Zum Inhalt springen Zur Navigation springen
Aufsichtsbehörde zum Tätigwerden verurteilt

Aufsichtsbehörde zum Tätigwerden verurteilt

Das Verwaltungsgericht Ansbach hat in einem bemerkenswerten Urteil die Rolle der Datenschutzaufsichtsbehörden im Zusammenhang mit der Durchsetzung der Betroffenenrechte nach der Datenschutz-Grundverordnung erneut hervorgehoben. Im Zentrum der Entscheidung steht die Pflicht der Aufsichtsbehörde, bei festgestellten Datenschutzverstößen aktiv zu werden und geeignete Abhilfemaßnahmen zu ergreifen.

Hintergrund des Falles

Der zugrundeliegende Fall, den das Verwaltungsgericht Ansbach in seinem Urteil vom 12.06.2024 entschied, dreht sich um die Durchsetzung von Betroffenenrechten nach der Datenschutz-Grundverordnung (DSGVO), konkret um das Auskunftsrecht nach Art. 15 DSGVO. Die Klägerin, eine Teilnehmerin an einem dreitägigen Seminar, das von dem Beigeladenen, einem Seminarveranstalter, organisiert wurde, forderte nach Abschluss des Seminars eine umfassende Auskunft über alle personenbezogenen Daten, die der Veranstalter über sie gespeichert hatte. Insbesondere wollte sie wissen, zu welchem Zweck ihre Daten verarbeitet und an wen diese weitergegeben worden waren. Hintergrund dieser Anfrage war die Tatsache, dass der Veranstalter der Klägerin im Rahmen eines streitigen E-Mail-Verkehrs eine Teilnehmerliste übersandt hatte, die auch Informationen, wie gebuchte Zimmerkategorien oder eine Frühanreise, enthielt.

Die Klägerin wandte sich per E-Mail direkt an den Veranstalter und verlangte eine umfassende Auskunft über die Verwendung ihrer Daten. Nachdem sie jedoch keine zufriedenstellende Antwort erhielt, wandte sie sich an das Bayerische Landesamt für Datenschutzaufsicht (BayLDA).

Das BayLDA reagierte auf die Beschwerde, indem es den Veranstalter schriftlich aufforderte, der Klägerin die geforderte Auskunft zu erteilen. Der Veranstalter erklärte daraufhin gegenüber dem BayLDA, er habe die Daten der Klägerin bis auf die E-Mail-Adresse gelöscht und sah die Angelegenheit als erledigt an. Diese Erklärung war für die Klägerin jedoch nicht zufriedenstellend, da sie weiterhin auf eine vollständige Auskunft bestand. Das BayLDA entschied schließlich, keine weiteren Maßnahmen zu ergreifen und schloss den Fall mit einer Abschlussmitteilung ab, was die Klägerin dazu veranlasste, Klage einzureichen, um die Behörde zur Durchsetzung ihrer Rechte zu bewegen.

Argumentation der Klägerin

Die Klägerin argumentierte, dass eine vollständige Löschung nicht schlüssig sei, da der Veranstalter verpflichtet sei, bestimmte Vertragsunterlagen für steuerliche Zwecke aufzubewahren. Sie stellte die Behauptung des Veranstalters, die Daten gelöscht zu haben, infrage und war der Ansicht, dass der Veranstalter wissentlich gegen datenschutzrechtliche Bestimmungen verstoßen habe und die Daten erst nachträglich gelöscht habe, um sich der Auskunftspflicht zu entziehen. Weiterhin argumentierte sie, dass die übermittelte Teilnehmerliste, die auch die Zimmerkategorien der Teilnehmer enthielt und damit einen indirekten Rückschluss auf die finanzielle Situation zuließe, einen Verstoß gegen das Datenschutzrecht darstelle.

Das Verhalten des Veranstalters, u.a. keine umfassende Auskunft zu erteilen, stellte nach Ansicht der Klägerin einen klaren Verstoß gegen die DSGVO dar, den das BayLDA nicht ausreichend verfolgt habe.

Argumentation der Aufsichtsbehörde

Die beklagte Datenschutzaufsichtsbehörde, das BayLDA, verteidigte ihre Entscheidung, keine weiteren Maßnahmen gegen den Veranstalter zu ergreifen. Sie argumentierte, dass die Entscheidung, ob eine aufsichtsrechtliche Maßnahme ergriffen werden sollte, im pflichtgemäßen Ermessen der Behörde liege.

Das BayLDA führte aus, dass es dem Veranstalter nach pflichtgemäßem Ermessen mitgeteilt habe, dass die beantragte Auskunft erteilt werden solle. Der Veranstalter habe daraufhin erklärt, dass die personenbezogenen Daten der Klägerin gelöscht worden seien. Angesichts dieser Aussage und der Tatsache, dass der Veranstalter keine weiteren Daten verarbeite, habe das BayLDA keinen Anlass gesehen, weitere aufsichtsrechtliche Maßnahmen zu ergreifen. Die Behörde wies darauf hin, dass sie auf die von den Verantwortlichen gemachten Angaben angewiesen sei und dass es keine Beweise dafür gebe, dass die vom Veranstalter erteilte Auskunft unvollständig oder falsch sei.

