Das Verwaltungsgericht Bremen entschied am 17. Dezember 2024 (Az. 4 K 2298/23) in einem Streit zwischen einem Marketingunternehmen und der Datenschutzaufsichtsbehörde über die Rechtmäßigkeit einer Auskunftsanordnung sowie einer Zwangsgeldandrohung. Der Fall bietet wichtige Einblicke in den Umgang mit datenschutzrechtlichen Anforderungen und zeigt, wie Unternehmen auf behördliche Prüfungen vorbereitet sein sollten, um weitreichende Konsequenzen zu vermeiden.
Ausgangslage
Das betroffene Marketingunternehmen hatte bis Mitte November 2023 zahlreiche E-Mails zu Werbezwecken verschickt. Eine Empfängerin beschwerte sich im Juli 2023 bei der Datenschutzaufsichtsbehörde, sie habe unerwünschte Werbe-E-Mails erhalten und keine Einwilligung dazu erteilt. Die Behörde forderte das Unternehmen zunächst zur Stellungnahme auf und verlangte Informationen über die verarbeiteten Daten sowie die Einwilligungen der betroffenen Personen. Nachdem das Unternehmen die Fristen verstreichen ließ und keine ausreichenden Nachweise vorlegte, erließ die Behörde im Dezember 2023 eine förmliche Anordnung.
Die Anordnung verpflichtete das Unternehmen, detaillierte Informationen zu den kontaktierten Personen und deren Einwilligungen vorzulegen. Gleichzeitig drohte die Behörde ein Zwangsgeld von 5.000 Euro je nicht erfüllter Anforderung an. Im Oktober 2024 setzte die Behörde schließlich ein Zwangsgeld in Höhe von 10.000 Euro fest, da das Unternehmen den Anforderungen nicht nachgekommen war.
Argumentation des Unternehmens
Das Unternehmen wehrte sich gegen die behördlichen Maßnahmen mit mehreren Argumenten:
- Es habe die fraglichen Daten bereits gelöscht, was eine Erfüllung der Auskunftsanordnung unmöglich mache.
- Die behördlichen Anforderungen seien unverhältnismäßig und führten selbst zu Datenschutzrisiken.
- Aufgrund einer Änderung des Geschäftszwecks und des Sitzes des Unternehmens sei die Bremer Datenschutzaufsichtsbehörde nicht mehr zuständig.
Das Unternehmen reichte Klage ein, um die Auskunftsanordnung und das Zwangsgeld aufzuheben.
Entscheidungsgründe des Gerichts
Das VG Bremen wies die Klage ab und bestätigte die Rechtmäßigkeit der Maßnahmen. Es argumentierte, dass die Behörde innerhalb ihrer gesetzlichen Befugnisse gehandelt habe, und wies die Vorwürfe des Unternehmens zurück.
Die Behörde war gemäß Art. 58 Abs. 1 lit. a) DSGVO berechtigt, Auskunftsanordnungen zu erlassen, um mögliche Verstöße gegen datenschutzrechtliche Vorgaben zu untersuchen. Die Anordnung war geeignet, erforderlich und verhältnismäßig, um den Sachverhalt aufzuklären. Zudem hatte die Behörde mehrfach versucht, die notwendigen Informationen auf informellem Wege zu erhalten, bevor sie zu förmlichen Maßnahmen griff.
Die Behauptung, die fraglichen Daten seien gelöscht worden, konnte das Unternehmen nicht plausibel belegen. Es fehlten konkrete Nachweise, etwa Löschprotokolle oder Angaben zu den verwendeten Systemen und Zeitpunkten. Auch die vorgelegte „eidesstattliche Versicherung“ der Geschäftsführerin erfüllte weder inhaltlich noch formal die rechtlichen Anforderungen. Das Gericht bewertete die Behauptung als Schutzbehauptung ohne ausreichende Substanz.
Die Verhältnismäßigkeit der Zwangsgeldandrohung wurde ebenfalls bestätigt. Angesichts der wiederholten Weigerung des Unternehmens, die geforderten Informationen bereitzustellen, sei das Zwangsgeld ein angemessenes Mittel, um die Durchsetzung der Anordnung sicherzustellen.
Fazit
Das Urteil verdeutlicht, dass Unternehmen ihre datenschutzrechtlichen Pflichten ernst nehmen und eng mit Aufsichtsbehörden kooperieren sollten. Besonders die Nachweisführung ist zentral: Bei der Verarbeitung und Löschung personenbezogener Daten müssen Unternehmen detaillierte Dokumentationen vorlegen können. Fehlende Nachweise oder unzureichende Antworten können zu erheblichen rechtlichen und finanziellen Konsequenzen führen.
Für Unternehmen in der Geschäftsführung bedeutet dies, dass sie robuste Datenschutzprozesse und klare Verantwortlichkeiten implementieren müssen. Regelmäßige Schulungen und Audits können helfen, Verstöße zu vermeiden und auf behördliche Prüfungen vorbereitet zu sein. Letztlich zeigt dieser Fall, wie wichtig eine proaktive und transparente Zusammenarbeit mit Datenschutzbehörden ist, um Konflikte zu minimieren und das Unternehmensimage zu schützen.
- D&O-Versicherung und das automatische Vertragsende bei Insolvenz - 23. Januar 2025
- Sozialversicherungsbeiträge im Wirtschaftsstrafrecht - 23. Januar 2025
- Jugendstrafrecht und seine Anwendung - 23. Januar 2025