Zum Inhalt springen Zur Navigation springen
Auskunftsverweigerungsrecht bei Fragen der Aufsichtsbehörde

Auskunftsverweigerungsrecht bei Fragen der Aufsichtsbehörde

Das OVG Schleswig (Az.: 4 MB 14/21) hat entschieden, dass das Recht zur Auskunftsverweigerung nach § 40 Abs. 4 S. 2 BSDG bei Fragen der Datenschutzaufsichtsbehörde dann Anwendung findet, wenn ein Verantwortlicher, der zur Beantwortung verpflichtet ist, sich dadurch ernsthaft der Gefahr einer Rechtsverfolgung aussetzen würde. Wir zeigen die Details des Urteils auf.

Der Sachverhalt

Eine Kosmetikerin hat ein Online-Versand betrieben und bewarb ihre Produkte durch die Zusendung von Werbung per E-Mail. Die zuständige Datenschutzbehörde erreichten sieben verschiedene Beschwerden, aufgrund der persönlichen Werbeansprachen der Kosmetikerin. Dabei habe zu keinem Zeitpunkt eine Kundenbeziehung zwischen der Kosmetikerin und den Betroffenen bestanden.

Daraufhin bat die Datenschutzbehörde um Auskunft zu fünf durchnummerierten Fragen:

  1. Von welchen Verantwortlichen und Auftragsverarbeitern und für Werbezwecke werden Daten verarbeitet?
  2. Welche personenbezogenen Daten werden konkret erhoben?
  3. Frage nach den technisch organisatorischen Maßnahmen (TOM) und dem Verfahrensverzeichnis?
  4. Wie viele Personen seien von den Maßnahmen betroffen?
  5. Einhaltung der datenschutzrechtlichen Informationspflichten nach Art. 14 DSGVO

In dem Bescheid wurde der Kosmetikerin weiterhin erklärt, dass jede nicht beantwortete Frage ein Zwangsgeld in Höhe von 200,00 EUR nach sich ziehen würde. Die Betroffene lehnte die Beantwortung jedoch ab und berief sich auf das Auskunftsverweigerungsrecht, da sie sich nicht selbst belasten wollte. Das Auskunftsverweigerungsrecht nach § 40 Abs. 4 S. 2 BDSG greift dann, wenn durch das Befolgen der Auskunftspflicht eine strafgerichtliche Verfolgung oder ein Ordnungswidrigkeitsverfahren droht.

Die Datenschutzbehörde verhängte daraufhin ein Zwangsgeld in Höhe von 1000 EUR. Dagegen klagte die Kosmetikerin.

Auskunftsverweigerung teilweise begründet und teilweise rechtswidrig

Das OVG Schleswig gab der Kosmetikerin teilweise Recht. Der Grundsatz des Auskunftsverweigerungsrechts ist darin zu sehen, dass der Betroffene (hier die Kosmetikerin) sich zu keinem Zeitpunkt selbst belasten muss, wenn er der Datenschutzbehörde Auskünfte erteilt und sich daraus Straf- oder Ordnungswidrigkeiten ergeben.

Das Gericht vermerkt aber, dass keine tatsächliche Gefahr einer Rechtsverfolgung bestehen muss und es vielmehr ausreicht, wenn eine solche ernsthaft möglich erscheint:

„Für das Bestehen einer solchen Gefahrenlage bedarf es nicht der sicheren Erwartung einer Bestrafung oder Sanktionierung in Anknüpfung an die Erteilung der Auskunft. Indessen genügt auch nicht die bloße Vermutung oder theoretische Möglichkeit einer solchen.

„Notwendig, aber auch hinreichend ist, dass die Einleitung eines strafgerichtlichen Verfahrens oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten nach den konkreten Umständen des Einzelfalls ernsthaft möglich erscheint (…).“

Mit dieser Einschätzung beurteilt das Gericht die fünf von der Datenschutzaufsichtsbehörde gestellten Fragen. Bei den Fragen 1, 2 und 4 ging das Gericht davon aus, dass keine Selbstbeslastungsgefahr gegeben sei.

Das Gericht begründete dies damit, dass sich bei der Beantwortung dieser Fragen, in denen es um die Benennung von Verantwortlichen und Auftragsverarbeitern, Nennung der personenbezogenen Daten und wie viele Personen tatsächlich betroffen sind, noch kein Verstoß gegen die datenschutzrechtlichen Grundsätze erkennbar seien. Vielmehr müssten weitere Umstände hinzutreten, damit man von einer rechtswidrigen Datenverarbeitung ausgehen könne. Aus diesem Grund ist das erlassene Zwangsgeld in Höhe von 200,00 EUR für die Nichtbeantwortung der Fragen 1, 2, und 4 als rechtmäßig anzusehen.

Im Falle der Fragen 3 und 5 sah das Gericht ein echtes Risiko, womit die Auskunftsverweigerung begründet sei. Denn im Falle dieser Fragen wird nach der Einhaltung der Vorgaben von Art. 24 und 32 DSGVO sowie den Informationspflichten aus Art. 14 Abs. 1 und 2 DSGVO gefragt. Mit der Beantwortung der Frage 3 ließe sich direkt einen Bußgeld nach Art. 83 Abs. 4 lit. a DSGVO begründen, wodurch eine Geldbuße von bis zu 10 Millionen Euro oder bis zu 2 % des Jahresumsatzes des Unternehmens belegt werden könnte.

Ähnlich verhält es sich auch im Falle von Frage 5, wonach Verstöße gegen die Informationspflichten, die gemäß Art. 14 DSGVO bestehen, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden, mit einem Bußgeld nach Art. 83  Abs. 5 lit. d DSGVO geahndet werden.

Genau für solche Fälle ist § 40 Abs. 4 S. 2 BDSG vorgesehen. Die Norm trägt dem Grundsatz der Selbstbelastungsfreiheit Rechnung, welcher vom Bundesverfassungsgericht anerkannt ist.

Reden ist Silber, Schweigen ist Gold?

Soll man nun lieber schweigen oder Rede und Antwort stehen? Leider lässt das Urteil so manche Frage offen. Auch wenn das Gericht davon ausgeht, dass die Beantwortung der Fragen 1, 2 und 4 keine Selbstbelastung erkennen lässt, so kann das Berufen auf das Auskunftsverweigerungsrecht aber ein Indiz dafür sein, dass beim Betroffenen etwaige datenschutzrechtliche Bedenken vorhanden sind. Diese wiederum können später als Argumentation für die Verhängung von Bußgelder herangezogen werden.

Das Auskunftsverweigerungsrecht ist ein ziemlich sinnvolles Instrument, um eine Selbstbelastung zu vermeiden. Allerdings stellt sich die Frage inwieweit es auch wirksam ist, wenn im Nachgang die Aufsichtsbehörde eine Datenschutzprüfung anordnet und diese vor Ort durchführt?

Wann es sinnvoll ist von der Auskunftsverweigerung Gebrauch zu machen, lässt sich nur im Einzelfall beantworten und kann nicht pauschal beantwortet werden. Was die Praxis aber des Öfteren zeigt ist, dass die Kooperation mit der Datenschutzaufsichtsbehörde oftmals hilfreicher ist und auf ein besseres Ergebnis hoffen lässt. Schweigen ist zwar Gold, aber manchmal auch eine Niete.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.