Best Practice bei Auskunftsverlangen und Verwarnungen
Auskunftsverlangen und Verwarnungen seitens der Datenschutzbehörde sorgen bei den verantwortlichen Unternehmen meist für Unsicherheit und Aufregung. Regelmäßig steht ein solches Schreiben erst am Anfang eines langwierigen behördlichen Verfahrens.
Die richtige Herangehensweise und eine gelungene Kommunikation mit der Aufsichtsbehörde sind für die Adressaten deshalb Gold wert. Der folgende Beitrag navigiert Sie durch die rechtlichen Rahmenbedingungen und Best Practices im Umgang mit der behördlichen Post.
Die Durchsetzung der Datenschutzgrundverordnung (DSGVO) beruht im Wesentlichen auf zwei Säulen. Die erste bilden die in Art. 58 DSGVO vorgesehenen Aufsichtsbefugnisse der Datenschutzbehörden. Das Auskunftsrecht und die Verwarnung fallen als aufsichtsrechtliche Instrumente unter diesen Begriff. Innerhalb des Artikels kann zwischen Untersuchungs-, Durchsetzungs- und Beratungs- beziehungsweise Genehmigungsbefugnissen unterschieden werden.
Die Beratungs- und Genehmigungsbefugnisse betreffen dabei besonders risikobehaftete Datenverarbeitungsvorgänge und sind somit auf spezielle Situationen zugeschnitten. Die im Rahmen der Untersuchungs- und Durchsetzungsbefugnisse vorgesehenen behördlichen Rechte können dagegen bei jeder potenziell denkbaren Verarbeitungstätigkeit Anwendung finden. Die Untersuchungsbefugnisse des Art. 58 Abs. 1 DSGVO dienen – wie bereits ihr Name verrät – in erster Linie der Ermittlung von Datenschutzverstößen. Hierunter fällt etwa auch das behördliche Auskunftsrecht. Die in Art. 58 Abs. 2 DSGVO normierten Durchsetzungsbefugnisse zielen dagegen in der Regel auf die Abhilfe bereits stattgefundener Datenschutzverstöße. Bei der Verwarnung handelt es sich um eine solche Durchsetzungsbefugnis.
Als zweite Säule der DSGVO-Durchsetzung dient die in Art. 31 DSGVO verankerte Pflicht zur Zusammenarbeit. Danach müssen Verantwortliche und Auftragsverarbeiter die Behörde auf Anfrage bei der Erfüllung ihrer Aufgaben zu unterstützen. Diese Pflicht korrespondiert eng mit den vorab genannten Untersuchungsbefugnissen. Art und Maß der Zusammenarbeit können entscheidenden Einfluss auf die Verhängung und Höhe eines Bußgeldes haben. Fehlende Zusammenarbeit ist nach Art. 83 Abs. 4 lit. a DSGVO selbst bußgeldbewehrt.
Behördliche Auskunftsverlangen
Auskunftsverlangen seitens der Datenschutzaufsicht fußen auf der behördlichen Anweisungsbefugnis des Art. 58 Abs. 1 lit. a DSGVO. Danach können Behörden von einem Verantwortlichen oder Auftragsverarbeiter die Bereitstellung aller für die Erfüllung ihrer Aufgaben notwendigen Informationen verlangen. Parallel zu der DSGVO-Vorschrift hat der nationale Gesetzgeber eine generelle Auskunftspflicht nicht öffentlicher Stellen und ihrer Leitungspersonen in § 40 Abs. 1 S. 1 BDSG normiert. Leitungspersonen sind die gesetzlich oder satzungsgemäß benannten Führungspersonen eines Unternehmens, beispielsweise Geschäftsführer, Vorstände und Inhaber. Das Auskunftsverlangen enthält in der Regel eine Aufforderung zur Mitteilung aller für einen konkreten Sachverhalt relevanten Informationen. Als Verwaltungsakt ist das Ersuchen vollstreckbar und kann mittels Verwaltungszwanges – etwa einem Zwangsgeld – durchgesetzt werden.
