15.000 € DSGVO-Geldbuße wegen nicht funktionierender Datenschutz-Mail

Stellen Sie sich vor, Sie betreiben ein Unternehmen und weisen auf Ihrer Webseite ordnungsgemäß eine E-Mail-Adresse für datenschutzrechtliche Anliegen aus. Doch diese Adresse funktioniert über einen längeren Zeitraum nicht. Die Folge: Ein Betroffener kann seine Rechte nicht wahrnehmen – und plötzlich steht ein Bußgeld in Höhe von 15.000 € im Raum.

Genau das ist in dem Fall passiert, über den das Bundesverwaltungsgericht (BVerwG) Österreich am 28.03.2025 entschieden hat (Az.: W298 2285480-1/10E). Die Entscheidung ist nicht nur ein deutliches Signal an Unternehmen, sondern auch ein Weckruf in Sachen DSGVO-Compliance.

Der Sachverhalt: Wenn technische Nachlässigkeit teuer wird

Ein Unternehmen hatte auf seiner Website eine eigene E-Mail-Adresse eingerichtet, an die sich betroffene Personen mit datenschutzrechtlichen Anliegen – etwa Auskunfts- oder Löschungsbegehren – wenden konnten. Diese Adresse funktionierte jedoch über einen längeren Zeitraum nicht. Die E-Mails kamen nicht an.

Ein Kunde nutzte genau diese Adresse, um unter anderem die Löschung seiner Daten zu verlangen. Doch sein Anliegen blieb ungehört – weil die Nachricht technisch nie beim Unternehmen ankam. Erst nach mehreren Aufforderungen und der Einschaltung der Datenschutzbehörde wurden seine Daten entfernt. Weitere Schreiben der Behörde blieben unbeantwortet, und die Datenschutzerklärung wurde trotz der Hinweise nicht angepasst.

Die Datenschutzbehörde reagierte: Sie verhängte ein Bußgeld in Höhe von 15.000 €. Das betroffene Unternehmen wehrte sich dagegen – jedoch erfolglos.

Die Entscheidung des Bundesverwaltungsgerichts

Das BVerwG bestätigte die Entscheidung der Datenschutzbehörde in vollem Umfang. Das Gericht sah gleich mehrere Verstöße gegen die Datenschutz-Grundverordnung (DSGVO):

1. Pflicht zur Erleichterung der Betroffenenrechte verletzt

Gemäß Art. 12 Abs. 2 DSGVO müssen Unternehmen die Ausübung der Rechte betroffener Personen „erleichtern“. Dazu zählt nicht nur, die richtigen Kommunikationskanäle bereitzustellen, sondern auch sicherzustellen, dass diese technisch zuverlässig funktionieren. Wenn eine Mail-Adresse über einen längeren Zeitraum nicht erreichbar ist, stellt das einen klaren Verstoß dar.

2. Nicht rechtzeitig auf Betroffenenanfrage reagiert

Nach Art. 12 Abs. 3 DSGVO müssen Unternehmen spätestens innerhalb eines Monats auf Anfragen reagieren. Das war hier nicht geschehen – obwohl das Unternehmen mehrere Möglichkeiten dazu gehabt hätte. Auch dieser Verstoß wiegt schwer.

3. Keine Kooperation mit der Datenschutzbehörde

Art. 31 DSGVO verpflichtet Unternehmen, mit den Datenschutzbehörden „auf Anfrage bei der Erfüllung ihrer Aufgaben zusammenzuarbeiten“. Doch das betroffene Unternehmen reagierte weder auf behördliche Nachfragen noch passte es seine Datenschutzerklärung an – ein weiterer gravierender Fehler.

Verschärfend: Vorsatz und fehlende Mitwirkung

Besonders brisant: Das BVerwG ging in seiner Beurteilung davon aus, dass das Unternehmen vorsätzlich gehandelt hat. Zwar habe es die technischen Mängel möglicherweise nicht aktiv herbeigeführt, doch habe es sich mit dem möglichen Rechtsverstoß abgefunden – sogenannter bedingter Vorsatz (dolus eventualis).

Das Gericht stellte außerdem fest, dass das Unternehmen weder im Verwaltungsverfahren noch im gerichtlichen Verfahren in irgendeiner Weise kooperiert habe. Es habe sich weder zur Sache geäußert noch versucht, die Datenschutzverstöße abzumildern oder die bestehenden Mängel zu beseitigen.

Die Höhe der Geldbuße: 15.000 € sind angemessen

Auch hinsichtlich der Höhe des Bußgeldes hielt das Gericht die Entscheidung der Datenschutzbehörde für gerechtfertigt. Zwar lagen keine genauen Angaben zu Umsatz und Vermögen des Unternehmens vor, doch wurde der Jahresumsatz auf unter 2 Millionen Euro geschätzt. Innerhalb dieser Kategorie sei eine Geldbuße von 15.000 € durchaus verhältnismäßig – insbesondere weil es sich um den ersten Verstoß handelte, die Pflichtverletzungen aber keinesfalls geringfügig waren.

Das Gericht führte aus, dass es eines spürbaren Bußgeldes bedürfe, um die Ernsthaftigkeit des Verstoßes zu verdeutlichen und eine abschreckende Wirkung zu erzielen. Denn gerade die Kooperation mit Behörden und die Erleichterung der Betroffenenrechte seien „Kernstücke“ der DSGVO.

Was bedeutet das für Sie als Unternehmer?

Diese Entscheidung zeigt einmal mehr, dass Datenschutz kein Nebenschauplatz ist – auch vermeintliche technische Kleinigkeiten wie eine nicht funktionierende E-Mail-Adresse können massive Konsequenzen nach sich ziehen. Für Sie als Unternehmen bedeutet das:

✅ Regelmäßige technische Überprüfung der Kontaktmöglichkeiten

Stellen Sie sicher, dass Ihre angegebenen E-Mail-Adressen funktionieren – auch und gerade jene, die für datenschutzrechtliche Anfragen vorgesehen sind.

✅ Schnelle Reaktion auf Anfragen von Betroffenen

Achten Sie auf die gesetzlich vorgeschriebene Ein-Monats-Frist zur Bearbeitung von Löschungs-, Auskunfts- oder Berichtigungsanfragen.

✅ Zusammenarbeit mit Behörden ist Pflicht

Ignorieren Sie keine Schreiben der Datenschutzbehörden. Die Kommunikation mit diesen Stellen ist verpflichtend und kann strafverschärfend bewertet werden, wenn sie unterbleibt.

✅ Datenschutzerklärung regelmäßig aktualisieren

Ihre Datenschutzerklärung sollte stets aktuell sein – insbesondere dann, wenn sich an internen Abläufen oder Kommunikationswegen etwas ändert.

Fazit

Ein funktionierender Datenschutz beginnt im Kleinen – mit funktionierenden E-Mail-Adressen und ernstgemeinter Kommunikation. Die Entscheidung des BVerwG Österreich ist ein deutliches Signal: Wer die Rechte der Betroffenen behindert, riskiert empfindliche Strafen – selbst bei scheinbar technischen Problemen. Als Unternehmer sollten Sie dieses Urteil zum Anlass nehmen, Ihre datenschutzrechtlichen Prozesse gründlich zu überprüfen.

Denn am Ende zählt nicht nur, was auf Ihrer Webseite steht – sondern was tatsächlich funktioniert.