Die Unternehmensgruppe Unister muss dem Sächsischen Datenschutzbeauftragten umfassend Auskunft erteilen

Das Sächsische Oberverwaltungsgericht wies die Beschwerde gegen zwei Eilbeschlüsse (Az. 3 B 470/12 und Az. 3 B 104/12 vom 17. Juli 2013) des Verwaltungsgerichts Leipzig (Az. 5 L 1308/12 und Az. 5 L 1421/12) zurück, so dass Unister nun umfassend über den Datenschutz im eigenen Unternehmen Auskunft erteilen muss.

Hintergrund des Verfahrens war ein Auskunftsverlangen des Sächsischen Datenschutzbeauftragten also der datenschutzrechtlichen Aufsichtsbehörde in Sachsen an die Unternehmensgruppe Unister, welche online-Portale wie reisen.de, geld.de, auto.de oder die durch die Werbung bekannte Seite fluege.de betreibt. Der Sächsische Datenschutzbeauftragte ordnete im Rahmen des Verwaltungszwangs umfassende Auskünfte über die Erhebung, Nutzung und Verarbeitung personenbezogener Daten in der Unternehmensgruppe Unister an.

Unister weigerte sich zunächst die gewünschten Auskünfte zu erteilen, so dass der Sächsische Datenschutzbeauftragte mit Heranziehungsbescheiden die erbetenen Auskünfte zwangsweise einforderte. Verstöße gegen die Auskunftspflicht können gemäß § 43 Abs. 1 Nr. 10 i.V.m. § 43 Abs. 3 Satz 1 Bundesdatenschutzgesetz (BDSG) mit einem Bußgeld bis zu 50.000 Euro geahndet werden.

Gegen diese Anordnungen wehrte sich Unister im einstweiligen Rechtsschutzverfahren, scheiterte jedoch vor dem Verwaltungsgericht Leipzig, welches durch besagte Beschlüsse die Anträge von Unister zurückwies. Unister blieb als einziges Rechtsmittel nur noch die Beschwerde beim Sächsischen Oberverwaltungsgericht in Bautzen.

Das Oberverwaltungsgericht kam nach Prüfung der Sach- und Rechtslage zu dem Ergebnis, dass der Sächsische Datenschutzbeauftragte zu Recht die Auskünfte verlangte, da das Bundesdatenschutzgesetz die datenschutzrechtlichen Aufisichtsbehörden zur Einholung solcher Auskünfte ermächtigte.

Es könne auch kein Verstoß gegen den Verhältnismäßigkeitsgrundsatz festgestellt werden, da es keine mildere Mittel gibt, die Einhaltung der datenschutzrechtlichen Anforderungen durch Unister zu kontrollieren und die Auskunftserteilung würde Unister auch nicht über Gebühr belasten. Das Auskunftsverlangen des Datenschutzbeauftragten war dem Oberverwaltungsgericht nach auch nicht zu unbestimmt, was behauptetet wurde, da Unister schon erkennen können, welche Auskünfte in welchem Umfang zu erteilen sein.

Die Verfahren sind trotz dieser Beschlüsse, die unanfechtbar sind, noch nicht abgeschlossen, denn es wurde auch Klage von Unister gegen die Anordnungen erhoben. Die Entscheidungen des Oberverwaltungsgerichts bestätigten jedoch die sofortige Vollziehbarkeit der ursprünglichen Verfügung der Aufsichtsbehörde. Dies bedeutet, dass trotz der anhängigen Klagen gegen die Anordnungen, die Auskünfte sofort zu erteilen sind. Das Gericht machte deutlich, dass es für Unister sonst möglich sein würde, sich dem Auskunftsverlangen für längere Zeit zu entziehen. Dies mache die Einhaltung des Datenschutzes nicht mehr ausreichend effektiv.

Unister genoss im Übrigen in vielerlei Hinsicht die Aufmerksamkeit des Sächsischen Datenschutzbeauftragten.

Ursprünglich verlangte die Aufsichtsbehörde neben den Auskünften auch noch, dass Unister einen betrieblichen Datenschutzbeauftragten bestellen sollte. Unister hatte zwar jemanden mit dieser Funktion betraut, dies war jedoch ein Miteigentümer (Gesellschafter).

Ein betrieblicher Datenschutzbeauftragter wird wirksam jedoch nur dann bestellt, wenn er nicht wegen anderer Interessen daran gehindert ist, seine Funktion zuverlässig und unabhängig auszuüben. Dies hängt damit zusammen, dass der betriebliche Datenschutzbeauftragte weisungsfrei seine Aufgaben, notfalls auch der Geschäftsführung gegenüber erfüllen können soll. Ein Miteigentümer ist jedoch schon aufgrund seiner wirtschaftlichen Interessen, die im Widerspruch zur Einhaltung des Datenschutzes stehen können, in einem Interessenkonflikt.

In solchen Fällen ist die Bestellung eines Datenschutzbeauftragten unwirksam. Der Sächsische Datenschutzbeauftragte ordnete daher an, dass Unister einen betrieblichen Datenschutzbeauftragten bestellen müsse, wogegen Unister sich ebenfalls gerichtlich wehrte. Kurz bevor das Gericht jedoch zu einer Entscheidung kommen konnte, wurde eine andere Person zum betrieblichen Datenschutzbeauftragten bestellt, man kam also einer Entscheidung somit zuvor. Es ist wenig bekannt, dass eine wenn auch fahrlässig erfolgte unwirksame Bestellung eines betrieblichen Datenschutzbeauftragten ein Bußgeld in Höhe bis zu 50.000 € mit sich bringen kann gemäß § 43 Abs. 1 Nr. 2 i.V.m. § 43 Abs. 3 S. 1 BDSG.

Es hat außerdem ein Datenleck bei Buchungen über das von Unister betriebene Portal www.urlaubstours.de gegebenen:

Dem Sächsischen Datenschutzbeauftragten waren im Zusammenhang mit Ryanair-Flugbuchungen Sicherheitslücken öffentlich bekannt geworden. Die Aufsichtsbehörde ordnete sofort die Schließung dieser Sicherheitslücken an, dass mittlerweile erfolgt sein soll. Die unbefugte Übermittlung personenbezogener Daten stellt eine Ordnungswidrigkeit dar und kann sogar mit einem Bußgeld bis zu 300.000 € geahndet werden (§ 43 Abs. 2 Nr. 1 i.V.m. § 43 Abs. 1 S. 1 BDSG).

 
1 Star2 Stars3 Stars4 Stars5 Stars (Noch keine Bewertungen)
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen