Zum Inhalt springen Zur Navigation springen
Unister: Urteil bestätigt Auskunftspflicht ggü. Landesdatenschutzbeauftragten

Unister: Urteil bestätigt Auskunftspflicht ggü. Landesdatenschutzbeauftragten

Schon häufiger haben wir an dieser Stelle über die eher fragwürdige Rechtsauffassung der Unister-Gruppe (u.a. ab-in-den-urlaub.de, fluege.de, hotelreservierung.de, reisen.de) berichtet (vgl.: Kein Datenschutzbeauftragter? Ab-in-den-Knast.de; Unister erneut am Pranger; Unister am Pranger: Auch beim Datenschutz Verbesserungsbedarf ).

Nun fiel die Unister-Gruppe erneut wegen ihres Verständnisses von Datenschutz auf, das ihr sogar eine Schlappe vor Gericht einbrachte.

Was war passiert?

Bereits im vergangenen Jahr hatte der sächsische Datenschutzbeauftragte, Andreas Schurig, die Unister-Unternehmensgruppe – genauer die Mutter-Firma sowie eine Tochter – aufgefordert, ihm zur Ermöglichung einer Tiefenprüfung gem. § 38 Abs. 3 BDSG der Datenverarbeitung innerhalb der Unister-Gruppe umfassend Auskunft zu erteilen über die durch die Unternehmen erhobenen, verarbeiteten und gespeicherten personenbezogenen Daten ihrer Nutzer.

Das Auskunftsverlangen wurde zudem vom sächsischen Landesdatenschutzbeauftragten als sofort vollziehbar erklärt (vgl.: § 80 Abs. 2 Ziffer 4 VwGO). Die Unister-Gruppe hatte diese Verpflichtung, wie es der sächsische Datenschutzbeauftragte in seiner Presseerklärung vom 24.07.2013 mitteilte,

teils dem Grunde nach, teils dem Umfang nach

abgelehnt und versucht, im Klagewege sowie Rahmen des einstweiligen Rechtsschutzes gem. § 80 Abs. 5 VwGO gegen den Auskunftsbescheid vorzugehen.

Wesentliche Argumente hierfür waren offenbar:

  • Eine derart umfassende Auskunftsplicht der Unsiter-Gruppe bestehe nicht
  • Das Auskunftsersuchen sei zu unbestimmt
  • Die Anordnung der sofortige Vollziehung sei unangemessen und bedeute eine Vorwegnahme der Hauptsache

Das Verfahren

Bereits mit Beschlüssen vom 03.012.2012 (Az.: 5 L 1308/12) und 11.12.2012 (5 L 1421/12) hatte das Verwaltungsgericht Leipzig die Widerherstellung der aufschiebenden Wirkung gemäß § 80 Abs. 5 VwGO abgelehnt und die Auskunftspflicht der Unister-Gruppe gemäß § 38 Absatz 3 Satz 1 BDSG bestätigt.

Hiergegen hatte die Unister-Gruppe Beschwerde zum Sächsischen OVG in Bautzen eingereicht. Nunmehr hat auch das im Beschwerdewege angerufene Sächsische Oberverwaltungsgericht mit Beschluss vom 17.07.2013 (Az.: 3B470/12) diese Entscheidungen VG Leipzig umfassend bestätigt.

Zu seiner Entscheidung führte das OVG in seiner Pressemitteilung vom 24.07.2013 aus,

Bei eingehender Prüfung der Sach- und Rechtslage, so das Sächsische Oberverwaltungsgericht, sei davon auszugehen, dass die Auskünfte zu Recht verlangt und die erhobenen Klagen erfolglos bleiben werden. Das Bundesdatenschutzgesetz ermächtige den Datenschutzbeauftragten zur Einholung so umfassender Auskünfte. Dies sei auch geeignet, erforderlich und verhältnismäßig, um die Einhaltung des Datenschutzes bei Unister zu kontrollieren. Weder gebe es mildere Mittel noch belaste der Aufwand für die umfassende Auskunftserteilung angesichts der Unternehmensgröße Unister über Gebühr.

Anders als Unister meine, sei das Auskunftsverlangen auch bestimmt genug formuliert. Unister könne erkennen, welche Auskünfte in welchem Umfang zu erteilen seien. Die bisher gegebenen Auskünfte seien hingegen unzureichend. Das Auskunftsverlangen müsse auch sofort vollziehbar sein. Sonst könne sich Unister durch Klageerhebung für längere Zeit der Auskunftspflicht entziehen. Die Einhaltung des Datenschutzes wäre dann bei Unister nicht mehr effektiv zu kontrollieren.

Die Entscheidungen sind rechtskräftig. Eine Entscheidung im Hauptsacheverfahren steht allerdings noch aus.

Das Ergebnis

Die Unister-Gruppe muss nun, mangels aufschiebender Wirkung des Hauptsacheverfahrens, zumindest vorläufig die geforderten Auskünfte erteilen. Diese will der Landesdatenschutzbeauftragte nach eigenen Angaben schnellstmöglich einholen und sein Prüfungsverfahren nun fortsetzen. Verstöße gegen die Auskunftspflicht können mit einem Bußgeld bis zu 50 000 Euro geahndet werden (§ 43 Abs. 1 Nr. 10 i. V. m. § 43 Abs. 3 Satz 1 Bundesdatenschutzgesetz – BDSG).

Bei Fragen zur Reichweite und Bedeutung der datenschutzrechtlichen Verpflichtungen fragen sie doch einfach Ihren betrieblichen Datenschutzbeauftragten.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.