Kann eine nicht funktionierende E-Mail-Adresse für Datenschutzanfragen zu einem empfindlichen Bußgeld führen? Das Bundesverwaltungsgericht (BVerwG) in Österreich hat diese Frage mit einem klaren „Ja“ beantwortet und eine Geldbuße von 15.000 Euro bestätigt. Das Urteil vom 28. März 2025 (Az.: W298 2285480-1/10E) ist ein dringender Weckruf für alle Unternehmen, die grundlegenden DSGVO-Pflichten ernst zu nehmen.
Der Fall: Unerreichbar für Kunden und Behörden
Ein Unternehmen hatte auf seiner Website eine spezielle E-Mail-Adresse für Datenschutzanliegen angegeben. Als ein Kunde über diese Adresse die Löschung seiner Daten verlangte, kam die Nachricht nie an – die Mailbox war nicht funktionsfähig. Erst nach mehrfacher Aufforderung und der Einschaltung der Datenschutzbehörde reagierte die Firma und löschte die Daten. Doch damit nicht genug: Auf weitere Schreiben der Behörde reagierte das Unternehmen gar nicht und versäumte es, seine Datenschutzerklärung anzupassen. Die Behörde verhängte daraufhin ein Bußgeld von 15.000 Euro.
Die Entscheidung des Gerichts: Vorsätzlicher Verstoß und mangelnde Kooperation
Das BVerwG Österreich stufte das Bußgeld als rechtmäßig und angemessen ein. Das Unternehmen habe gleich gegen mehrere Kernpflichten der DSGVO verstoßen:
- Verstoß gegen Art. 12 Abs. 2 DSGVO: Das Unternehmen hat es dem Kunden nicht erleichtert, seine Rechte (hier: auf Löschung) auszuüben.
- Verstoß gegen Art. 12 Abs. 3 & Art. 17 DSGVO: Auf den Antrag wurde nicht innerhalb der vorgeschriebenen Frist von einem Monat reagiert.
- Verstoß gegen Art. 31 DSGVO: Die Zusammenarbeit mit der Aufsichtsbehörde wurde verweigert.
Besonders schwer wog für das Gericht, dass das Unternehmen vorsätzlich gehandelt habe (sog. dolus eventualis). Es habe die Rechtsverletzung für möglich gehalten und sich damit abgefunden. Weder im Verfahren vor der Behörde noch vor dem Gericht zeigte das Unternehmen Kooperationsbereitschaft oder den Willen, die Mängel zu beheben.
Was bedeutet dieses Urteil für Ihr Unternehmen?
- Funktionsfähige Kontaktpunkte sind Pflicht: Eine angegebene E-Mail-Adresse oder ein Kontaktformular für Datenschutzanfragen ist kein „Nice-to-have“, sondern eine kritische, funktionale Anforderung. Die technische Erreichbarkeit muss jederzeit sichergestellt und regelmäßig überprüft werden.
- Ignorieren ist die teuerste Option: Das Ignorieren von Anfragen Betroffener oder von Schreiben der Aufsichtsbehörden ist ein eigenständiger und schwerwiegender DSGVO-Verstoß, der Bußgelder drastisch erhöht.
- Kooperationspflicht ist nicht verhandelbar: Die Zusammenarbeit mit den Datenschutzbehörden (Art. 31 DSGVO) ist eine zentrale Pflicht. Mangelnde Kooperation wird als starkes Indiz für Vorsatz gewertet und wirkt sich bußgelderhöhend aus.
- Bußgeldhöhe auch bei kleineren Unternehmen: Das Gericht schätzte den Umsatz des Unternehmens, da dieses keine Angaben machte. Die Höhe von 15.000 Euro wurde als notwendig erachtet, um den „Unwertgehalt der Tat“ zu verdeutlichen und zukünftige Compliance zu erzwingen, obwohl es sich um den ersten Verstoß handelte.
FAQ: DSGVO-Pflichten & Kommunikation – Was Sie wissen müssen
- Brauche ich eine separate „ datenschutz@ …“ E-Mail-Adresse?
Nicht zwingend, aber Sie müssen einen klaren und leicht zugänglichen Kontaktpunkt für Betroffenenanfragen benennen (z.B. im Impressum und in der Datenschutzerklärung), der zuverlässig funktioniert und überwacht wird. - Innerhalb welcher Frist muss ich auf eine DSGVO-Anfrage reagieren?
Unverzüglich, spätestens aber innerhalb eines Monats nach Eingang des Antrags (Art. 12 Abs. 3 DSGVO). - Was passiert, wenn ich eine Anfrage für unberechtigt halte?
Auch dann müssen Sie innerhalb der Frist reagieren und der Person die Gründe für Ihre Ablehnung mitteilen und sie über ihre Rechtsmittel aufklären. - Wie wirkt sich mangelnde Kooperation auf ein Bußgeld aus?
Sie ist ein expliziter Faktor, der bei der Bemessung des Bußgeldes berücksichtigt wird (Art. 83 Abs. 2 lit. f DSGVO) und führt in der Regel zu einer deutlichen Erhöhung.
Fazit: Technische und organisatorische Basics sind das Fundament der DSGVO-Compliance
DSGVO-Verstöße beginnen nicht erst bei komplexen Datenpannen, sondern oft bei den absoluten Grundlagen. Eine nicht funktionierende E-Mail-Adresse und die Weigerung, mit Behörden zu kommunizieren, sind keine Kavaliersdelikte, sondern teure Fehler, die jedes Unternehmen vermeiden kann und muss.
