Datenschutzrechtliche Auskunftsanordnung gegenüber Unternehmen

Das Verwaltungsgericht Bremen entschied am 17. Dezember 2024 (Az. 4 K 2298/23) in einem Streit zwischen einem Marketingunternehmen und der Datenschutzaufsichtsbehörde über die Rechtmäßigkeit einer Auskunftsanordnung sowie einer Zwangsgeldandrohung. Der Fall bietet wichtige Einblicke in den Umgang mit datenschutzrechtlichen Anforderungen und zeigt, wie Unternehmen auf behördliche Prüfungen vorbereitet sein sollten, um weitreichende Konsequenzen zu vermeiden.

Ausgangslage

Das betroffene Marketingunternehmen hatte bis Mitte November 2023 zahlreiche E-Mails zu Werbezwecken verschickt. Eine Empfängerin beschwerte sich im Juli 2023 bei der Datenschutzaufsichtsbehörde, sie habe unerwünschte Werbe-E-Mails erhalten und keine Einwilligung dazu erteilt. Die Behörde forderte das Unternehmen zunächst zur Stellungnahme auf und verlangte Informationen über die verarbeiteten Daten sowie die Einwilligungen der betroffenen Personen. Nachdem das Unternehmen die Fristen verstreichen ließ und keine ausreichenden Nachweise vorlegte, erließ die Behörde im Dezember 2023 eine förmliche Anordnung.

Die Anordnung verpflichtete das Unternehmen, detaillierte Informationen zu den kontaktierten Personen und deren Einwilligungen vorzulegen. Gleichzeitig drohte die Behörde ein Zwangsgeld von 5.000 Euro je nicht erfüllter Anforderung an. Im Oktober 2024 setzte die Behörde schließlich ein Zwangsgeld in Höhe von 10.000 Euro fest, da das Unternehmen den Anforderungen nicht nachgekommen war.


Argumentation des Unternehmens

Das Unternehmen wehrte sich gegen die behördlichen Maßnahmen mit mehreren Argumenten:

  • Es habe die fraglichen Daten bereits gelöscht, was eine Erfüllung der Auskunftsanordnung unmöglich mache.
  • Die behördlichen Anforderungen seien unverhältnismäßig und führten selbst zu Datenschutzrisiken.
  • Aufgrund einer Änderung des Geschäftszwecks und des Sitzes des Unternehmens sei die Bremer Datenschutzaufsichtsbehörde nicht mehr zuständig.

Das Unternehmen reichte ein, um die Auskunftsanordnung und das Zwangsgeld aufzuheben.

Entscheidungsgründe des Gerichts

Das VG Bremen wies die Klage ab und bestätigte die Rechtmäßigkeit der Maßnahmen. Es argumentierte, dass die Behörde innerhalb ihrer gesetzlichen Befugnisse gehandelt habe, und wies die Vorwürfe des Unternehmens zurück.

Die Behörde war gemäß Art. 58 Abs. 1 lit. a) berechtigt, Auskunftsanordnungen zu erlassen, um mögliche Verstöße gegen datenschutzrechtliche Vorgaben zu untersuchen. Die Anordnung war geeignet, erforderlich und verhältnismäßig, um den Sachverhalt aufzuklären. Zudem hatte die Behörde mehrfach versucht, die notwendigen Informationen auf informellem Wege zu erhalten, bevor sie zu förmlichen Maßnahmen griff.

Die Behauptung, die fraglichen Daten seien gelöscht worden, konnte das Unternehmen nicht plausibel belegen. Es fehlten konkrete Nachweise, etwa Löschprotokolle oder Angaben zu den verwendeten Systemen und Zeitpunkten. Auch die vorgelegte „eidesstattliche Versicherung“ der Geschäftsführerin erfüllte weder inhaltlich noch formal die rechtlichen Anforderungen. Das Gericht bewertete die Behauptung als Schutzbehauptung ohne ausreichende Substanz.

Die Verhältnismäßigkeit der Zwangsgeldandrohung wurde ebenfalls bestätigt. Angesichts der wiederholten Weigerung des Unternehmens, die geforderten Informationen bereitzustellen, sei das Zwangsgeld ein angemessenes Mittel, um die Durchsetzung der Anordnung sicherzustellen.


Fazit

Das Urteil verdeutlicht, dass Unternehmen ihre datenschutzrechtlichen Pflichten ernst nehmen und eng mit Aufsichtsbehörden kooperieren sollten. Besonders die Nachweisführung ist zentral: Bei der Verarbeitung und Löschung personenbezogener Daten müssen Unternehmen detaillierte Dokumentationen vorlegen können. Fehlende Nachweise oder unzureichende Antworten können zu erheblichen rechtlichen und finanziellen Konsequenzen führen.

Für Unternehmen in der Geschäftsführung bedeutet dies, dass sie robuste Datenschutzprozesse und klare Verantwortlichkeiten implementieren müssen. Regelmäßige Schulungen und Audits können helfen, Verstöße zu vermeiden und auf behördliche Prüfungen vorbereitet zu sein. Letztlich zeigt dieser Fall, wie wichtig eine proaktive und transparente Zusammenarbeit mit Datenschutzbehörden ist, um Konflikte zu minimieren und das Unternehmensimage zu schützen.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.