Schon häufiger haben wir an dieser Stelle über die eher fragwürdige Rechtsauffassung der Unister-Gruppe (u.a. ab-in-den-urlaub.de, fluege.de, hotelreservierung.de, reisen.de) berichtet (vgl.: Kein Datenschutzbeauftragter? Ab-in-den-Knast.de; Unister erneut am Pranger; Unister am Pranger: Auch beim Datenschutz Verbesserungsbedarf ).
Nun fiel die Unister-Gruppe erneut wegen ihres Verständnisses von Datenschutz auf, das ihr sogar eine Schlappe vor Gericht einbrachte.
Der Inhalt im Überblick
Was war passiert?
Bereits im vergangenen Jahr hatte der sächsische Datenschutzbeauftragte, Andreas Schurig, die Unister-Unternehmensgruppe – genauer die Mutter-Firma sowie eine Tochter – aufgefordert, ihm zur Ermöglichung einer Tiefenprüfung gem. § 38 Abs. 3 BDSG der Datenverarbeitung innerhalb der Unister-Gruppe umfassend Auskunft zu erteilen über die durch die Unternehmen erhobenen, verarbeiteten und gespeicherten personenbezogenen Daten ihrer Nutzer.
Das Auskunftsverlangen wurde zudem vom sächsischen Landesdatenschutzbeauftragten als sofort vollziehbar erklärt (vgl.: § 80 Abs. 2 Ziffer 4 VwGO). Die Unister-Gruppe hatte diese Verpflichtung, wie es der sächsische Datenschutzbeauftragte in seiner Presseerklärung vom 24.07.2013 mitteilte,
teils dem Grunde nach, teils dem Umfang nach
abgelehnt und versucht, im Klagewege sowie Rahmen des einstweiligen Rechtsschutzes gem. § 80 Abs. 5 VwGO gegen den Auskunftsbescheid vorzugehen.
Wesentliche Argumente hierfür waren offenbar:
- Eine derart umfassende Auskunftsplicht der Unsiter-Gruppe bestehe nicht
- Das Auskunftsersuchen sei zu unbestimmt
- Die Anordnung der sofortige Vollziehung sei unangemessen und bedeute eine Vorwegnahme der Hauptsache
Das Verfahren
Bereits mit Beschlüssen vom 03.012.2012 (Az.: 5 L 1308/12) und 11.12.2012 (5 L 1421/12) hatte das Verwaltungsgericht Leipzig die Widerherstellung der aufschiebenden Wirkung gemäß § 80 Abs. 5 VwGO abgelehnt und die Auskunftspflicht der Unister-Gruppe gemäß § 38 Absatz 3 Satz 1 BDSG bestätigt.
Hiergegen hatte die Unister-Gruppe Beschwerde zum Sächsischen OVG in Bautzen eingereicht. Nunmehr hat auch das im Beschwerdewege angerufene Sächsische Oberverwaltungsgericht mit Beschluss vom 17.07.2013 (Az.: 3B470/12) diese Entscheidungen VG Leipzig umfassend bestätigt.
Zu seiner Entscheidung führte das OVG in seiner Pressemitteilung vom 24.07.2013 aus,
Bei eingehender Prüfung der Sach- und Rechtslage, so das Sächsische Oberverwaltungsgericht, sei davon auszugehen, dass die Auskünfte zu Recht verlangt und die erhobenen Klagen erfolglos bleiben werden. Das Bundesdatenschutzgesetz ermächtige den Datenschutzbeauftragten zur Einholung so umfassender Auskünfte. Dies sei auch geeignet, erforderlich und verhältnismäßig, um die Einhaltung des Datenschutzes bei Unister zu kontrollieren. Weder gebe es mildere Mittel noch belaste der Aufwand für die umfassende Auskunftserteilung angesichts der Unternehmensgröße Unister über Gebühr.
Anders als Unister meine, sei das Auskunftsverlangen auch bestimmt genug formuliert. Unister könne erkennen, welche Auskünfte in welchem Umfang zu erteilen seien. Die bisher gegebenen Auskünfte seien hingegen unzureichend. Das Auskunftsverlangen müsse auch sofort vollziehbar sein. Sonst könne sich Unister durch Klageerhebung für längere Zeit der Auskunftspflicht entziehen. Die Einhaltung des Datenschutzes wäre dann bei Unister nicht mehr effektiv zu kontrollieren.
Die Entscheidungen sind rechtskräftig. Eine Entscheidung im Hauptsacheverfahren steht allerdings noch aus.
Das Ergebnis
Die Unister-Gruppe muss nun, mangels aufschiebender Wirkung des Hauptsacheverfahrens, zumindest vorläufig die geforderten Auskünfte erteilen. Diese will der Landesdatenschutzbeauftragte nach eigenen Angaben schnellstmöglich einholen und sein Prüfungsverfahren nun fortsetzen. Verstöße gegen die Auskunftspflicht können mit einem Bußgeld bis zu 50 000 Euro geahndet werden (§ 43 Abs. 1 Nr. 10 i. V. m. § 43 Abs. 3 Satz 1 Bundesdatenschutzgesetz – BDSG).
Bei Fragen zur Reichweite und Bedeutung der datenschutzrechtlichen Verpflichtungen fragen sie doch einfach Ihren betrieblichen Datenschutzbeauftragten.