Vorgehensweise bei behördlichen Auskunftsersuchen
Das oberste Gebot im Umgang mit behördlichen Schreiben aller Art lautet: Ruhe bewahren und die vorgegebenen Fristen beachten. Auch bei Eingang eines aufsichtsbehördlichen Auskunftsersuchens muss die Beantwortungsfrist eingehalten und ein Termin zur rechtzeitigen Wiedervorlage gesetzt werden. Für eine umfassende und sachgerechte Antwort müssen schnellstmöglich der betriebliche Datenschutzbeauftragte oder sonstige beratende Stellen, zum Beispiel die Rechtsabteilung oder der externe Datenschutzberater,
über das Schreiben informiert werden. Darüber hinaus muss ein Team aller benötigten Stakeholder zusammengestellt, und interne Fristen für alle beteiligten Stellen müssen festgelegt werden.
Als Nächstes ist die Festlegung einer konkreten Herangehensweise für eine gelungene Behördenkommunikation unerlässlich. Dafür müssen die Verantwortlichen den Inhalt des behördlichen Anliegens möglichst konkret nachvollziehen. Das Schreiben der Behörde ist daher sorgfältig zu prüfen und alle für die Beantwortung entscheidenden Anhaltspunkte herauszufiltern. Sofern Unklarheiten oder Fragen bestehen, sollte unverzüglich eine Nachfrage bei der Behörde erfolgen.
Im nächsten Schritt sollte eine interne Sachverhaltsermittlung erfolgen. Dafür müssen sämtliche relevante Informationen zusammengetragen werden. Unter Umständen ist es deshalb ratsam, alle in Betracht kommenden Abteilungen und Unternehmensbereiche in die Ermittlung einzubeziehen.
Das oberste Gebot im Umgang mit behördlichen Schreiben aller Art lautet: Ruhe bewahren und die vorgegebenen Fristen beachten.
Wenn sich im Rahmen der Ermittlung weitere Fragen ergeben, kann bei der Aufsichtsbehörde Akteneinsicht genommen werden. Bei absehbaren Verzögerungen sollte außerdem rechtzeitig eine Fristverlängerung beantragt werden. Sobald die Ermittlung aller relevanten Informationen abgeschlossen ist, kann die Vorbereitung des Antwortschreibens erfolgen.
Inhalt des Antwortschreibens
Die Pflicht zur behördlichen Zusammenarbeit gilt umfassend und ist auf Kooperation angelegt. Grundsätzlich kann die Behörde jede zur Erfüllung ihrer Aufgaben notwendige Information anfragen. Der Gegenstand des Auskunftsverlangens muss jedoch ausreichend konkret beschrieben und begründet sein. Die Begründung dient dazu, dem Betroffenen den Zusammenhang zwischen erteilter Information und Aufgabenerfüllung hinreichend deutlich zu machen. Auf diese Weise soll beispielsweise willkürlichen Auskunftsverlangen vorgebeugt werden.
Bei der Beantwortung sollte das betroffene Unternehmen ausschließlich zu den gestellten Fragen Rückmeldung geben. Eine Pflicht zur Selbstoffenbarung besteht nicht. Da die Übergänge zwischen Kooperationspflicht und Selbstbelastung häufig fließend sind, gilt folgende Faustformel: so viel wie nötig und so wenig wie möglich. Das Antwortschreiben sollte deshalb vor Versendung unbedingt auf überschießende Informationsgehalte geprüft werden.
Eine weitere Grenze des Auskunftsumfangs bildet das spezifische Auskunftsverweigerungsrecht des § 40 Abs. 4 S. 2 BDSG. Die auskunftspflichtige Person kann dann die Auskunft verweigern, wenn sie sich oder Angehörige mit der Preisgabe der Information der Gefahr straf- oder ordnungswidrigkeitenrechtlicher Verfolgung aussetzt. § 40 Abs. 4 S. 2 BDSG gewährt insofern kein generelles oder umfassendes Schweigerecht. Nur einzelne Personen, denen eine konkrete persönliche Gefahrenlage droht, können sich darauf berufen. Die generelle Auskunftspflicht des Unternehmens bleibt selbst bei der Gefahr einer Geldbuße für das Unternehmen unberührt.
Auch Unternehmensgeheimnisse müssen der zuständigen Datenschutzaufsicht im Zweifel offengelegt werden. Die Aufsichtsbehörde ist ihrerseits zur Belehrung über das Auskunftsverweigerungsrecht verpflichtet.
