Eine Reisegesellschaft hatte eine Ferien-Wohnung von dem Sanktionierten Unternehmen angemietet. Im Rahmen des Online-Check-In wurden alle Personen aufgefordert ein Formular auszufüllen, in welches sie ihre Telefonnummern und Adressen eintragen sollten. Hierbei wurde auch gefordert, ein Foto von sich selbst, sowie des eigenen Ausweises zu erstellen und zu übermitteln.

Nach dem Aufenthalt kontaktierte einer der Betroffenen das Unternehmen und forderte, gem. Art. 15 DSGVO, Auskunft zur Verarbeitung der erhobenen Daten. Nachdem die Antwort des Unternehmens seine Fragen nicht ausreichend beantworten konnte, wandte er sich an die Datenschutzbehörde und reichte eine formale Beschwerde ein.

Die Behörde wurde aktiv und stellte bei der Untersuchung fest, dass die Datenschutzerklärung des Unternehmens wesentliche Pflichtangaben vermissen ließ. Im Detail fehlten hierbei, Angaben zur Identität nebst den Kontaktdaten der verantwortlichen Person sowie die Angabe des Zeitraums, in welchem die erhobenen Daten gespeichert und verarbeitet werden sollten.

Die Behörde stellte außerdem fest, dass die Datenerhebung im durchgeführten Check-In-Prozess, den für diese Zwecke erforderlichen Umfang, deutlich überstiegen hat.

Die Beantwortung des Auskunftsersuchens durch das Unternehmen wurde somit auch durch die Behörde als unzureichend angesehen und das vorbezeichnete Bußgeld ausgesprochen.