Herzlich willkommen!
Im Workplace Blog schreiben wir über Themen aus der Workplace Law und HR Welt: Wir besprechen wichtige Gerichtsentscheidungen, nehmen uns Glaubenssätze vor, geben praktische Tipps und vieles mehr…
Unser Workplace Blog lebt von Ihren Kommentaren und Feedback. In diesem Sinne freuen wir uns auf den Austausch mit Ihnen!
Ihr PWWL-Redaktionsteam
In unserem Blog haben wir verschiedentlich darüber berichtet, dass die europäischen Datenschutzbehörden immer häufiger Bußgelder wegen Verstößen gegen die DSGVO, teils in empfindlicher Höhe, verhängen.
Zu den Vorschriften, die bußgeldbewehrt sind, gehört der Auskunftsanspruch aus Art. 15 DSGVO. Danach hat jede Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf weitere in Art. 15 Abs. 1 DSGVO aufgeführte Informationen.
Während die erste Stufe (werden Daten verarbeitet?) dieses zweistufigen Anspruchs relativ leicht mit ja oder nein zu beantworten ist, stellt die zweite Stufe (Auskunft über diese personenbezogenen Daten) Verantwortliche in der Praxis vor teils unlösbare Probleme. Oftmals fehlt es schon an der notwendigen organisatorischen Vorbereitung, den Auskunftsanspruch innerhalb der gesetzlichen Frist von einem Monat zu erfüllen. Eine weitere Schwierigkeit besteht darin, die Daten vollständig zu finden. Die personenbezogenen Daten finden sich an vielen Stellen in der betrieblichen IT. Nicht selten können diese nur mit erheblichen Schwierigkeiten vollständig zusammengetragen werden. Diese praktischen Probleme führen daher dazu, dass Auskunftsansprüche in der Praxis gar nicht oder zumindest fehlerhaft beantwortet werden.
Die Nichterfüllung des Auskunftsanspruchs ist ebenso wie die fehlerhafte Erfüllung bußgeldbewehrt. Einschlägig ist der hohe Bußgeldrahmen nach Art. 82 Abs. 5 DSGVO. Der Bußgeldrahmen zeigt, welche Bedeutung der Verordnungsgeber dem Auskunftsanspruch beimisst.
Verantwortliche haben aber ein weiteres Risiko:
Erfüllt der Verantwortliche den Auskunftsanspruch nicht oder nicht vollständig, kann die betroffene Person den Anspruch gerichtlich durchsetzen. Das geht relativ einfach, weil der Verantwortliche nahezu keine Möglichkeit hat, das Auskunftsbegehren abzulehnen. Hat die betroffene Person ein rechtskräftiges Urteil und erfüllt der Verantwortliche den Auskunftsanspruch dann immer noch nicht, kann die betroffene Person aus diesem Urteil vollstrecken. Nach § 888 Abs. 1 S. 1 ZPO erfolgt die Vollstreckung in diesem Fall durch Festsetzung eines Zwangsgelds. In einem vom AG Wertheim entschiedenen Fall wurde in einem solchen Fall ein Zwangsgeld von EUR 15.000,00 festgesetzt (AG Wertheim, Beschluss vom 12.12.2019 – 1 C 66/19).
Nicht bekannt ist, ob die zuständige Datenschutzbehörde zusätzlich ein Bußgeld nach Art. 82 Abs. 5 DSGVO festgesetzt hat oder noch festsetzen wird.
Die Entscheidung macht deutlich, dass bei Verstößen gegen die DSGVO mehrere Risiken gleichzeitig bestehen können. Datenschutz Compliance wird immer wichtiger.
