WISSENSWERTES | 30.01.2020
Vermeidung und Minimierung von DSGVO-Bußgeldern – Teil 1
Nicht zuletzt, weil auch in Deutschland inzwischen teils erhebliche Bußgelder wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) verhängt wurden, zuletzt etwa wie berichtet gegen die „Deutsche Wohnen SE“, ist die DSGVO inzwischen im Alltag der Unternehmen angekommen. Mit einer dreiteiligen Blogbeitragsreihe möchten wir Möglichkeiten aufzeigen, wie sich Unternehmen bei der Verteidigung gegen Bußgelder bestmöglich aufstellen können. Der Schlüssel kann dabei auch in einer Zusammenarbeit mit den Aufsichtsbehörden liegen.
Teil 1 – Anfragen der Aufsichtsbehörden und Kooperationspflichten der Verantwortlichen (Art. 31, 58 DSGVO)
Das Aufgabenspektrum der Aufsichtsbehörden ist vielschichtig. Sie fungieren einerseits als Ansprechpartner für Verantwortliche und deren Datenschutzbeauftragte (siehe beispielsweise Art. 57 Abs. 1 Buchst. d und l DSGVO,) und sind darüber hinaus in allererster Linie zur Überwachung und Kontrolle der Verantwortlichen und letztlich deren Sanktionierung berufen.
Anfragen der Aufsichtsbehörden – „informelle“ und „förmliche“
Nicht selten besteht der Erstkontakt zwischen den verantwortlichen Unternehmen und einer Aufsichtsbehörde in einer so genannten „informellen Erstanfrage“ (Art. 31 DSGVO), die mit der Ankündigung verbunden sein kann, dass bei Nichtbeantwortung mit einem Bescheid zu rechnen ist. Inwieweit rechtlich eine Pflicht zur Beantwortung derartiger Anfragen besteht, lässt sich derzeit noch nicht mit Bestimmtheit sagen. Unabhängig von der Frage, ob und wenn ja inwieweit Art. 31 DSGVO den Unternehmen weitere, d.h. über Art. 58 DSGVO hinausgehende Kooperationspflichten auferlegen kann, wird man annehmen müssen, dass die Aufsichtsbehörden eine mangelnde Kooperationsbereitschaft in diesem frühen Stadium bei einer sich ggf. anschließenden Bußgeldbemessung negativ in die Gesamtbetrachtung einbeziehen werden und diese sich daher tendenziell bußgelderhöhend auswirken kann.
Über die „informelle Erstanfrage“ hinaus haben die Aufsichtsbehörden natürlich auch die Möglichkeit, förmliche Anfragen im Rahmen ihrer von der DSGVO eingeräumten Untersuchungsbefugnisse (Art. 58 Abs. 1 a, b, e DSGVO) einzusetzen, um Auskünfte unmittelbar durch Verwaltungsakt abzufordern. Gegen derartige Aufforderungen können Verantwortliche auf dem Verwaltungsrechtsweg vorgehen. Dies könnte unter Umständen sogar notwendig und geboten sein, etwa um Geschäftsgeheimnisse zu wahren. Auf der anderen Seite kann die Datenschutzbehörde Anordnungen mit verwaltungsrechtlichen Zwangsmitteln durchsetzen. Darüber hinaus ist sogar ein Bußgeld wegen mangelnder Kooperation denkbar (Art. 83 Abs. 4 Buchst. a DSGVO). Ob dies vor dem Hintergrund der eigentlich abschließenden Regelung des Art. 58 DSGVO, der auch in Art. 83 Abs. 4 Buchst. a DSGVO nicht genannt wird, tatsächlich zulässig wäre, ist rechtlich umstritten. Das ändert allerdings nichts daran, dass Unternehmen sich mit dieser Frage auseinandersetzen und zur Risikovermeidung bzw. -minimierung eine Entscheidung treffen müssen.
Praxistipp
Die in dieser Beitragsreihe dargelegten Probleme führen dazu, dass die aufgezeigten Optionen von Unternehmen jeweils im Einzelfall sorgfältig abgewogen werden müssen, wenn Datenschutzverstöße festgestellt werden. Die Datenschutzgrundverordnung misst dem Kooperationsgrundsatz zwischen Verantwortlichem und Aufsichtsbehörde hohe Bedeutung zu. Kommen Unternehmen ihren diesbezüglichen Pflichten nicht nach, sind erhebliche Bußgelder denkbar. Eine allgemeine Handlungsempfehlung zum Umgang mit Datenschutzverstößen hinsichtlich der Offenlegung gegenüber den Aufsichtsbehörden oder auch der Allgemeinheit lässt sich allerdings nicht ableiten. Es muss vielmehr In jedem Einzelfall dezidiert geprüft werden, ob die jeweiligen Rahmenbedingungen für oder gegen eine Kooperation sprechen.