden sollen, kommt es nach dem Vorschlag wohl allein auf die Einschätzung der Datenschutzbehörde an. Die Weitergabe soll erfolgen, wenn „die Informationen für die Aufgaben und Pflichten dieser Behörden als relevant erachtet werden“ – aus Sicht der Datenschutzbehörde.

An welche Aufsichtsbehörden in anderen Rechtsbereichen die Informationen weitergegeben werden sollen, wird nicht abschließend benannt („einschließlich“). Beispielhaft werden etwa Behörden aus dem Bereich Wettbewerb, Energie, Telekommunikation oder auch Verbraucherschutz.

In Deutschland könnte man also an die Weitergabe von „relevanten“ Informationen an die BaFin oder das Bundeskartellamt denken. Ziemlich klar ist der Zweck des Vorschlags, anderen Aufsichtsbehörden ebenfalls die Durchführung von entsprechenden Verfahren zu ermöglichen.

Jedoch soll die Weitergabe nach dem Vorschlag wohl tatsächlich nur an Behörden, also öffentliche Stellen, erfolgen.

Der Sinn und Zweck des Vorschlags ergibt sich recht klar aus der Begründung im Berichtsentwurf (Änderungsantrag 117, Dokument vom 9. November 2023; inoffizielle Übersetzung):

In der Erkenntnis, dass die Untersuchung von Verstößen im Bereich des Datenschutzes Beweise für Verstöße in anderen Bereichen liefern können. Dies ist eine Forderung vieler zivilgesellschaftlicher Organisationen

Keine Pflicht zur Vertraulichkeit?

Man wird die Frage stellen können, wie eine solche Vorgabe bzw. ein solches Recht mit der Vertraulichkeitsverpflichtung der Datenschutzbehörden einhergeht.

Nach Art. 54 Abs. 2 DSGVO sind ja die Mitglieder und die Bediensteten jeder Aufsichtsbehörde gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten sowohl während ihrer Amts- beziehungsweise Dienstzeit als auch nach deren Beendigung verpflichtet, über alle vertraulichen Informationen, die ihnen bei der Wahrnehmung ihrer Aufgaben oder der Ausübung ihrer Befugnisse bekannt geworden sind, Verschwiegenheit zu wahren. Eventuell mag man über Art. 57 Abs. 1 g) DSGVO hiervon noch eine Ausnahme machen – jedoch allein in Bezug auf andere Datenschutzbehörden.

Sollte aber die neue Verordnung für zusätzliche Verfahrensregeln anwendbar werden, dann gilt diese (als EU-Verordnung) neben der DSGVO und konkretisiert bzw. ändert als Spezialregelung sogar die allgemeinen Regelungen der DSGVO, wie auch Art. 54 Abs. 2 DSGVO.

Auch ein Verweis auf möglicherweise entgegenstehende nationale Verbote würde wohl nicht helfen. Denn auch hierbei ist zu beachten, dass die verschlagene Verordnung unmittelbar in jedem Mitgliedsstaat Anwendung finden würde. So führt etwa die EU-Kommission in der Begründung ihres Entwurfs aus: „Daher ist eine (in den Mitgliedstaaten unmittelbar geltende) Verordnung erforderlich, um die rechtliche Fragmentierung zu verringern und das Maß an Harmonisierung zu gewährleisten“.

Ich werde in Zukunft sicher noch ein paar Beiträge zu der Verordnung veröffentlichen. Wie gesagt, sind dort viele interessante und praxisrelevante Änderungsvorschläge enthalten.

Generalanwalt am EuGH: Bußgeldhaftung des Verantwortlichen für Tätigkeiten seines Auftragsverarbeiters

Eine weitere wichtige DSGVO-Interpretation vom 4.5.2023 (dem Datenschutztag am EuGH), die bisher kaum beachtet wurde: in der Rechtssache C-683/21 hat Generalanwalt Emiliou seine Schlussanträge (bisher nur auf Englisch verfügbar) zu einigen relevanten Fragen zur Anwendung der DSGVO vorgelegt. Zu der Frage der Voraussetzungen einer gemeinsamen Verantwortlichkeit hatte ich hier im Blog bereits berichtet.

