Das Bundesdatenschutzgesetz BDSG sieht in § 40 Abs. 4 S. 2 BDSG ein Auskunftsverweigerungsrecht von Verantwortlichen gegenüber den Datenschutzaufsichtsbehörden vor. Bisher ist noch nicht abschließend geklärt, in welchen Situationen von diesem Auskunftsverweigerungsrecht Gebrauch gemacht werden kann. Das OVG Schleswig hat in seiner Entscheidung (Az.: 4MB 14/21) jedoch darüber geurteilt, wann das Auskunftsverweigerungsrecht anwendbar ist.

Eine Unternehmerin im Kosmetikbereich versendete Werbe-E-Mails zu Ihren Produkten an Personen, mit denen Sie bisher keine geschäftlichen Beziehungen pflegte, was einer Kaltakquise gleichkommt. Die schleswig-holsteinische Datenschutzaufsicht erreichten daraufhin mehrere Beschwerden, woraufhin Sie die Prüfung des Falles aufnahm und folgenden Fragenkatalog an die Unternehmerin sendete:

1. Von welchen Verantwortlichen und Auftragsverarbeitern und für Werbezwecke werden Daten verarbeitet?
2. Welche personenbezogenen Daten werden konkret erhoben?
3. Frage nach Vorlage von technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO und dem Verarbeitungsverzeichnis nach Art 30 DSGVO
4. Wie viele Personen seien von den Maßnahmen betroffen?
5. Wurden die datenschutzrechtlichen Informationspflichten nach Artikel 14 eingehalten?

Die Unternehmerin berief sich gem. § 40 Abs. 4 S. 2 BDSG auf ihr Auskunftsverweigerungsrecht, wonach sie sich nicht selbst belasten müsse, insofern die Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten bestehen würde und ließ die Fragen unbeantwortet.

Die Aufsichtsbehörde akzeptierte diese Antwort nicht und erließ ein Zwangsgeld von 200,00€ für jede nicht beantwortete Frage.

Gegen das von der Aufsichtsbehörde verhangene Bußgeld von 1000,00€ klagt die Unternehmerin schließlich.

Urteil des Gerichts

Das OVG Schleswig gab der Klägerin zum Teil Recht. Die Unternehmerin müsse sich nicht durch Auskünfte selbst belasten, wenn das Risiko einer Ordnungswidrigkeit oder einer Straftat besteht und konkretisierte, dass es nicht einer sicheren Gefahrenlage bedarf. Die Einleitung eines strafrechtlichen Verfahrens oder einer Ordnungswidrigkeit muss im konkreten Einzelfall ernsthaft möglich erscheinen. Eine bloße Vermutung oder theoretische Möglichkeit soll nicht ausreichen.

Im konkreten Fall befand das Gericht deshalb, dass sich die Klägerin bei den Fragen 3 und 5 auf ihr Auskunftsverweigerungsrecht berufen kann, denn Verstöße gegen Pflichten nach Art. 32 DSGVO (TOMs) und die Informationspflichten nach Art. 14 DSGVO werden in der DSGVO direkt als Bußgeldtatbestände qualifiziert (Art. 83 Abs. 4 und 5 DSGVO). Es bestand also nach Ansicht des Gerichts ein echtes Risiko für eine Ordnungswidrigkeit.

Die Fragen 1, 2 und 4 waren jedoch nach Ansicht des Gerichts nicht dazu geeignet, ein solches Risiko zu realisieren, da bei der Beantwortung dieser Fragen noch kein grundsätzliches Risiko eines datenschutzrechtlichen Verstoßes erkennbar sein.

Im Ergebnis lässt sich daraus schließen, dass Verantwortliche durchaus ihr Recht auf Auskunftsverweigerung geltend machen können, wenn ein hinreichend belegbares Risiko eines strafrechtlichen oder Ordnungswidrigkeitenverfahren vorliegt.

Sollte man dies geltend machen, ist jedoch zu bedenken, dass dies bei der Aufsichtsbehörde den Eindruck hinterlässt, dass beim verantwortlichen Datenschutzverstöße begangen werden und dies vertuscht werden soll. Grundsätzlich stehen einer Aufsichtsbehörde dann weitere Mittel zur Überprüfung des Verantwortlichen zur Verfügung.

Andererseits ist das Urteil ein Fingerzeig dafür, dass einer Aufsichtsbehörde nicht alle Anfragen auf Auskunft beantwortet werden müssen. Im Ernstfall ist immer zwischen den konkret vorliegenden Umständen abzuwägen.