Von Dr. Ronald Kandelhard, Rechtsanwalt, Fachanwalt für Handels- und Gesellschaftsrecht
Gericht verpflichtet Datenschutzbehörden zum Eingreifen bei Beschwerden von Kunden!
Es ist nichts Neues, dass Du verpflichtet bist, Deine Webseiten datenschutzkonform zu betreiben. Nichts Neues ist auch, dass Du abgemahnt werden kannst und dass auch die Datenschutzbehörde eingreifen kann. Faktisch geschah das bisher aber selten, weil die Datenschutzbehörden sich nicht um jede Beschwerde gekümmert haben. So war es eigentlich auch in einem neuen Fall vor dem Verwaltungsgericht (VG) Ansbach. Doch das Gericht hat hier eine Entscheidung mit möglicherweise sehr großen Konsequenzen für Betreiber einer Website gefällt. Nach der ganz aktuellen Entscheidung des Verwaltungsgerichts Ansbach in einem Urteil vom 12. Juni 2024, sind Datenschutzaufsichtsbehörden verpflichtet, bei festgestellten Datenschutzverstößen aktiv zu werden. Sie müssen Maßnahmen wegen jedes (eventuell auch nur geringen) Verstoßes gegen die DSGVO zu ergreifen. Dieses Urteil kann weitreichende Konsequenzen für Betreiber von Webseiten haben, denn es droht, dass nach jeder Kundenbeschwerde die Datenschutzbehörde Maßnahmen ergreift.
1. Der Fall: Betroffenenrechte im Fokus
Der Fall, der dem Urteil zugrunde liegt, betraf eine Seminarteilnehmerin, die nach Abschluss einer Veranstaltung Auskunft über alle personenbezogenen Daten verlangte, die der Veranstalter über sie gespeichert hatte. Sie erhielt jedoch nur unzureichende Informationen und wandte sich daraufhin an das Bayerische Landesamt für Datenschutzaufsicht (BayLDA). Obwohl das BayLDA den Veranstalter zur Auskunft aufforderte, schloss die Behörde den Fall ohne weitere Maßnahmen ab, nachdem der Veranstalter behauptet hatte, die Daten gelöscht zu haben. Die Teilnehmerin war damit nicht zufrieden und klagte erfolgreich auf ein Eingreifen der Behörde. Das VG Ansbach entschied, dass die Datenschutzbehörde verpflichtet sei, Maßnahmen zu ergreifen, wenn Betroffenenrechte, wie das Auskunftsrecht nach Art. 15 DSGVO, verletzt werden. Die Richter kritisierten, dass das BayLDA seine Ermittlungen voreilig abgeschlossen hatte, ohne sicherzustellen, dass die Auskunftspflicht tatsächlich erfüllt wurde. Dies stelle einen Ermessensfehler dar, da die Behörde bei klaren Verstößen gegen die DSGVO verpflichtet sei, formelle Maßnahmen zu ergreifen.
2. Praktische Relevanz des Urteils für Dein Unternehmen
Wenn Du eine Website betreibst, hat dieses Urteil eine klare Botschaft: Die Behörden werden zukünftig wahrscheinlich schneller und konsequenter eingreifen. Jede Beschwerde eines Website-Besuchers kann nun ausreichen, um eine Überprüfung durch die Datenschutzbehörde auszulösen. Da es immer möglich ist, dass ein Besucher der eigenen Webseite nicht wohlgesonnen ist, steigt das Risiko, in das Visier der Aufsichtsbehörden zu geraten, erheblich. Wir haben alle schon Nutzer auf unserer Website gehabt, die es ganz genau wissen wollen. Leider haben diese künftig wohl mehr Einfluss. Auch in dem Fall des VG Ansbach fragt man sich, warum die Auskunft so wichtig war, gleich zwei Streitigkeiten anzufangen und dann sogar noch die Behörde zu verklagen, damit diese gegen den Datenverarbeiter vorgeht (sic!). Natürlich sind die Einzelrechte nach der DSGVO wichtig, doch leider dienen sie allzuoft nur als Werkzeug um ganz andere Interessen zu bedienen, die nicht mit der DSGVO oder dem Recht überhaupt zu tun haben! Das Urteil unterstreicht die Notwendigkeit, die Datenschutzvorgaben der DSGVO gewissenhaft einzuhalten. Du solltest sicherstellen, dass Du Auskunftspflichten vollständig und zeitnah erfüllen kannst und dass Deine Datenschutzmaßnahmen auf dem neuesten Stand sind. Eine einfache Erklärung gegenüber der Datenschutzbehörde, dass Daten gelöscht wurden, wird in Zukunft nicht mehr ausreichen, um Beschwerden abzuwehren.
3. Die Bedeutung der Datenschutzerklärung
Ein weiterer wesentlicher Aspekt der DSGVO-Compliance ist die korrekte und stets aktuelle Datenschutzerklärung auf Deiner Webseite. Die Datenschutzerklärung ist das rechtliche Aushängeschild Deiner Webseite. Sie muss alle relevanten Informationen zur Datenverarbeitung enthalten, einschließlich der Art der verarbeiteten Daten, der Verarbeitungszwecke, der Rechtsgrundlagen und der Empfänger der Daten. Besonders wichtig ist, dass die Datenschutzerklärung regelmäßig aktualisiert wird, um Änderungen in den Datenverarbeitungsprozessen oder neue rechtliche Anforderungen zu berücksichtigen. Eine veraltete oder unvollständige Datenschutzerklärung kann schnell zu einem Verstoß gegen die DSGVO führen. Das ist ein häufiger Grund für Beschwerden bei den Datenschutzbehörden.
4. Das droht von Seiten der Behörde
Wenn eine Datenschutzbehörde, wie das BayLDA, feststellt, dass ein Online-Unternehmer die Vorgaben der DSGVO nicht einhält, kann sie eine Reihe von Maßnahmen ergreifen, um die Einhaltung der Datenschutzvorschriften durchzusetzen. Diese Maßnahmen reichen von milden Eingriffen bis hin zu strengen Sanktionen:
- Verwarnung: Die Behörde kann eine Verwarnung aussprechen, wenn sie der Auffassung ist, dass ein Unternehmen die DSGVO nicht vollständig einhält. Dies ist oft der erste Schritt, der den Unternehmer auf den Verstoß aufmerksam machen und zur Korrektur der Mängel auffordern soll.
- Abhilfemaßnahmen: Die Behörde kann das Unternehmen anweisen, spezifische Maßnahmen zur Einhaltung der DSGVO zu ergreifen. Dies kann die Aufforderung zur Anpassung der Datenschutzerklärung, die Einführung technischer und organisatorischer Maßnahmen oder die Löschung von Daten umfassen.
- Bußgelder: Bei schwerwiegenden oder wiederholten Verstößen kann die Datenschutzbehörde empfindliche Bußgelder verhängen. Die DSGVO sieht nach Art. 83 DSGVO Geldstrafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist. Diese Sanktionen können existenzbedrohend sein, insbesondere für kleinere Unternehmen.
- Untersagung der Datenverarbeitung: In besonders gravierenden Fällen kann die Behörde die Verarbeitung personenbezogener Daten vorübergehend oder dauerhaft untersagen. Dies kann den Geschäftsbetrieb eines Unternehmens erheblich beeinträchtigen, insbesondere wenn es stark auf Datenverarbeitung angewiesen ist.
- Veröffentlichung der Sanktion: Die Behörde kann auch beschließen, ihre Maßnahmen öffentlich bekannt zu machen, was zu einem erheblichen Imageschaden für das betroffene Unternehmen führen kann.
5. Fazit: DSGVO-Compliance ist wichtiger denn je
Die Entscheidung des VG Ansbach ist alle Website Betreiber Anlass, noch einmal über eine Verbesserung des Datenschutzes nachzudenken. Behördliche Eingriffe sind noch wahrscheinlicher. Deshalb ist es jetzt noch wichtiger, die Datenschutzvorgaben soweit als möglich korrekt umzusetzen. Da die Datenschutzerklärung immer der sichtbare Teil Deiner Website ist, ist sie natürlich auch die offensichtlichste Angriffsfläche. Sie sollte daher immer zutreffend und aktuell sein, um Beschwerden und mögliche Sanktionen zu vermeiden. Investitionen in datenschutzkonforme Prozesse und Systeme sind daher noch wichtiger geworden, um langfristig rechtssicher zu agieren und unangenehme Auseinandersetzungen mit der Datenschutzaufsicht zu vermeiden.
Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.