15.000 Euro Zwangsgeld für mangelhafte DSGVO-Auskunft

Verstoßen Verantwortliche gegen Regeln der Datenschutzgrundverordnung, drohen verschiedene Konsequenzen. Während bislang noch immer nicht klar ist, ob beispielsweise Mitbewerber bestimmte Verstöße abmahnen können, wurden Bußgelder durch Behörden bereits häufiger verhängt. Das Amtsgericht Wertheim hat nun in einem Fall außerdem ein Zwangsgeld in Höhe von 15.000 Euro gegen eine Beklagte ausgesprochen, wie delegedata weiß. Sie war offenbar ihrer Pflicht, einem Betroffenen Auskunft über dessen verarbeitete Daten zu erteilen, nicht ausreichend nachgekommen.

Informationen über Daten waren nicht vollständig

Zu einem Zwangsgeld kommt es in der Regel nicht ohne weiteres. Es ist ein Mittel für Behörden und Gerichte, eine Verhaltenspflicht durchzusetzen - also jemanden zu einem Verhalten zu zwingen. Im bürgerlichen Recht kann es verhängt werden, wenn jemand etwas tun soll, das allein von seinem Willen abhängt, und das kein anderer für ihn erfüllen kann. Ein Beispiel dafür kann die Auskunftspflicht der DSGVO sein. Betroffene können diesen rechtlichen Anspruch natürlich auch gerichtlich geltend machen. Das war hier im Fall vor dem Amtsgericht Wertheim (Beschluss v. 12.12.2019, Aktenzeichen 1 C 66/19) passiert, und das beklagte Unternehmen war zur Auskunftserteilung verpflichtet worden. Nachgekommen war es dieser Pflicht im Anschluss jedoch offenbar nicht, oder zumindest nicht ausreichend.

Was war das Problem? Nach Auffassung des Amtsgerichts Wertheim war die Auskunft in mehreren Punkten unvollständig. Was der Auskunftsanspruch inhaltlich umfassen muss, regelt Art. 15 Abs. 1 DSGVO. Für den Einzelfall kann der Umfang der notwendigen informationen unterschiedlich sein. So gibt das Gesetz beispielsweise für den Fall, dass die Daten über eine Person nicht bei dieser selbst erhoben wurden, sondern aus anderer Quelle stammen, dem Betroffenen sämtliche verfügbaren Informationen über die Herkunft der Daten zu geben. Außerdem besagt die DSGVO, dass Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt werden müssen. 

Die Beklagte hatte zum Punkt der Datenherkunft nun eine Firma genannt, in Klammern und mit „z.B.“ aufgeführt, wie delegedata berichtet. Hier sah das Gericht eines der Probleme: Wirklich klar sei diese Angabe nicht. Der Betroffene könnte daraus schließen, dass seine Daten ursprünglich von dieser Firma stammen, müsse es aber nicht, und könnte es am Ende auch nicht sicher wissen.

Übermittelt von Dritten: Wo kommen die Daten her?

Ein weiteres Problem betraf den Inhalt der Auskunft. Nach Auffassung des Gerichts reichte es hier nämlich nicht aus, einfach nur das Unternehmen zu nennen, das die Daten ursprünglich übermittelt hatte. Es sei auch nötig, die übermittelten Daten selbst zu nennen. Insofern würde es hier nicht ausreichen mitzuteilen, dass etwa ein Geburtsdatum übermittelt wurde. Es müsste schon angegeben werden, welches Geburtsdatum. Darüber hinaus sei es auch nötig, den Zeitpunkt zu nennen, zu welchem dem hier verantwortlichen Unternehmen die Daten des Betroffenen übermittelt wurden. 

Das Amtsgericht Wertheim stellt in seinem Beschluss offenbar also recht genaue Anforderungen auf, die an eine Auskunftserteilung über persönliche Daten nach der DSGVO gemacht werden. Das Thema der Herkunft der Daten ist dabei dann relevant, wenn der Betroffene diese nicht selbst zur Verfügung gestellt hat, sondern sie beispielsweise aus einer Auskunftei stammen. Wird ein Auskunftsersuchen von einem Betroffenen gestellt, sollte darauf geachtet werden, die Daten (auch inhaltlich) möglichst präzise anzugeben und nicht auf Beispiele zu setzen. Gleichzeitig sollte dann, zumindest nach der Auffassung des AG Wertheim, auch der Zeitpunkt angegeben werden können, zu dem man als Verantwortlicher entsprechende Daten erhalten hat. Ob sich diese, gegenüber Unternehmen recht strenge Anforderung aber auch in anderen gerichtlichen Verfahren bewähren wird, bleibt abzuwarten.