DSGVO-Verwarnungen
Im Umgang mit bereits eingetretenen Datenschutzverstößen stellt die Verwarnung gemäß Art. 58 Abs. 2 lit. b DSGVO das mildeste Mittel dar. Während eine Warnung rein präventiv auf die Vermeidung eines zu erwartenden Verstoßes gerichtet ist, hat die Verwarnung dessen Feststellung zum Gegenstand. Im Gegensatz zu weiterreichenden Befugnissen wird durch eine Verwarnung selbst keine Verhaltenspflicht auferlegt. Bei ihrer rechtlichen Natur handelt es sich deshalb um einen feststellenden Verwaltungsakt – ohne vollziehbaren Inhalt.
Als Adressaten einer Verwarnung kommen sowohl Verantwortliche als auch Auftragsverarbeiter in Betracht. Die einzige Voraussetzung einer behördlichen Verwarnung ist ein DSGVO-Verstoß des Verantwortlichen. Die Art des Verstoßes, seine Intensität gegenüber dem Betroffenen oder subjektive Merkmale des Adressaten werden damit ausdrücklich offengelassen. DSGVO-Verstöße können neben ungerechtfertigter Datenverarbeitung beispielsweise auch die Verletzung von Betroffenenrechten oder Informationspflichten sein.
Ob im Fall einer Datenschutzverletzung eine Verwarnung oder eine schärfere Sanktion, etwa ein Bußgeld, folgt, ist deshalb ausschließlich eine Frage der pflichtgemäßen Ermessensausübung durch die Datenschutzaufsicht. Die Behörde ist dabei an keine bestimmte „Sanktionsreihenfolge“ gebunden. Ein Anspruch auf „Herabstufung“ einer schwerwiegenderen Maßnahme auf eine Verwarnung besteht deshalb grundsätzlich nicht.
Die Aufsichtsbehörde kann ihre Entscheidung dennoch nicht nach Belieben fällen, sondern ist an die Einhaltung bestimmter Ermessensregeln gebunden. Insofern spielt der Grundsatz der Verhältnismäßigkeit eine entscheidende Rolle. Die Verwarnung muss nicht nur hinreichend effektiv der Beseitigung des Datenschutzverstoßes dienen, sondern diesbezüglich auch angemessen sein. Da die Verwarnung im Fall einer rechtswidrigen Verarbeitung das mildeste Mittel ist, dürfte dies – bei nicht vollständig bagatellhaften Verstößen – regelmäßig zu bejahen sein.
Welche Konsequenzen hat eine DSGVO-Verwarnung?
Wie bereits angesprochen, hat eine Verwarnung die Feststellung eines DSGVO-Verstoßes zum Gegenstand. Die Verwarnung sieht somit selbst keine umsetzbaren Maßnahmen vor, sondern zielt auf die verbindliche rechtliche Bewertung einer bestimmten Sachlage. Sofern sie nicht angefochten wird, erlangt die Verwarnung binnen eines Monats ab Bekanntgabe – unabhängig von ihrer Rechtmäßigkeit – Bestandskraft. Die Rechtswidrigkeit der gerügten Verarbeitung gilt damit – ob zutreffend oder nicht – als festgestellt. Der Umgang mit einer Verwarnung hat deshalb entscheidenden Einfluss auf die Verhängung weiterer Sanktionen.
Besondere Bedeutung entfaltet sie insofern im Rahmen eines Bußgeldverfahrens. Mit der Verwarnung wird ihr Adressat auf sein – aus Sicht der Behörde – rechtswidriges Handeln hingewiesen. Setzt er seine Verarbeitung dennoch fort, kann die Verwarnung nach Art. 83 Abs. 2 lit. e) DSGVO im Bußgeldverfahren Berücksichtigung finden. Danach wirken sich früher ergangene Verwarnungen bei der behördlichen Entscheidung hinsichtlich des Ob und Wie eines Bußgeldes zulasten des Adressaten aus.
Wann ist eine Anfechtung sinnvoll?
Gegen eine Verwarnung kann der Adressat binnen eines Monats ab Bekanntgabe Anfechtungsklage vor dem zuständigen Verwaltungsgericht erheben. Dabei ist vor allem der zeitliche Aspekt der Klageerhebung entscheidend. Eine umfassende Klagebegründung kann nach fristgerechter Klageerhebung auch im Laufe des Verfahrens nachgereicht werden.