Zudem befasst sich der Generalanwalt aber unter anderem auch noch mit der Frage, ob gegen einen für die Verarbeitung Verantwortlichen in Anwendung von Art. 83 DSGVO eine Geldbuße verhängt werden kann, wenn die rechtswidrige Verarbeitung personenbezogener Daten nicht von dem für die Verarbeitung Verantwortlichen selbst, sondern von einem Auftragsverarbeiter vorgenommen wurde.

Also: die Haftung des Verantwortlichen für seinen Auftragsverarbeiter. Ein für die Praxis extrem relevantes Thema, wenn wir an die vielen Geschäfts- und Verarbeitungsprozesse denken, in denen Dienstleister als Auftragsverarbeiter eingesetzt werden.

Die kurze Antwort des Generalanwalts: „Meines Erachtens ist diese Frage zu bejahen.“

Zunächst stellt der Generalanwalt klar, dass ein für die Verarbeitung Verantwortlicher keine personenbezogenen Daten selbst verarbeiten muss, solange er das „Warum und Wie“ der betreffenden Verarbeitungsvorgänge bestimmt. Er kann sich hierfür eines Auftragsverarbeiters bedienen.

Die Definition des Auftragsverarbeiters in Art. 4 Nr. 8 DSGVO, dass „personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“ werden, bestätigt nach Ansicht des Generalanwalts, dass im Rahmen der Anwendung der DSGVO ein Verantwortlicher haftbar gemacht und nach Art. 83 DSGVO mit einer Geldbuße belegt werden kann,

wenn personenbezogene Daten unrechtmäßig verarbeitet werden und diese unrechtmäßige Verarbeitung nicht von dem für die Verarbeitung Verantwortlichen selbst, sondern von einem Auftragsverarbeiter vorgenommen wurde“. (Rz. 94)

Die Haftung des Verantwortlichen gilt jedoch nicht für jede Tätigkeit des Auftragsverarbeiters, sondern nur, soweit ein Auftragsverarbeiter personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.

Dies ist der Fall, solange der Auftragsverarbeiter im Rahmen des ihm von dem für die Verarbeitung Verantwortlichen erteilten Auftrags handelt und die Daten gemäß den rechtmäßigen Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet“. (Rz. 95)

Wichtig: die Haftung für den Dienstleister greift also nur, solange dieser im Rahmen des Auftrages agiert.

 „Wenn der Auftragsverarbeiter jedoch über den Rahmen dieses Auftrags hinausgeht und die als Auftragsverarbeiter erhaltenen Daten für seine eigenen Zwecke verwendet …, kann gegen den für die Verarbeitung Verantwortlichen meines Erachtens keine Geldbuße“ für die unrechtmäßige Verarbeitung verhängt werden.

Ein Bußgeld kann daher auch dann gegen einen Verantwortlichen für Tätigkeiten seines Auftragsverarbeiters verhängt werden, wenn personenbezogene Daten nur vom Auftragsverarbeiter rechtswidrig verarbeitet wurden und der Verantwortliche an der Verarbeitung nicht beteiligt ist.

Die Erkenntnisse des Generalanwalt werden viele eventuell nicht als „bahnbrechend“ ansehen. Meines Erachtens ist aber zum einen beachtenswert, dass das Haftungsrisiko des Auftraggebers für seine Dienstleister nun durch einen Generalanwalt am EuGH klar herausgestellt wurde. Zum anderen verdeutlichen die Schlussanträge für die Praxis noch einmal, dass man als Verantwortlicher genaues Augenmerk auf seine vertraglichen Beziehungen zu Auftragsverarbeitern legen sollte.

Was ist also wichtig:

  • Haftung für Tätigkeiten des Auftragsverarbeiters, solange dieser im Rahmen der rechtmäßigen Weisungen agiert
  • Daher ist sehr relevant, die das System der Weisungserteilung in der Praxis ausgestaltet ist (wer erteilt in welcher Form welche Weisungen?)
  • Zudem muss unbedingt klar definiert werden, was der Auftrag ist. Denn, je unbestimmter und damit umfassender der Auftrag an den Dienstleister ausgestaltet ist, desto höher ist mein Haftungsrisiko als Verantwortlicher

Wirkt ein Verstoß gegen Art. 24 DSGVO bußgelderhöhend? Deutsche Aufsichtsbehörden: ja. EDSA: nein.

