WISSENSWERTES | 30.01.2020

Vermeidung und Minimierung von DSGVO-Bußgeldern – Teil 1

 

Nicht zuletzt, weil auch in Deutschland inzwischen teils erhebliche Bußgelder wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) verhängt wurden, zuletzt etwa wie berichtet gegen die „Deutsche Wohnen SE“, ist die DSGVO inzwischen im Alltag der Unternehmen angekommen. Mit einer dreiteiligen Blogbeitragsreihe möchten wir Möglichkeiten aufzeigen, wie sich Unternehmen bei der Verteidigung gegen Bußgelder bestmöglich aufstellen können. Der Schlüssel kann dabei auch in einer Zusammenarbeit mit den Aufsichtsbehörden liegen.

 

Teil 1 – Anfragen der Aufsichtsbehörden und Kooperationspflichten der Verantwortlichen (Art. 31, 58 DSGVO)

 

Das Aufgabenspektrum der Aufsichtsbehörden ist vielschichtig. Sie fungieren einerseits als Ansprechpartner für Verantwortliche und deren Datenschutzbeauftragte (siehe beispielsweise Art. 57 Abs. 1 Buchst. d und l DSGVO,) und sind darüber hinaus in allererster Linie zur Überwachung und Kontrolle der Verantwortlichen und letztlich deren Sanktionierung berufen.

 

Anfragen der Aufsichtsbehörden – „informelle“ und „förmliche“

 

Nicht selten besteht der Erstkontakt zwischen den verantwortlichen Unternehmen und einer Aufsichtsbehörde in einer so genannten „informellen Erstanfrage“ (Art. 31 DSGVO), die mit der Ankündigung verbunden sein kann, dass bei Nichtbeantwortung mit einem Bescheid zu rechnen ist. Inwieweit rechtlich eine Pflicht zur Beantwortung derartiger Anfragen besteht, lässt sich derzeit noch nicht mit Bestimmtheit sagen. Unabhängig von der Frage, ob und wenn ja inwieweit Art. 31 DSGVO den Unternehmen weitere, d.h. über Art. 58 DSGVO hinausgehende Kooperationspflichten auferlegen kann, wird man annehmen müssen, dass die Aufsichtsbehörden eine mangelnde Kooperationsbereitschaft in diesem frühen Stadium bei einer sich ggf. anschließenden Bußgeldbemessung negativ in die Gesamtbetrachtung einbeziehen werden und diese sich daher tendenziell bußgelderhöhend auswirken kann.

 

Über die „informelle Erstanfrage“ hinaus haben die Aufsichtsbehörden natürlich auch die Möglichkeit, förmliche Anfragen im Rahmen ihrer von der DSGVO eingeräumten Untersuchungsbefugnisse (Art. 58 Abs. 1 a, b, e DSGVO) einzusetzen, um Auskünfte unmittelbar durch Verwaltungsakt abzufordern. Gegen derartige Aufforderungen können Verantwortliche auf dem Verwaltungsrechtsweg vorgehen. Dies könnte unter Umständen sogar notwendig und geboten sein, etwa um Geschäftsgeheimnisse zu wahren. Auf der anderen Seite kann die Datenschutzbehörde Anordnungen mit verwaltungsrechtlichen Zwangsmitteln durchsetzen. Darüber hinaus ist sogar ein Bußgeld wegen mangelnder Kooperation denkbar (Art. 83 Abs. 4 Buchst. a DSGVO). Ob dies vor dem Hintergrund der eigentlich abschließenden Regelung des Art. 58 DSGVO, der auch in Art. 83 Abs. 4 Buchst. a DSGVO nicht genannt wird, tatsächlich zulässig wäre, ist rechtlich umstritten. Das  ändert allerdings nichts daran, dass Unternehmen sich mit dieser Frage auseinandersetzen und zur Risikovermeidung bzw. -minimierung eine Entscheidung treffen müssen.

 

Praxistipp

 

Die in dieser Beitragsreihe dargelegten Probleme führen dazu, dass die aufgezeigten Optionen von Unternehmen jeweils im Einzelfall sorgfältig abgewogen werden müssen, wenn Datenschutzverstöße festgestellt werden. Die Datenschutzgrundverordnung misst dem Kooperationsgrundsatz zwischen Verantwortlichem und Aufsichtsbehörde hohe Bedeutung zu. Kommen Unternehmen ihren diesbezüglichen Pflichten nicht nach, sind erhebliche Bußgelder denkbar. Eine allgemeine Handlungsempfehlung zum Umgang mit Datenschutzverstößen hinsichtlich der Offenlegung gegenüber den Aufsichtsbehörden oder auch der Allgemeinheit lässt sich allerdings nicht ableiten. Es muss vielmehr In jedem Einzelfall dezidiert geprüft werden, ob die jeweiligen Rahmenbedingungen für oder gegen eine Kooperation sprechen.


Aktuelle Beiträge

WISSENSWERTES | 12.01.2021

Keine Beschäftigung ohne Maske

Maskenpflicht während der Arbeitszeit   Mit Urteil vom 16. Dezember 2020 hat das Arbeitsgericht Siegburg entschieden, dass der Arbeitgeber das Tragen einer Mund-Nase-Bedeckung während der Arbeitszeit anordnen darf.   Der Kläger war bei der beklagten Arbeitgeberin als Verwaltungsmitarbeiter im Rathaus angestellt. Die Arbeitgeberin ordnete schriftlich das Tragen einer ...

TERMINE | 12.01.2021

Webinar „Aktuelles im Arbeitsrecht“

Dr. Iris Henkel referiert am 21. Januar 2021 bei firm- Training & Seminare in Leipzig zum Thema: „Neues aus dem Beschäftigtendatenschutz“ und „Aktuelle Rechtsprechung des Jahres 2020“   Das Seminar geht von 9 Uhr bis 12.15 Uhr.   Das Seminar steht interessierten Geschäftsführern und Personalverantwortlic...