0351 418866840
kontakt@rechtsanwalt-harzewski.de

Anwaltskanzlei Harzewski

Kategorie: Datenschutzmanagement

Hängematte zwischen Palmen, zur Pflicht zur tatsächlichen Erreichbarkeit

Die Pflicht zur tatsächlichen Erreichbarkeit

von

am 2. August 2025

in Datenschutzmanagement, Urteile

Während viele noch im Sommerurlaub sind, sollte eines unbedingt erreichbar bleiben: der Datenschutz. Denn ein nicht erreichbares Postfach ist kein kleines Versehen – sondern kann schnell 15.000 Euro kosten.

 

Die Pflicht zur tatsächlichen Erreichbarkeit

Die Einhaltung datenschutzrechtlicher Vorgaben endet nicht mit der Veröffentlichung einer Datenschutzerklärung oder einem korrekt eingebundenen Kontaktformular. Die Datenschutz-Grundverordnung (DSGVO) (wie auch das DSG-EKD) verpflichtet Verantwortliche dazu, die Rechte betroffener Personen aktiv zu ermöglichen – und das beginnt bei einer funktionierenden Erreichbarkeit.

Denn ohne echte Kommunikationsfähigkeit verlieren zentrale Betroffenenrechte wie Auskunft, Berichtigung oder Löschung ihre Wirkung. Die Konsequenzen reichen von Vertrauensverlust bis hin zu empfindlichen Bußgeldern. Dieser Beitrag beleuchtet, welche Anforderungen an die Erreichbarkeit des Verantwortlichen gestellt werden, welche Fehler in der Praxis häufig vorkommen und wie sie sich vermeiden lassen.

 

Was die DSGVO (DSG-EKD) zur Erreichbarkeit verlangt

Betroffene Personen müssen ihre Rechte „leicht zugänglich und in einfacher Sprache“ ausüben können. Die DSGVO verpflichtet Verantwortliche dazu, Prozesse und Kommunikationswege so zu gestalten, dass Anfragen unkompliziert gestellt und fristgerecht bearbeitet werden können.

Das sogenannte Erleichterungsgebot nach Art. 12 Abs. 2 DSGVO  (16 Abs. 2 DSG-EKD) geht über ein bloßes „Nicht-behindern“ hinaus. Verantwortliche müssen strukturell sicherstellen, dass Anfragen nicht nur eingehen, sondern auch bearbeitet werden – über alle üblichen Kommunikationskanäle hinweg, wie z. B. E-Mail, Post, Telefon oder Webformulare. Reine Formalangaben ohne funktionierende Rückkanäle reichen nicht aus.

 

Praxisbeispiel: 15.000 Euro Bußgeld wegen nicht erreichbarem Datenschutzbeauftragten

Ein konkreter Fall aus Österreich verdeutlicht, wie schnell Versäumnisse bei der Erreichbarkeit zu einem Datenschutzverstoß führen können. Ein Unternehmen hatte auf seiner Website eine eigene E-Mail-Adresse für den Kontakt zum Datenschutzbeauftragten veröffentlicht – diese existierte jedoch gar nicht. Anfragen gelangten nie zum Empfänger.
Eine betroffene Person, die ihr Recht auf Löschung geltend machen wollte, erhielt keine Rückmeldung und wandte sich an die Datenschutzbehörde. Diese stellte gleich mehrere Verstöße fest:

  • Verletzung des Erleichterungsgebots (Art. 12 Abs. 2 DSGVO): Die Wahrnehmung der Betroffenenrechte wurde faktisch unmöglich gemacht.
  • Nicht-Einhaltung der Fristen für die Bearbeitung (Art. 12 Abs. 3 i.V.m. Art. 17 DSGVO).
  • Fehlende Kooperation mit der Aufsichtsbehörde (Art. 31 DSGVO).

Das Bundesverwaltungsgericht Österreich bestätigte die Entscheidung in seinem Urteil vom 28.03.2025 (Az. W298 2285480-1/10E) und verhängte ein Bußgeld in Höhe von 15.000 Euro. Der Umstand, dass die technische Störung unbeabsichtigt war, wurde nicht als Entlastung anerkannt – denn die Verantwortung für funktionierende Kommunikationswege liegt beim Unternehmen.

Kommunikationskanäle: Kein Monopol auf den bevorzugten Weg

Ein häufiger Fehler besteht auch darin, betroffenen Personen lediglich einen einzigen, unternehmenseigenen Kommunikationskanal aufzuzwingen – etwa eine spezielle E-Mail-Adresse in der Datenschutzerklärung. Zwar ist es zulässig, zentrale Kontaktstellen zu benennen, doch gleichzeitig müssen auch alle realistisch nutzbaren Kontaktwege berücksichtigt werden.

So gilt beispielsweise eine Rückmeldung über ein Kontaktformular oder eine Antwort auf eine automatisch versendete E-Mail als zulässiger Kommunikationsweg – sofern dieser technisch möglich ist. „No-reply“-Adressen, die Rückmeldungen unterbinden, sind daher kritisch zu bewerten. Wird eine solche genutzt, muss zwingend eine alternative, aktiv betreute Adresse angegeben werden, an die Datenschutzanfragen gerichtet werden können.

 

Organisatorische Vorkehrungen für eine datenschutzkonforme Erreichbarkeit

Die Erreichbarkeit des Verantwortlichen erfordert mehr als die bloße Angabe von Kontaktdaten. Entscheidend sind verlässliche interne Prozesse, technische Überprüfung und geschultes Personal. Die folgenden Maßnahmen helfen bei der rechtskonformen Umsetzung:

  1. Technische Funktionalität regelmäßig prüfen
    Die Erreichbarkeit per E-Mail, Telefon oder Formular sollte regelmäßig intern getestet werden. Empfehlenswert sind stichprobenartige Selbstanfragen mindestens quartalsweise. Prüfen Sie insbesondere auch Funktions-Email-Adressen, welche auf der Website veröffentlicht aber vielleicht nicht so oft genutzt werden, wie info@[...]; service@[...].
  1. Vertretungsregelungen bei Abwesenheit
    Datenschutzanfragen müssen unabhängig von Urlaub, Krankheit oder interner Abwesenheit zeitnah bearbeitet werden. Dazu sind klare Vertretungen und Übergabeprozesse erforderlich.
  1. Sensibilisierung der Mitarbeitenden
    Alle Mitarbeitenden mit externem Kontakt – ob Kundenservice, Vertrieb oder Empfang – sollten in der Lage sein, Datenschutzanfragen zu erkennen und umgehend weiterzuleiten. Denn die Bearbeitungsfrist beginnt mit dem Eingang der Anfrage im Unternehmen.
  1. Transparente Darstellung in der Datenschutzerklärung
    Die Angaben zur Kontaktaufnahme mit dem Verantwortlichen oder Datenschutzbeauftragten sollten gut sichtbar, aktuell und eindeutig sein – ohne versteckte Hinweise oder unnötige Umwege.

 

Fazit: Erreichbarkeit ist Teil der datenschutzrechtlichen Verantwortung

Die DSGVO (und DSG-EKD) verlangt von Verantwortlichen eine klare, verlässliche und niederschwellige Kommunikationsstruktur – nicht nur im Sinne der Rechtssicherheit, sondern auch als Ausdruck von Transparenz und Vertrauen.

Wer seine internen und externen Prozesse so gestaltet, dass Anfragen zuverlässig ankommen und fristgerecht bearbeitet werden, reduziert nicht nur das Risiko von Sanktionen, sondern positioniert sich auch als verantwortungsvoll und datenschutzbewusst gegenüber Kunden, Partnern und Behörden.

 

Rechtsanwalt Robert Harzewski

Benennungspflicht des Datenschutzbeauftragten in Vereinen

Benennungspflicht des Datenschutzbeauftragten in Vereinen

von

am 26. August 2022

in Aufsichtsbehörden, Datenschutzmanagement

Die Benennungspflicht des Datenschutzbeauftragten in Vereinen besteht unter anderem, wenn die Kerntätigkeit in einer umfangreichen Verarbeitung sensibler Daten oder systematischen Überwachung betroffenen Personen liegt.

Weiterlesen

Einbindung des Datenschutzbeauftragten

Einbindung des Datenschutzbeauftragten

von

am 30. Juli 2021

in Aufsichtsbehörden, Datenschutzmanagement

Bußgeld wegen fehlender Einbindung des Datenschutzbeauftragten

Wegen der unzureichenden Einbindung des Datenschutzbeauftragten musste ein Unternehmen aus Luxemburg nun ein Bußgeld in Höhe von 15.000 Euro zahlen. Der betreffende Datenschutzbeauftragte wurde nicht bei allen Datenschutzfragen einbezogen. Die Behörde stellte daher u.a. einen Verstoß gegen Art. 38 Abs. 1 DSGVO fest. Hiernach ist sicherzustellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle Fragen, die mit dem Schutz personenbezogener Daten zusammenhängen, eingebunden wird.

 

Fälle der Einbeziehung

In der Praxis ist eine Einbindung des Datenschutzbeauftragten insbesondere in folgenden Fällen erforderlich:

  • vor der Auswahl eines Auftragsverarbeiters,
  •  vor der Aufnahme neuer Verarbeitungstätigkeiten,
  • bei Datenschutzvorfällen,
  • bei der Durchführung einer Datenschutz-Folgenabschätzung,
  • bei der Gestaltung von Betriebs- bzw. Dienstvereinbarungen,
  •  bei allen sonstigen Projekten und Maßnahmen, bei denen personenbezogene Daten eine Rolle spielen

 

Datenschutzorganisation

Die Einbindung des Datenschutzbeauftragten erfordert überhaupt erstmal eine Organisation des Datenschutzes im eigenen Unternehmen. Im ersten Schritt ist die Benennung des Datenschutzbeauftragten allen Mitarbeitern bekannt zu machen. Um als Ansprechpartner für das Thema Datenschutz im Unternehmen zur Verfügung zu stehen, sollten neben den Kontaktdaten vor allem die Aufgaben und Zuständigkeiten des Datenschutzbeauftragten in einer Leitlinie zusammengefasst werden. Nach dieser sollte jeder Mitarbeiter verpflichtet werden, datenschutzrelevante Themen an den Datenschutzbeauftragten zu melden.

 

Frühzeitige Einbindung

Oft werden dem Datenschutzbeauftragten abgeschlossene Vorgänge zur Kenntnis gebracht. Dann ist es meist zu spät, um noch Veränderungen zu bewirken oder grundsätzliche Fragen mit der Aufsichtsbehörde abzustimmen. Die Einbindung des Datenschutzbeauftragten sollte daher möglichst schon im Prozess der Auswahl oder Entscheidung über eine neue Verarbeitungstätigkeit erfolgen. Nur so wird sichergestellt, dass auch die Anforderungen der DSGVO berücksichtigt werden und nachträglich kein zusätzlicher Planungsaufwand entsteht. Sinnvoll ist es daher zum Beispiel auch, den Datenschutzbeauftragten bereits vor der Auswahl eines neuen Dienstleisters oder vor dem Kauf einer neuen Software ins Boot zu holen.

 

Wegen der unzureichenden Einbindung des Datenschutzbeauftragten musste ein Unternehmen aus Luxemburg  ein Bußgeld in Höhe von 15.000 Euro zahlen. Der betreffende Datenschutzbeauftragte wurde nicht bei allen Datenschutzfragen einbezogen. Die Behörde stellte daher u.a. einen Verstoß gegen Art. 38 Abs. 1 DSGVO fest. Hiernach ist sicherzustellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle Fragen, die mit dem Schutz personenbezogener Daten zusammenhängen,eingebunden wird.

 

Rechtsanwalt Robert Harzewski

Fehlversand von Bewerberdaten

Fehlversand von Bewerberdaten

von

am 20. November 2020

in Datenschutzmanagement, Urteile

Bestimmte Gruppen von Betroffenen sind besonders sensibel zu behandeln. Hierzu zählen insbesondere abgelehnte Bewerber. Dies musste nun auch eine Privatbank erleben und für den Fehlversand von Bewerberdaten 1.000 Euro Schadensersatz zahlen.

 

Was war passiert?

Als die Bank eine Nachricht über Xing an einen Bewerber schicken wollte, ging diese fehl und erreichte einen unbeteiligten Dritten. Die Nachricht enthielt u.a. auch Angaben darüber, dass sich der Bewerber als Händler beworben hatte und dass seine Gehaltsvorstellungen zumindest über der Jahresvergütung in Höhe von 80.000 € liegen. Nachdem der Bewerber für die Stelle nicht weiter berücksichtigt wurde, beschwerte sich dieser über den Fehlversand und, dass er von der Bank nicht informiert wurde. Der Datenschutzbeauftragte der Bank bestritt, dass die Bank für die falsche Versendung verantwortlich sei und verneinte insoweit einen Datenschutzverstoß.