Ich hatte nun ein wenig Zeit, über den interessanten Beschluss des EDSA nach Art. 65 DSGVO zu dem Entwurf des Bußgeldbescheides der irischen Datenschutzbehörde gegen Meta Platforms (bezüglich Instagram) zu schauen.

In solchen Beschlüssen finden sich immer viele praxisrelevante Ansichten und Aussagen der einzelnen europäischen Behörden, aber natürlich auch die jeweilige Position des EDSA hierzu.

Ein interessantes Beispiel ist hierbei die Frage, ob eine Verletzung der Vorgaben von Art. 24 DSGVO im Rahmen der Bußgeldbemessung erhöhend zu berücksichtigen ist. Hintergrund: ein Verstoß gegen Art. 24 DSGVO ist an sich eigentlich nicht selbst bußgeldbewährt. Weder in Art. 83 Abs. 4 noch Abs. 5 DSGVO wird Art. 24 genannt. Man könnte also wohl davon ausgehen, dass der Gesetzgeber dies bewusst so geregelt hat.

In dem bindenden Beschluss wird darauf hingewiesen, dass die irische Behörde von einem Verstoß gegen Art. 24 DSGVO ausging (Rz. 169: „Regarding the infringement of Article 24 GDPR, the IE SA stated that this infringement was considered separately…“). Jedoch wollte die irische Behörde diesen Verstoß nicht erhöhend im Rahmen der Bußgeldbemessung berücksichtigen.

Dieser Ansicht traten die deutschen Datenschutzbehörden offensichtlich entschieden entgegen.

Rz. 176: „As for aggravating factors, the DE SAs stated that the LSA should have considered the infringement of Article 24 GDPR as an aggravating factor in respect of the other infringements under Article 83(2)(k) GDPR.”

Nach Art. 83 Abs. 2 lit. k DSGVO sind „jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall“ gebührend zu berücksichtigen.

Die deutschen Behörden waren der Ansicht, dass der Verstoß gegen Art. 24 DSGVO schärfend im Rahmen des Art. 83 Abs. 2 lit. k DSGVO berücksichtigt werden müsse. Zwar sei der Verstoß gegen die Norm selbst nicht ausdrücklich in Art. 83 DSGVO bußgeldbewährt, jedoch müsse der Verstoß bei der Entscheidung der Behörde berücksichtigt werden. Art. 83 Abs. 2 lit. k DSGVO sei bewusst sehr offen formuliert und daher müsste auch der Verstoß hierunter als Faktor fallen.

Diese Ansicht teilt der EDSA jedoch nicht.

Rz 211: „At the same time, the EDPB agrees with the IE SA that the infringement of Article 24 GDPR cannot be considered an aggravating factor under Article 83(2)(k) GDPR”.

Der EDSA geht davon aus, dass der Gesetzgeber sehr bewusst Verstöße gegen Art. 24 DSGVO gerade nicht in die Aufzählungen in Art. 83 Abs. 4 und 5 DSGVO aufgenommen habe. Hierzu wird darauf verwiesen, dass in früheren Versionen der DSGVO Art. 24 DSGVO in dem Katalog des Art. 83 noch enthalten war. Wenn man aber nun, der Ansicht der deutschen Behörden folgend, eine Verletzung von Art. 24 DSGVO dennoch strafschärfend berücksichtigen würde, wäre ein solcher Verstoß zumindest indirekt doch mit Bußgeld belegt. Aus diesem Grund folgt der EDSA der Ansicht der deutschen Behörden nicht.

Jedoch, so der EDSA, ist das Prinzip der Rechenschaftspflicht und damit der Verantwortlichkeit, welches in Art. 24 DSGVO ebenso wie in Art. 5 Abs. 2 DSGVO zum Ausdruck kommt, generell als Faktor bei der Bußgeldbemessung zu berücksichtigen. Hierzu verweist der EDSA auf seine Leitlinien zu Bußgeldern.

