Deine zuständige Datenschutzbehörde hat dich und dein Unternehmen kontaktiert? Das versetzt viele Unternehmer zunächst einmal in Panik. Doch das ist überhaupt nicht notwendig, wenn du weißt, welche Rechte und Möglichkeiten du hast.
Viele Unternehmen werden in ihrer gesamten Lebensdauer nie etwas mit einer Datenschutzbehörde zu tun haben – andere wiederum stehen ständig „unter Beobachtung“ und im Austausch mit den Aufsichtsbehörden.
Hintergrund dieser Situation ist die mangelnde personelle als auch finanzielle Ausstattung der Datenschutzbehörden. Regelmäßig berichten diese darüber, dass sie ihren gesetzlich angedachten Aufgaben nicht nachkommen können.
Dies betrifft insbesondere ihren Auftrag, die Anwendung der europäischen Datenschutz-Grundverordnung – kurz DSGVO – zu überwachen und durchzusetzen. Dabei ist die Situation in Deutschland noch recht passabel. Immerhin existieren hier 18 Datenschutzaufsichtsbehörden des Bundes und der Länder.
Keine falsche Sicherheit für datenverarbeitende Stellen
Nur weil die vollziehende Gewalt aus der Ferne betrachtet an einer chronischen Personal- und Mittelknappheit leidet, sollten sich datenverarbeitende Stellen jedoch nicht in falscher Sicherheit wiegen.
In den meisten Fällen treten die Behörden in der Praxis nicht von sich aus – etwa im Rahmen von Kontrollaktionen – auf den Plan.
Vielmehr erhalten sie Beschwerden. Diese stammen zum Beispiel von Kunden eines Online-Shops oder unzufriedenen Mitarbeitern aus Unternehmen, denen sie zwingend nachgehen müssen.
Denn es ist eine gesetzlich verpflichtend vorgesehene Aufgabe, dass sich die Datenschutzbehörden mit Beschwerden einer betroffenen Person befassen müssen.
Beschwerden bei der Datenschutzbehörde: Worauf ist zu achten?
Wird eine Beschwerde geprüft, so erhalten Unternehmen zunächst meist einen Brief mit einer Erläuterung zur Beschwerde und einem kleinen Fragenkatalog. Für die Beantwortung wird eine Frist gesetzt. Bereits in diesem Stadium sollten Unternehmen gut überlegen, ob und was sie antworten.
Die Aufsichtsbehörden hören das zwar nicht gerne, aber es ist durchaus möglich, dass bereits dieser Fragenkatalog einen Verwaltungsakt darstellt, gegen den rechtlich vorgegangen werden könnte, wenn Unternehmen der Meinung sind, dass dieser unzulässig sei.
Zudem existieren für Verfahrensbeteiligte in einem Verwaltungsverfahren, hier etwa das adressierte Unternehmen, auch Rechte. So können betroffene Unternehmen zum Beispiel Akteneinsicht bei der Behörde beantragen, um sich Kenntnis darüber zu verschaffen, wie es überhaupt zu dem Anschreiben kam.
Eine weitere Option, die den Behörden zur Verfügung steht, sind Vor-Ort-Kontrollen in Betrieben. Diese könnten zwar theoretisch auch unangekündigt erfolgen. Zumeist informiert die Behörde aber vorab, wann sie zur Prüfung vorbeischauen möchte.
Eine solche Prüfung kann sehr themenspezifisch erfolgen – etwa in Bezug auf Videoüberwachung in einem Gebäude oder auf einem Betriebsgelände.
Der Grund des Besuchs kann aber auch eine Beschwerde sein, die die Aufsichtsbehörde zum Anlass nimmt, sich das Unternehmen aus datenschutzrechtlicher Sicht einmal etwas näher anzusehen.
In solchen Terminen wird dann oft auch die Vorlage nach verpflichtend zu führenden Dokumenten erwartet, wie etwa das Verzeichnis der Verarbeitungstätigkeiten, die Datenschutzinformationen für Mitarbeiter oder die Benennungsurkunde des betrieblichen Datenschutzbeauftragten.
Drohende Konsequenzen bei unzureichender Umsetzung von DSGVO und BDSG
Und was geschieht, wenn die Datenschutzbehörde mit dem Stand der Umsetzung der DSGVO und des Bundesdatenschutzgesetz nicht zufrieden ist? Hier steht den Behörden ein bunter Strauß Maßnahmen zur Verfügung. Oft wird in der Öffentlichkeit auf die Bußgelder verwiesen.
Natürlich sind diese potenziell hoch und können auch weh tun. Jedoch weise ich stets darauf hin, dass Aufsichtsbehörden (zusätzlich) auch schlicht die Datenverarbeitung untersagen können. Das bedeutet: Server herunterfahren. Viele Unternehmen machen sich über dieses Risiko noch zu wenig Gedanken.
Im Fall einer solchen Untersagung – zum Beispiel Löschung von Daten oder Einstellung der Datenverarbeitung – haben Unternehmen als Adressaten des Bescheids alle verwaltungsrechtlichen Möglichkeiten gegen Verwaltungsakte.
Insbesondere kann also gegen einen solchen Bescheid eine Anfechtungsklage beim Verwaltungsgericht erhoben werden. Achtung: ein Widerspruch gegen den Verwaltungsakt einer Datenschutzbehörde hat keinen Sinn.
Denn es ist gesetzlich vorgeschrieben (Paragraf 20 Absatz 6 BDSG), dass im Fall von Streitigkeiten mit einer Aufsichtsbehörde ein sogenanntes Vorverfahren – also ein Widerspruchsverfahren – nicht stattfindet. Zudem kann es sein, dass die Behörde die sofortige Vollziehung ihres Bescheids anordnet.
Dann darf sich das Unternehmen deswegen nicht nur auf die Einlegung der Anfechtungsklage verlassen, da die Behörde in diesem Fall die Vorgaben im Verwaltungsakt immer noch vollziehen oder vollstrecken könnte.
In diesem Fall muss das Unternehmen einstweiligen Rechtsschutz beantragen, damit die sofortige Vollziehung nicht mehr möglich ist.
Umgang mit der Datenschutzbehörde in der Praxis
Zur Wahrheit in der Praxis gehört auch, dass die Aufsichtsbehörden oft gerne und gut mit sich reden lassen.
Viele Beschwerden führen nicht zum Erlass von Verwaltungsakten, weil das Unternehmen entweder nachweisen kann, dass der Vorwurf nicht zutrifft oder aber entsprechende Anpassungen gegenüber der Behörde zusichert.
Entscheidend hierbei ist aber, dass das Unternehmen eine solide Argumentationsgrundlage hat. Denn wurde der Datenschutz noch gar nicht beachtet, hat das Unternehmen keine Umsetzungsmaßnahmen getroffen, gibt es eigentlich keine Diskussionsgrundlage für die Aufsichtsbehörde.
Auch interessant:
