Die griechische Datenschutzbehörde (Hellenic Data Protection Authority, HDPA) verhängte am 16. September 2024 ein Bußgeld in Höhe von 1.400 Euro gegen einen Anwalt, der das Auskunftsrecht eines ehemaligen Mandanten mehrfach missachtet und nicht auf Anfragen der Behörde reagiert hatte. Der Fall verdeutlicht, dass selbst kleinere Verstöße gegen die DSGVO finanzielle Folgen nach sich ziehen können.
Hintergrund des DSGVO-Bußgeldes
Im vorliegenden Fall beschwerte sich ein ehemaliger Mandant bei der griechischen Datenschutzbehörde darüber, dass sein Anwalt ihm wiederholt den Zugang zu persönlichen Dokumenten verweigerte, die personenbezogene Daten enthielten und die der Anwalt im Rahmen des Mandatsverhältnisses erhalten hatte. Der Betroffene hatte mehrmals um Herausgabe der Unterlagen gebeten – sowohl über private Nachrichten als auch durch anwaltliche Aufforderungen – und machte geltend, dass durch die Zurückhaltung dieser Daten sein Recht auf Auskunft gemäß Art. 15 DSGVO verletzt wurde.
Zusätzlich blieb der Anwalt auf wiederholte Nachfragen der Datenschutzbehörde hin untätig, was als Verletzung seiner Kooperationspflicht nach Art. 31 DSGVO bewertet wurde.
Die dargelegten Ereignisse in der Entscheidung der Aufsichtsbehörde zeigen, dass der Anwalt trotz klarer Anfragen keine Schritte unternahm, um das Recht des Betroffenen auf Auskunft zu gewährleisten oder der Behörde Auskunft über den Verfahrensstand zu geben. Der Anwalt verteidigte sein Verhalten mit dem Argument, dass die Anfragen des Mandanten unverhältnismäßig und wiederholt seien. Die Behörde bewertete jedoch diese Argumentation als unbegründet und sah die Pflichtverletzungen des Anwalts als ausreichend schwerwiegend an, um ein Bußgeld zu verhängen:
- ein Bußgeld von 700 Euro für die Verletzung von Art. 15 DSGVO (Recht auf Auskunft) sowie
- ein weiteres Bußgeld von 700 Euro für die Verletzung der Kooperationspflicht gemäß Art. 31 DSGVO.
Die Entscheidung unterstreicht, dass selbst vermeintlich geringfügige Verstöße, wie das Nichtreagieren auf Anfragen oder das Ignorieren von Kooperationspflichten, sanktioniert werden können, wenn sie eine Nichterfüllung der Betroffenenrechten bzw. Behinderung der Aufsichtsfunktion der Behörde darstellen.
DSGVO-Bußgelder vermeiden
Wir analysieren regelmäßig von den Aufsichtsbehörden verhängte DSGVO-Bußgelder und erklären Ihnen, wie Sie diese effektiv vermeiden!
Datenschutzrechtliche Einschätzung
Die Entscheidung der griechischen Datenschutzbehörde beleuchtet die strengen Anforderungen der DSGVO an die Transparenz und Kooperation von Verantwortlichen im Umgang mit Betroffenenrechten und Anfragen der Aufsichtsbehörden.
Gemäß Art. 15 DSGVO haben betroffene Personen das Recht auf Zugang zu ihren personenbezogenen Daten, um die Verarbeitung nachvollziehen und deren Rechtmäßigkeit prüfen zu können. Die DSGVO setzt dabei klare Standards, insbesondere eine Frist von maximal einem Monat zur Beantwortung solcher Anfragen, die in Ausnahmefällen um maximal zwei weitere Monate verlängert werden kann.
Im vorliegenden Fall hatte der Anwalt diese Frist und das Auskunftsrecht wiederholt und über Jahre hinweg ignoriert, ohne eine tragfähige Begründung für die unterlassene Herausgabe der angeforderten Dokumente vorzulegen. Dies stellt eine deutliche Missachtung der grundlegenden Betroffenenrechte dar, die die DSGVO vorschreibt.
Die Verletzung des Auskunftsrechts wurde zusätzlich verschärft durch den Verstoß gegen Art. 31 DSGVO (Kooperationspflicht). Diese Pflicht fordert von Verantwortlichen eine proaktive Zusammenarbeit mit den Aufsichtsbehörden, die notwendig ist, um die ordnungsgemäße Bearbeitung und mögliche Sanktionierung sicherzustellen. Verantwortliche müssen auf Behördenanfragen eingehen und relevante Informationen bereitstellen, um die Durchsetzung der Datenschutzvorschriften zu gewährleisten.
Um solche Fälle und die damit verbundenen Bußgelder zu vermeiden, sollten Verantwortliche einige wesentliche Maßnahmen berücksichtigen:
Fristen beachten
Der DSGVO-konforme Umgang mit Betroffenenanfragen ist zeitlich strikt geregelt. Verantwortliche sollten die Anfragen unverzüglich bearbeiten und die einmonatige Bearbeitungsfrist für Anfragen einhalten sowie die Fristverlängerung rechtzeitig ankündigen und begründen, falls die Bearbeitung komplexer sein sollte.
Dokumentation und Nachweispflicht (Rechenschaftspflicht)
Gemäß Art. 5 Absatz 2 DSGVO obliegt es dem Verantwortlichen, die Einhaltung der Grundsätze der Datenverarbeitung nicht nur sicherzustellen, sondern diese auch nachvollziehbar zu dokumentieren und bei Bedarf nachweisen zu können. Eine lückenlose Dokumentation des Bearbeitungsprozesses von Betroffenenanfragen – von der Anfrage bis zur Antwort – ist für den Nachweis der Einhaltung der Anforderungen der DSGVO unerlässlich.
Kooperation sicherstellen
Verantwortliche sollten auf Behördenanfragen umgehend reagieren und ihre Kooperation dokumentieren. Eine klare Kommunikation und Offenheit gegenüber der Aufsichtsbehörde minimiert das Risiko von Bußgeldern erheblich und stärkt das Vertrauen in die eigene Compliance.
Schulung und Sensibilisierung
Mitarbeitende sollten regelmäßig über die Betroffenenrechte und deren ordnungsgemäße Bearbeitung geschult werden. Eine gezielte Sensibilisierung zum Umgang mit personenbezogenen Daten kann sicherstellen, dass Anfragen rechtzeitig und korrekt beantwortet werden und das Risiko unbeabsichtigter Verstöße minimiert wird.
Tipp: Lesen Sie unseren ausführlichen Ratgeber dazu, wie Sie richtig mit Betroffenenanfragen umgehen.
Fazit
Die Entscheidung der griechischen Datenschutzbehörde verdeutlicht die zentrale Bedeutung der Einhaltung von Betroffenenrechten und der Pflicht zur Zusammenarbeit mit den Aufsichtsbehörden. Zwar ist das verhängte Bußgeld von 1.400 Euro in diesem Fall relativ gering, es spiegelt jedoch den Verhältnismäßigkeitsgrundsatz wider: Die Verstöße beschränkten sich auf eine einzelne betroffene Person und führten weder zu einem wirtschaftlichen Vorteil noch zu einem größeren Schaden.
Die Behörde zeigt mit dieser Sanktion, dass auch solche Einzelverstöße konsequent verfolgt werden, wenn sie die Durchsetzung der Betroffenenrechte behindern. Verantwortliche sind daher angehalten, die fristgerechte Bearbeitung von Betroffenenanfragen sicherzustellen und ihre Datenschutzprozesse umfassend zu dokumentieren, um das Risiko von Sanktionen zu minimieren.