Fazit

Zum einen zeigt dieses Beispiel erneut anschaulich, wie unterschiedlich die Interpretationen zur DSGVO, auch innerhalb der Aufsichtsbehörden, sind. Und wie wichtig hierbei eine bindende Instanz wie der EDSA ist. Inhaltlich kann man mitnehmen, dass der Verstoß gegen einen Artikel der DSGVO, der gerade nicht in dem Katalog des Art. 83 Abs. 4 und 5 DSGVO benannt ist, nicht per se bußgelderhöhend wirkt.

Datenschutzbehörde: Produktbewerbung „DS-GVO-konform“ schützt nicht vor Bußgeldern

Aus meiner Sicht eigentlich eine Selbstverständlichkeit, jedoch immer wieder auch in der Praxis ein Diskussionsthema. Wenn Unternehmen Produkte (etwa Cloud-Dienst, Software etc.) verwenden möchten, die im Rahmen der eigenen Bewerbung mit dem Zusatz „DS-GVO-konform“ versehen sind, schützt dies den datenschutzrechtlich Verantwortlichen natürlich nicht per se vor Sanktionen. Erforderlich ist stets, dass man als Kunde (und datenschutzrechtlich Verantwortlicher) selbst prüft, ob ein Umgang mit personenbezogenen Daten tatsächlich zulässig erfolgen kann.

Der Hessische Datenschutzbeauftragte informiert hierüber in seinem aktuellen Tätigkeitsbericht 2021 (PDF, S. 133). Dort geht es um datenschutzrechtliche Fragen der Mitarbeiterüberwachung, etwa bei der Arbeitszeiterfassung.

Erfolgt eine unzulässige Verarbeitung von Mitarbeiterdaten durch den Arbeitgeber, so drohen u.a. Bußgelder nach der DSGVO. Hierzu informiert die Datenschutzbehörde:  

wobei Arbeitgeber sich im Rahmen eines Bußgeldverfahrens nicht durch den Einwand exkulpieren können, dass das eingesetzte Produkt mit dem Zusatz „DS-GVO-konform“ beworben wird. Als Verantwortliche im Sinn des Art. 4 Nr. 7 DS-GVO sind Arbeitgeber nach Art. 5 Abs. 2 DS-GVO für die Einhaltung der Grundsätze der Verarbeitung verantwortlich und rechenschaftspflichtig.“

Wie gesagt, ist diese Feststellung meines Erachtens wenig überraschend. Rein datenschutzrechtlich muss man als Verantwortlicher stets selbst prüfen bzw. entsprechend vorbereitete Dokumente eines Dienstleisters prüfen, ob personenbezogene Daten zulässig verarbeitet werden können. Eine andere Frage ist, ob man als Kunde vertragsrechtliche Ansprüche gegen den Anbieter des Produkts geltend machen kann, wenn dieser etwa eine DSGVO-Konformität zusichert oder mit dieser für sein Produkt wirbt.

Keine Auskunft und Reaktion auf Betroffenenanfrage: 20.000 EUR Bußgeld gegen Deutsche Bank in Italien

Die italienische Datenschutzbehörde hat am 16. Juni 2022 ein Bußgeld in Höhe von 20.000 EUR gegen die Deutsche Bank in Italien verhängt (Mitteilung der Behörde, auf Italienisch). Die Entscheidung ist besonders praxisrelevant, da es um einen Verstoß gegen Art. 12 und 15 DSGVO, also das Auskunftsrecht nach der DSGVO ging, welches Unternehmen immer wieder beschäftigt. Vorliegen lag auch einer der klassischen, aber gleichzeitig vermeidbaren Fehler vor: das Auskunftsersuchen wurde nicht (rechtzeitig) bearbeitet.  

Die Entscheidung ist nur auf Italienisch abrufbar. Ich habe sie selbst übersetzt und kann daher nicht für absolute Richtigkeit garantieren.

Sachverhalt

Der Betroffene legte am 26.10.2020 bei der Datenschutzbehörde eine Beschwerde über eine unrechtmäßige Verarbeitung personenbezogener Daten durch die Deutsche Bank S.p.A. ein und beschwerte sich zudem über die Nichtbeantwortung des an die Bank gerichteten Antrags auf Ausübung seiner Betroffenenrechte vom 15.07.2020. In diesem bat er um die nach Art. 13 DSGVO erforderlichen Informationen und wohl auch ganz generell um Auskunft zu seinen Daten (Art. 15 DSGVO). Innerhalb der in Art. 12 Abs. 3 DSGVO vorgesehenen fristen ging jedoch keine Antwort der Bank ein.