Entscheidung: Tätigwerden erforderlich

Das VG Ansbach stellte fest, dass die Klägerin einen Anspruch auf das Tätigwerden der Datenschutzaufsichtsbehörde hat. Das Gericht hob die Abschlussmitteilung des BayLDA auf und verurteilte die Behörde dazu, gegen den Seminarveranstalter eine Abhilfemaßnahme nach Art. 58 Abs. 2 DSGVO zu ergreifen. Das Gericht begründete seine Entscheidung damit, dass das Auskunftsrecht der betroffenen Person nach Art. 15 DSGVO ein zentrales Element des Datenschutzes darstelle, welches Transparenz und Kontrolle über die Verarbeitung personenbezogener Daten gewährleiste. Die zunächst gänzlich unterlassene und sodann unzureichende Reaktion des Seminarveranstalters, der erst nach wiederholter Aufforderung eine unvollständige Auskunft erteilte, stelle einen Verstoß gegen diese Regelung dar.

„Der vorliegende Verstoß gegen das im System der DS-GVO zentrale subjektive Recht der Klägerin aus Art. 15 Abs. 1 DS-GVO führt gemäß den oben erläuterten Bewertungsgrundsätzen unter Beachtung des erschwerenden Umstands der Renitenz des Beigeladenen dazu, dass auch im Zeitpunkt der gerichtlichen Entscheidung das Entschließungsermessen des Landesamts zum Ergreifen von Abhilfemaßnahmen nach Art. 58 Abs. 2 DS-GVO auf null reduziert ist.“

Das Gericht kritisierte zudem die passive Haltung des BayLDA. Die Behörde habe ihre Ermittlungen voreilig abgeschlossen, ohne sicherzustellen, dass die Auskunftspflicht tatsächlich erfüllt wurde. Dies stelle einen Ermessensfehler dar, da das BayLDA in Anbetracht der Schwere des Verstoßes verpflichtet gewesen wäre, eine formale Anordnung zur Auskunftserteilung oder eine andere geeignete Maßnahme zu ergreifen. Das Gericht betonte, dass in Fällen, in denen ein klarer Verstoß gegen die DSGVO vorliege, das Ermessen der Behörde auf Null reduziert sei und sie somit zum Einschreiten verpflichtet sei.

Konsequenzen für die Praxis und Aufsichtsbehörden

Das Urteil verdeutlicht, dass die bloße Aufforderung an den Verantwortlichen, die Betroffenenrechte zu erfüllen, nicht ausreicht, wenn dieser der Aufforderung nicht nachkommt oder nur unzureichend nachkommt. Die Aufsichtsbehörden müssen in solchen Fällen stärker intervenieren und wenn nötig formelle Maßnahmen ergreifen, um die Rechte der betroffenen Personen durchzusetzen.

Für die betroffenen Unternehmen bedeutet dies, dass sie sich nicht darauf verlassen können, dass eine einfache Erklärung gegenüber der Aufsichtsbehörde ausreicht, um eine Beschwerde zu entkräften. Sie müssen sicherstellen, dass sie den Anforderungen der DSGVO in vollem Umfang nachkommen, insbesondere wenn es um die Auskunftspflichten nach Art. 15 DSGVO geht.

Das Urteil des VG Ansbach stärkt die Position der betroffenen Personen und setzt neue Maßstäbe für die behördliche Durchsetzung. Es macht deutlich, dass die Aufsichtsbehörden verpflichtet sind, bei Datenschutzverstößen konsequent einzugreifen und dass sie dabei ein enges rechtliches Korsett haben.

Licht- und Schattenseiten des Urteils

Das Urteil des VG Ansbach verschärft die Anforderungen an die Datenschutzaufsichtsbehörden und schränkt damit deren Handlungsspielraum einschränkt. Mit einem kritischen Blick könnte argumentiert werden, dass eine Ermessensreduktion die Flexibilität und Effektivität der Aufsichtsarbeit beeinträchtigen könnte. Indem das Urteil die Behörden zwingt, bei jedem festgestellten Verstoß zwingend formelle Maßnahmen zu ergreifen, besteht die Gefahr, dass Ressourcen übermäßig gebunden werden und die Priorisierung schwerwiegenderer Datenschutzverletzungen erschwert wird. Zudem könnte es Unternehmen abschrecken, freiwillig mit den Behörden zusammenzuarbeiten, wenn sie befürchten müssen, dass jede Anfrage oder Beschwerde zwangsläufig zu formellen Maßnahmen führen kann.

Andererseits stärkt das Urteil die Rechte der betroffenen Personen und stellt sicher, dass diese nicht nur theoretisch, sondern auch praktisch durchsetzbar sind. Indem das Gericht klargestellt hat, dass die Aufsichtsbehörden bei festgestellten Verstößen gegen die DSGVO aktiv werden müssen, wird der Schutz personenbezogener Daten verbessert. Das Urteil sendet ein Signal an Unternehmen, dass die Missachtung von Datenschutzanforderungen ernsthafte Konsequenzen nach sich zieht.

Es bleibt abzuwarten, ob das Urteil in dieser Form rechtskräftig wird, oder ob die Aufsichtsbehörde ein höheres Gericht in dieser Sache bemühen wird.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.