 

Entscheidung

Das angerufene Landgericht Darmstadt (Urteil vom 26.05.2020, Az.: 13 O 244/19) verurteilte die Bank daraufhin zur Zahlung eines Schmerzensgeldes in Höhe von 1.000 Euro.
Bei einer Datenpanne bzw. Verletzung des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) ist bei einem hohen Risiko neben der Meldung bei der Aufsichtsbehörde auch eine Unterrichtung des Betroffenen selbst vorgesehen (Art. 34 DSGVO).
Das Gericht nahm durch den Fehlversand von Bewerberdaten ein hohes Risiko an, da der Bewerber die Kontrolle über seine Informationen verloren hatte. Die fehlgegangen Daten waren zu einer Benachteiligung des Bewerbers geeignet, da diese Informationen an etwaige Konkurrenten für einen Arbeitsplatz gelangen oder gar seinen Ruf schädigen konnten. So hätte auch der derzeitige Arbeitgeber des Bewerbers erfahren können, dass sich dieser nach anderweitigen Arbeitsstellen umschaut.
Da die Bank den Bewerber nicht unverzüglich über den Fehlversand informiert hatte, nahm das Gericht einen Verstoß gegen die Meldepflicht an. Zudem stellte es eine Verletzung von Art. 6 DSGVO fest, da die Bank für den Fehlversand keine Rechtsgrundlage habe.
Das Landgericht erachtet dabei ein Schmerzensgeld in Höhe von 1.000 Euro für angemessen, da der Bewerber keine weiteren beruflichen oder persönlichen Beeinträchtigungen erlitten hat und die Nachricht nur an einen Dritten fehlgeleitetet wurde.

 

Kein Nachweis einer Schulung begründet Wiederholungsgefahr

Neben dem Zuspruch von Schadensersatz sprach sich das Gericht auch für eine Wiederholungsgefahr in Bezug auf die von der Bank abzugebende Unterlassungserklärung aus. Eine solche kann grundsätzlich nur widerlegt werden, wenn nach allgemeiner Lebenserfahrung nicht mehr mit einem Verstoß zu rechnen ist. Der Umstand des Zeitraums, in dem seit der Rechtsverletzung bis zum Urteil keine weiteren Probleme bzw. Rechtsverletzungen eingetreten sind, reichte dem Gericht dabei allein nicht aus.
Die Durchführung von Schulungsmaßnahmen für alle Mitarbeiter war im Verfahren nicht nachweisbar. Zwischen dem Vorfall und einer entsprechenden Benachrichtigung an die Mitarbeiter vergingen mehr als 6 Wochen, so dass seitens der Bank nicht unverzüglich auf die Situation reagiert wurde, um etwaige weitere Verstöße bereits zeitnah bzw. sofort zu verhindern. Darüber hinaus hielt das Gericht eine von neuen Mitarbeitern abzugebende Erklärung allein nicht für ausreichend an, um im Rahmen zumutbarer Maßnahmen weitere zukünftige Verstöße angemessen zu verhindern.

 

Fazit

Eine der häufigsten Datenpannen ist das organisatorische Fehlverhalten durch nicht getroffene technisch-organisatorische Maßnahmen. Hierzu zählen insbesondere
- versehentlichen Falsch-Adressierung von Briefen, Faxen und E-Mails
- die Versendung einer Massen-E-Mail unter Verwendung des cc- statt des bcc-Feldes
- der Zugriff auf vertrauliche Unterlagen infolge fehlender Passwort-Vorgaben oder eines den fachlichen Standards entsprechenden Berechtigungskonzeptes
Der Vorfall zeigt auch, wie wichtig die Reaktion nach Entdeckung eines Datenschutzvorfalls ist.

 

Rechtsanwalt und Datenschutzbeauftragter Robert Harzewski

Passwortwechsel

Passwortwechsel Goodbye

von

am 4. März 2020

in Aufsichtsbehörden, Datenschutzmanagement

Der regelmäßige Passwortwechsel entsprich nach dem aktuellen IT-Grundschutzkompendium nicht mehr dem Stand der Technik. Das Positive: Bei Verwendung von sicheren Passwörtern sparen Sie
sich also künftig Arbeitsaufwände.

Im entsprechenden Baustein ORP.4.A8 heißt es:

„IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen.“

Die DSK hatte bereits im März 2019 klargestellt, dass ein regelmäßiger Passwortwechsel  nicht mehr erforderlich ist, sofern starke Passwörter verwendet werden.

Um eine Kompromittierung zu erkennen, sollten Nutzer-Passworte mit Blacklists abgeglichen werden, z.B. über https://haveibeenpwned.com/ oder https://sec.hpi.de/ilc/search?lang=de.

Rechtsanwalt Robert Harzewski

Anwaltskanzlei Harzewski

 
Königsbrücker Landstraße 5
01109 Dresden

Datenschutzbeauftragter Harzewski

 
Torgauer Str. 5
01127 Dresden

Sprechzeiten

 

Montag bis Freitag:

09.00 Uhr bis 18.00 Uhr

 

Dienstag:

20:00 Uhr bis 22:00 Uhr

Kontakt

Telefon:  0351 418866840

Telefax:  0351 418866849

E-Mail:    kontakt@rechtsanwalt-harzewski.de

Design von South Bird Design