Funktioniert die E-Mail-Adresse eines Unternehmens, unter der die Betroffenen ihre DSGVO-Rechte (z.B. Löschung oder Auskunft) geltend machen können, über längere Zeit nicht, liegt hierin eine Datenschutzverletzung. Die Verhängung einer Geldbuße iHv. 15.000,- EUR ist angemessen (BVerwG Österreich, Urt. v. 28.03.2025 - Az.: W298 2285480-1/10E).
Das betroffene Unternehmen nannte auf seiner Webseite eine spezielle elektronische Mail-Adresse, an die User ihre datenschutzrechtlichen Belange richten konnten.
Ein Kunde verlangte u.a. die Löschung seiner Daten. Diese Nachricht erreichte die Beklagte jedoch nicht, da die digitale Kontaktadresse nicht funktionierte.
Erst nach mehreren Aufforderungen und nach Einschaltung der zuständigen Datenschutzbehörde erfolgte schließlich die Entfernung der Kunden.
Auf weitere Schreiben der Datenschutzbehörde reagierte die Firma nicht und passte auch ihre Datenschutzerklärung nicht an.
Die Datenschutzbehörde verhängte daraufhin aufgrund des gesamten Sachverhalts ein Bußgeld iHv. 15.000,- EUR. Dagegen wehrte sich das Unternehmen.
Das BVerwG bewertete den Bußgeldbescheid als rechtmäßig.
Das Unternehmen habe gegen mehrere DSGVO-Normen mit seinem Verhalten verstoßen:
"Die Beschwerdeführerin hat als Verantwortliche gegen ihre Pflicht gemäß Art. 12 Abs. 2 DSGVO verstoßen, der betroffenen Person die Ausübung ihrer Rechte gemäß den Art. 15 bis 22 DSGVO zu erleichtern.
Weiter liegt ein Verstoß gegen ihre Pflicht gemäß Art. 12 Abs. 3 DSGVO iVm. Art. 17 DSGVO, der betroffenen Person Informationen in Bezug auf einen Antrag gemäß den Art. 15 bis 22 DSGVO unverzüglich, jedoch jedenfalls innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen.
Außerdem hat die Beschwerdeführerin gegen ihre Pflicht verstoßen, gemäß Art. 31 DSGVO mit der belangten Behörde auf Anfrage bei der Erfüllung ihrer Aufgaben zusammenzuarbeiten.
Auch im Verfahren vor dem Bundesverwaltungsgericht hat die Beschwerdeführerin in keiner Phase des Verfahrens mitgewirkt."
Und weiter:
"Die Beschwerdeführerin kam den Anforderungen dennoch nicht nach und hat dadurch die Verwirklichung der gegenständlichen Verwaltungsübertretung ernstlich für möglich gehalten und hat sich jedoch damit abgefunden (dolus eventualis).
Die belangte Behörde nahm daher richtiger Weise eine vorsätzliche Tathandlung durch die Beschwerdeführerin an.
Auch im Verfahren vor dem Bundesverwaltungsgericht war keinerlei Willen zur Mitwirkung oder zur Minderung der Folgen der vorgeworfenen Rechtsverletzung zu erkennen."
Hinsichtlich der Höhe des verhängtes Bußgeldes führen die Richter aus:
"Mangels Bekanntgabe der Beschwerdeführerin zu Einkommens- und Vermögensverhältnissen wurde der Umsatz anhand des jährlichen Bilanzgewinnes geschätzt und unter Unternehmungen bis zu einem Umsatz von unter 2.000.000,-- EUR subsumiert. (…)
Für die zukünftige Einhaltung der DSGVO seitens der Beschwerdeführerin erscheint die Strafe in Anbetracht dessen, dass die Beschwerdeführerin weder im (Straf)Verfahren vor der belangten Behörde noch beim Bundesverwaltungsgericht mitgewirkt hat und die Datenschutzerklärung immer noch nicht geändert wurde verhältnismäßig und notwendig. Es handelt sich jedoch um den ersten einschlägigen Verstoß. (…)
Dennoch erscheint die Geldbuße erforderlich, um den Unwertgehalt der Tat zu verdeutlichen und in der Sphäre der Beschwerdeführerin eine zukünftige Kooperation mit Behörden und Einhaltung der datenschutzrechtlichen Pflichten gegenüber betroffenen Personen zu gewährleisten. Insbesondere ist die Erleichterung der Ausübung der Betroffenenrechte und die Kooperation mit der Datenschutzbehörde ein Kernstück der datenschutzrechtlichen Pflichten nach der DSGVO und ein schuldhafter Verstoß gegen die Möglichkeit der Einhaltung der Pflichten nach der DSGVO als nicht geringfügig anzusehen."