14.04.2025
Zurück zur Übersicht
Zurück zur Übersicht
14.04.2025

Bußgeld wegen Betroffenenanfrage

Keine wirksame Kontaktmöglichkeit – Bußgeld für unzureichende Bearbeitung von Betroffenenanfragen

Die spanische Datenschutzbehörde (AEPD) hat mit Beschluss vom 20.03.2024 ein Unternehmen zur Zahlung eines Bußgeldes in Höhe von 7.000 EUR verpflichtet. Grund war die unzureichende Bearbeitung eines Löschersuchens nach Art. 17 DSGVO und die fehlende wirksame Kontaktmöglichkeit für betroffene Personen. Der Fall verdeutlicht einmal mehr, welche Anforderungen an die Ausgestaltung der Kommunikation mit Betroffenen gestellt werden.

Sachverhalt

Der betroffene Nutzer hatte beim Verantwortlichen die Löschung seines Kundenkontos beantragt. Dies geschah vor dem Hintergrund, dass das Konto mutmaßlich durch Dritte kompromittiert worden war. Der Antrag wurde über die vorhandene Plattform eingereicht – eine direkte E-Mail-Adresse oder andere spezifische Kontaktmöglichkeit für Datenschutzanfragen war nicht öffentlich verfügbar.

Nach Absenden der Anfrage erhielt der Betroffene lediglich automatisierte Rückmeldungen im Rahmen eines generischen Ticketsystems, jedoch keine individuelle Bearbeitung seines Anliegens. Die Löschung wurde auch nach mehrmaliger Nachfrage nicht durchgeführt. Daraufhin wandte sich der Betroffene an die AEPD.

Entscheidung der AEPD

Die Behörde stellte fest, dass der Verantwortliche mehrere datenschutzrechtliche Pflichten verletzt hatte:

  • Art. 12 Abs. 1 DSGVO – Die Kommunikation mit der betroffenen Person war nicht in klarer und verständlicher Form ausgestaltet.

  • Art. 12 Abs. 2 DSGVO – Die betroffene Person wurde bei der Ausübung ihrer Rechte nicht in angemessener Weise unterstützt.

  • Art. 5 Abs. 1 lit. a und d DSGVO – Es fehlte an Transparenz sowie an der gebotenen Richtigkeit und Löschung der gespeicherten Daten.

Das Unternehmen habe sich darauf verlassen, dass der Betroffene sein Anliegen über ein allgemeines Supportsystem adressiere. Dieses sei jedoch nicht geeignet, um Datenschutzanliegen im Sinne der DSGVO zu bearbeiten. Der Einsatz automatisierter Rückmeldungen ohne tatsächliche Prüfung stelle keine ausreichende Antwort auf ein Löschersuchen dar.

Die AEPD verhängte ein Bußgeld in Höhe von 7.000 EUR und ordnete die Umsetzung geeigneter Maßnahmen an, um künftig DSGVO-konforme Kommunikationswege sicherzustellen.

Einordnung und Praxisrelevanz

Die Entscheidung unterstreicht die Bedeutung einer klaren und erreichbaren Anlaufstelle für Betroffene. Dabei geht es nicht nur um das „Ob“, sondern auch um das „Wie“:

  • Ein reines Ticketsystem genügt den Anforderungen nicht, wenn keine persönliche Bearbeitung erfolgt.

  • Unternehmen müssen sicherstellen, dass Datenschutzanfragen nicht nur technisch erfasst, sondern auch inhaltlich angemessen bearbeitet werden.

  • Die Erreichbarkeit über eine klar bezeichnete E-Mail-Adresse oder ein spezifisches Kontaktformular für Datenschutzanliegen ist geboten.

  • Zudem ist auf eine zeitnahe und individuelle Kommunikation zu achten – automatische Antworten allein sind nicht ausreichend.

Die AEPD hebt in ihrer Begründung hervor, dass unwirksame Kommunikationskanäle strukturelle Verstöße darstellen können, die über Einzelfehler hinausgehen. Dies kann bei einer Prüfung durch Aufsichtsbehörden zu entsprechenden Sanktionen führen.

Verantwortliche sollten überprüfen, ob ihre derzeitige Umsetzung der Betroffenenrechte insbesondere in Bezug auf Zugänglichkeit und Bearbeitungsqualität den Anforderungen der DSGVO entspricht. Die Entscheidung der AEPD macht deutlich, dass bloße formale Kontaktmöglichkeiten oder automatisierte Antworten nicht ausreichen, um die Rechte der betroffenen Personen wirksam zu gewährleisten.

Sind Sie sicher, dass Ihr Unternehmen im Hinblick auf Datenschutz und Datensicherheit optimal aufgestellt ist?

Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks