Aktuelles:

15.000 Euro Zwangsgeld: Art. 15 DSGVO ist durchaus „ernst gemeint“

17. Januar 2020

Das Inkrafttreten der EU-Datenschutz-Grundverordnung wurde weithin als Untergang des Abendlands empfunden. So viel Aufwand, so viele Anforderungen – wie sollte das in den Unternehmensalltag gerade bei kleinen und mittleren Unternehmen umzusetzen sein? Daneben wurde auch intensiv diskutiert, wie „ernst“ die Datenschutzaufsichtsbehörden und Gerichte die Regelungen der DSGVO im Streitfall nehmen würden. Würde wirklich jeder Verstoß gegen die DSGVO mit Millionenbußgeldern sanktioniert werden?

Die Entscheidung des Amtsgerichts Wertheim vom 12. Dezember 2019 (Az. 1 C 66/19) zeigt nun: Ja, Sanktionen bei DSGVO-Verstößen sind eindeutig ernst zu nehmen!  

Der Fall

Der Entscheidung des Amtsgerichts Wertheim ging ein Anerkenntnisurteil voraus, durch welches das beklagte Unternehmen gegenüber dem Kläger als betroffener Person zu einer Auskunftserteilung gemäß Art. 15 Abs. 1 DSGVO verurteilt wurde. Aus Sicht der Klägers waren ihm die daraufhin zur Verfügung gestellten Informationen aber nicht dazu geeignet, den Auskunftsanspruch zu erfüllen. Auf Antrag des Klägers nach § 888 Abs. 1 ZPO wurde daher schließlich zur Erzwingung der DSGVo-konformen Auskunftserteilung gegen das Unternehmen ein Zwangsgeld von EUR 15.000,00 festgesetzt.

Die Entscheidung

Das Gericht stützt seine Entscheidung auf einen Verstoß gegen Art. 15 Abs. 1 lit. g) i.V.m. Art. 12 Abs. 1 DSGVO. Das beklagte Unternehmen habe die geschuldete Handlung (also die Auskunft) nicht vollständig ausgeführt. Insbesondere habe es nicht alle verfügbaren Informationen über die Herkunft nicht bei dem Kläger erhobener Daten mitgeteilt. Die bereits erteilte Auskunft sei offensichtlich nicht vollständig und darüber hinaus inhaltlich falsch. Insgesamt genüge diese nicht den Anforderungen einer „präzisen, transparenten, verständlichen und leicht zugänglichen Form in einer klaren und einfachen Sprache“ gemäß Art. 12 Abs. 1 S. 1 DSGVO.

Im Einzelnen führt das Gericht aus, die Auskunftserteilung hinsichtlich der Herkunft personenbezogener Daten unter der Verwendung des Zusatzes „z.B.“ sei insoweit irreführend, als dass der Adressat des Schreibens keine eindeutige Erkenntnis daraus gewinnen kann, ob die Daten tatsächlich durch das angegebene Unternehmen übermittelt wurden oder nicht.

Des Weiteren sei in der Auskunft nicht nur die Art der verarbeiteten personenbezogenen Daten anzugeben. Erforderlich sei vielmehr, dass diese personenbezogenen Daten auch ganz konkret benannt werden. Die Auskunftspflicht umfasse nämlich auch die Information, wann und mit welchem Inhalt personenbezogene Daten von wem an den Verantwortlichen übermittelt wurden.

Konsequenzen für die Praxis

Der Ausgangspunkt ist klar: Mehrere gerichtliche Entscheidungen aus dem Jahr 2019 zeigen, dass der Auskunftsanspruch aus Art. 15 Abs. 1 DSGVO der betroffenen Person gerade die Beurteilung des Umfangs und des Inhalts der verarbeiteten personenbezogenen Daten ermöglichen soll (AG München vom 4. September 2019, Az. 155 C 1510/18; LG Köln vom 19. Juni 2019, Az. 26 S 13/18; sinngemäß OLG Köln vom 26. Juli 2019, Az. 20 U 75/18; LG Landau/Pf. vom 17. September 2019, Az. 4 O 389/17).

Macht eine betroffene Person einen Auskunftsanspruch geltend, müssen Unternehmen deshalb stets genaue Informationen, die auf die zu dieser Personen verarbeiteten personenbezogenen Daten bezogen sind, zur Verfügung zu stellen. Die Verwendung von Allgemeinplätzen oder nur beispielhaften Angaben können somit einen Verstoß gegen Art. 15 DSGVO begründen. Dies stellt eine klare Hürde für den Automatisierungsgrad der Erstellung von Informationsschreiben dar.