Erst im Nachgang (im Jahr 2021), als die Datenschutzbehörde die Bank zur Auskunft aufforderte, wurde diese gegenüber dem Betroffenen erteilt

In einem Schreiben an die Aufsichtsbehörde räumte die Bank ein, dass sie dem Betroffenen keine Informationen und keine Auskunft erteilt hatte, und übermittelte dem Beschwerdeführer und der Behörde die angeforderten Unterlagen.

Entscheidung

Auf der Grundlage der von der Bank abgegebenen wurde ein Sanktionsverfahrens wegen Verstößen gegen Art. 12 Abs. 3 und Art. 15 DSGVO eingeleitet.

Die Datenschutzbehörde stellt fest, dass die Bank auf den vom Beschwerdeführer formulierten Antrag auf Ausübung seiner Rechte nicht innerhalb der in Art. 12 Abs. 3 DSGVO vorgesehenen Frist geantwortet hat. Zudem informierte sie den Betroffenen auch nicht innerhalb der vorgegebenen Frist über die Gründe für die Nichterfüllung der Anforderungen und über die Möglichkeit, eine Beschwerde bei der Behörde einzureichen (Art. 12 Abs. 4 DSGVO).

Die Bank verteidigte sich wohl u.a. damit, dass der Antrag auf Ausübung von Rechten im Rahmen eines umfassenderen und detaillierteren Ersuchens des Kunden gestellt worden sei, was eine rechtzeitige Antwort verhindert hätte. Hierin sah die Datenschutzbehörde jedoch kein Argument dafür, die Betroffenenanfrage nicht fristgemäß zu beantworten.

Zur Begründung verweist die Aufsichtsbehörde auch auf Art. 12 Abs. 2 DSGVO, wonach „der für die Verarbeitung Verantwortliche die Ausübung der Rechte der betroffenen Person nach den Artikeln 15 bis 22 zu erleichtern hat“.

Zudem brachte die Bank als Argument vor, dass die Informationen gemäß Art. 13 DSGVO und die Daten, die Gegenstand des Antrags sind, der betroffenen Person bereits bekannt waren. Auch diesen Einwand lies die Datenschutzbehörde nicht gelten.

In Art. 15 DSGVO sei als erster Schritt das Rechts der betroffenen Person verankert, „von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu erhalten, ob sie betreffende personenbezogene Daten verarbeitet werden oder nicht“ und, falls dies der Fall ist, das Recht, „Zugang zu den Daten“ und weitere Informationen zu erhalten. Dies geschehe auch, um die Richtigkeit und Vollständigkeit der verarbeiteten Daten zu überprüfen.

Basierend hierauf wurde die Beschwerde für begründet erklärt und basierend auf Art. 58 Abs. 2, 83 Abs. 3 DSGVO eine Geldbuße verhängt.

Die Behörde setzt die Geldbuße in Höhe von 20.000,00 EUR für den Verstoß gegen die Art. 12 und 15 DSGVO fest.

Fazit

Betroffenenrechte spielen, insbesondere im B2C-Bereich eine herausragende Rolle, wenn es um die DSGVO-Compliance geht. Insbesondere sollten datenverarbeitende Stellen intern Prozesse und Vorgaben etablieren, die eine rechtzeitige Bearbeitung von Betroffenenanfragen sicherstellen. Eine ausbleibende oder verspätete Antwort kann im schlimmsten Fall mit einem Bußgeld geahndet werden. Gerade der Fehler einer Nichtbearbeitung oder der Verspätung ist meiner Ansicht nach aber in der Praxis gut vermeidbar, wenn man intern entsprechende Vorgaben schafft und Mitarbeiter regelmäßig schult. 20.000 EUR für einen Fall mag im ersten Moment „vertretbar“ anmuten – jedoh sollte man aus Unternehmenssicht beachten, dass, bei fehlenden internen Leitlinien und Prozessen, über einen längeren Zeitraum evtl. nicht nur eine Anfrage, sondern eine viel größere Anzahl nicht richtig bearbeitet wird. Entsprechend dürfte dann auch das mögliche Bußgeld nach oben angepasst werden.