35.000 € Bußgeld NRW: Betroffenenrechte konsequent ignoriert

Buß­geld in NRW: Wenn man Daten­schutz behan­delt wie Emails im Spam-Ordner

„Daten­schutz ist kein Wunsch­kon­zert.“ so bei der LDI NRW, inner­lich ver­mut­lich beim Tip­pen genervt seufzend

Will­kom­men zurück lie­ber Leser bei der a.s.k. Daten­schutz. Dem Ort, an dem wir ver­su­chen, die DSGVO nicht wie eine kal­te Schüs­sel Kut­tel­sup­pe wir­ken zu las­sen. Heu­te für Sie zube­rei­tet: Ein ech­ter Lecker­bis­sen aus der Behör­de für Daten­schutz und Infor­ma­ti­ons­frei­heit NRW. Gar­niert mit 35.000 € Buß­geld. Das Gan­ze liest sich wie die Daten­schutz-Ver­si­on einer schlecht geplan­ten Über­ra­schungs­par­ty: Nie­mand woll­te sie, und alle krie­gen Ärger.

Was ist passiert?

Ein Unter­neh­men in Düs­sel­dorf hat gedacht, es wäre cle­ver, meh­re­re Anfra­gen von Betrof­fe­nen zu igno­rie­ren. Also:

• Kei­ne Aus­kunft gege­ben (Ver­stoß gegen Art. 15 DSGVO Auskunftsrecht).
• Lösch­be­geh­ren? Nope. (Ver­stoß gegen Art. 17 DSGVO Recht auf Löschung).
• Und dann auch noch Wer­bung verschickt.

Bra­vo. Ein Tri­ple-Fail. Wenn DSGVO ein Video­spiel wäre, hät­ten sie gera­de das „Unfrei­wil­lig Trans­pa­rent“-Achie­ve­ment freigeschaltet.

Hin­zu kam: Auch Anfra­gen der LDI NRW auf­grund der Ein­ga­ben der Betrof­fe­nen ließ man links lie­gen. Die LDI NRW hat­te dar­auf kei­ne Lust mehr (ver­ständ­li­cher­wei­se) und hat ein ordent­li­ches Buß­geld in Höhe von 35.000 € ver­hängt. Mit der ruhi­gen, päd­ago­gi­schen Stim­me einer Grund­schul­leh­re­rin, die gera­de wie­der­holt erklä­ren muss, war­um man kei­ne Lego-Stei­ne isst: “Daten­schutz darf nicht von der Will­kür Ein­zel­ner abhän­gig sein.”

War­um ist das rele­vant (außer, dass etwas Scha­den­freu­de immer zieht)?

Weil’s zeigt: Die Zei­ten, in denen man DSGVO-Ver­stö­ße mit einem Schul­ter­zu­cken abtun konn­te, sind unge­fähr so vor­bei wie die Ära der Fax­ge­rä­te. Ok, nicht über­all 🙂 Die LDI NRW sagt im Subtext:

„Wenn ihr so tut, als gäbe es kei­ne Betrof­fe­nen­rech­te, tun wir so, als gäbe es kei­ne Gnade.“

Und das Unter­neh­men? Muss­te übli­cher­wei­se im Nach­gang übri­gens doch noch alles umset­zen, was gefor­dert war. Über­ra­schung! Es hat sich also nicht mal gelohnt, unein­sich­tig zu sein. Ein teu­res Lehr­stück in der Rubrik „Ver­mei­de das Offensichtliche.“

Was kön­nen wir dar­aus ler­nen (außer dass Büro­kra­tie auch mal beißt)?

Wenn du ein Unter­neh­men bist – selbst ein klei­nes – und Betrof­fe­ne etwas von dir wol­len, wie zum Beispiel:

• „Wel­che Daten hast du über mich?“
• „Lösch das bitte.“
• „Hör auf, mir Wer­bung zu schi­cken, ich hab’s drei­mal gesagt.“

…dann ist die ein­zi­ge klu­ge Ant­wort nicht: „War­te mal, ich sor­tie­re erst mei­ne Mails von 2021.“

Die wirk­lich klu­ge Reak­ti­on ist: Ant­wor­ten. Recht­zei­tig. Voll­stän­dig. Freund­lich reicht schon. Und wenn man dabei nicht wei­ter weiß, fragt man sei­nen exter­nen Daten­schutz­be­auf­trag­ten. Dafür ist er da.

Fazit: Was Mon­tag früh beginnt, endet manch­mal mit 35.000 €

Das Urteil ist ein Remin­der aus dem dunk­len Kel­ler der Büro­kra­tie: Wer sei­ne Haus­auf­ga­ben nicht macht, kriegt kei­nen Ein­trag ins Mut­ti­heft – son­dern einen Bußgeldbescheid.

Und das Bes­te dar­an: Es gibt noch mehr davon. Die Daten­schutz­be­hör­den haben die Geduld ver­lo­ren. Die DSGVO ist kein zahn­lo­ser Tiger, son­dern ein gelang­weil­ter Tiger mit Akten­ord­nern und einem Recht auf Wut.

Zur Ori­gi­nal­mel­dung der LDI NRW: https://​www​.ldi​.nrw​.de/​b​u​s​s​g​e​l​d​_​2​025

Und nur so am Ran­de zur der­zeit wie­der auf­kei­men­den Stamm­tisch-Dis­kus­si­on zum Büro­kra­tie­ab­bau durch Abschaf­fung des Datenschutzbeauftragten

Ein exter­ner Daten­schutz­be­auf­trag­ter kann in sol­chen Situa­tio­nen nicht nur bera­ten und hel­fen, son­dern im Ide­al­fall ver­hin­dern, dass sie über­haupt ent­ste­hen. Er weiß, was zu tun ist. Weil es sein Job ist, im Nebel der DSGVO den Kurs zu hal­ten, wäh­rend du ver­suchst, den Daten­schutz nicht aus Ver­se­hen rück­wärts hin­ter der Kai­mau­er einzuparken.