Die Klageerhebung bewirkt, dass die verbindliche Feststellung des Datenschutzverstoßes bis zum Ende des Klageverfahrens aufgeschoben ist. Dies kann sich mittelbar auch auf die Verhängung weiterer Maßnahmen auswirken. Die Behörde ist für deren Erlass zwar nicht an eine zuvor festgestellte Rechtswidrigkeit gebunden, jedoch kann es im Sinne der Prozessökonomie und Verhältnismäßigkeit geboten sein, die ausstehende Klärung der Rechtsfrage abzuwarten. Das gerichtliche Verfahren hat schließlich die Frage nach der Rechtmäßigkeit der erlassenen Verwarnung zum Gegenstand. Implizit wird so auch geprüft, ob der gerügte Verarbeitungsvorgang tatsächlich gegen die DSGVO verstoßen hat. Da in manchen Fällen Rechtsmittel gegen die Gerichtsentscheidung eingelegt werden, kann sich ein solches Verfahren praktisch über Jahre hinweg ziehen.
Ob eine Anfechtung sinnvoll ist, beurteilt sich in erster Linie nach der mutmaßlichen Rechtmäßigkeit einer Verwarnung. Besteht die hinreichend begründete Vermutung, dass die Verwarnung rechtswidrig ergangen ist, sollte man in jedem Fall rechtliche Schritte ergreifen. Soweit dies auf den ersten Blick nicht zweifelsfrei bejaht werden kann, müssen betroffene Unternehmen Prozess- und Verarbeitungsrisiko sorgfältig gegeneinander abwägen. Ergibt die rechtliche und strategische Abwägung, dass auf eine Klage verzichtet werden sollte, müssen die gerügten Mängel der Verarbeitungstätigkeiten schnell und nachhaltig angegangen werden. Die Handhabung einer DSGVO-Verwarnung sollte keinesfalls ohne die Einholung anwaltlichen Rats geschehen.
Fazit: Ruhe bewahren und Beratung einholen
Im Umgang mit Auskunftsverlangen und Verwarnungen lohnt es sich, einen kühlen Kopf zu bewahren. Auch wenn die behördliche Post auf den ersten Blick drastisch scheint, verbleibt dem verantwortlichen Unternehmen in der Regel einiger Handlungsspielraum. Strategisches Vorgehen und eine lückenlose rechtliche Beratung sind insofern ausschlaggebend. Das adressierte Unternehmen sollte der zuständigen Aufsichtsbehörde durch kooperative Kommunikation signalisieren, dass es datenschutzrechtliche Belange ernst nimmt.
Gleichzeitig ist es sinnvoll, überschießende Informationsgehalte zu vermeiden und sich gegen rechtswidrige Maßnahmen zu verteidigen. Im Anschluss an das Verfahren sollten Datenschutzlücken geschlossen, der Prozessablauf evaluiert und mögliches Verbesserungspotenzial diskutiert werden.
Jan O. Baier ist Rechtsanwalt und Associated Partner der Technologiekanzlei SCHÜRMANN ROSENTHAL DREYER Rechtsanwälte und spezialisiert auf das Urheber-, Medien-, IT-, Datenschutz- und Wettbewerbsrecht sowie den gewerblichen Rechtsschutz. Er berät Unternehmen zu rechtlichen und strategischen Fragen der Digitalisierung und ist überdies ein geschätzter Ansprechpartner bei der Vertragsgestaltung im Medienbereich, für IT-Projekte,
Cloud Computing und SaaS. Auch zu Fragen von IT-Wartungsverträgen und Lizenzverträgen verfügt er über eine ausgewiesene Expertise. Sein Mandantenstamm ist unter anderem in den Branchen E-Commerce, Internet und Informationstechnologie, Marketing, Design & PR, Medien, Streaming Services und Software tätig.
Thorsten Mehl ist Rechtsanwalt der Technologiekanzlei SCHÜRMANN ROSENTHAL DREYER Rechtsanwälte und spezialisiert auf das Datenschutzrecht, Wettbewerbsrecht, Marketing, Vertrieb, IT-Recht und Digitales Business.
www.srd-rechtsanwaelte.de