Wenn der Datenschützer erst mal klingelt

Seit Inkrafttreten der DSGVO sind datenschutzrechtliche Fragestellungen und Probleme weiter in den Fokus der Öffentlichkeit gerückt. Inzwischen haben die Datenschutzbehörden wegen diverser Verstöße medienwirksam teils hohe Bußgelder verhängt. Und es fehlt nicht an Ankündigungen, dies auch in Zukunft zu tun.

Dabei müssen deutsche Unternehmen auch damit rechnen, zum Beispiel für Vorfälle auf Facebook oder Google zur Rechenschaft gezogen zu werden. So hat das Bundesverwaltungsgericht im Rahmen der datenschutzrechtlichen Zulässigkeit von Unternehmensseiten auf Facebook gestattet, gegen die einzelnen ­Betreiber der Unternehmensseiten vorzugehen, da ein Vorgehen gegen Facebook weniger Erfolg versprechend sei. Auch die föderale Struktur der Bundesrepu­blik macht sich im Datenschutz ­bemerkbar: Die Behörden sind sich innerhalb Deutschlands in vielen Detailfragen nicht einig, sodass je nach Bundesland verschiedene Anforderungen zu erfüllen sind.

Wie die aktuelle Diskussion um den datenschutzkonformen Einsatz von Videokonferenzsystemen zeigt, beschränken sich die Handlungsempfehlungen der Datenschutzbehörden häufig darauf, mitzuteilen, was (angeblich) unzulässig ist, ohne einen rechtskonformen Weg aufzuzeigen. Für jedes Unternehmen heißt es daher, auf ein datenschutzrechtliches Aufsichtsverfahren vorbereitet zu sein.

Die Einleitung eines solchen Verfahrens kann zunächst auf eine Beschwerde von Betroffenen, Mitbewerbern, Mitarbeitern oder sonstigen Dritten zurückgehen. Die Datenschutzbehörden stellen sogar entsprechende Online-Formulare zur Verfügung. Zudem werden die Landesdatenschutzbehörden auch aus eigenem Antrieb tätig, um Datenschutzverstöße aufzuspüren und zu verfolgen. Im Netz lassen sich viele Datenschutzverstöße auch automatisiert feststellen. Schließlich können Anfragen des Unternehmens zu ­datenschutzrechtlichen Fragestellungen bei der zuständigen Datenschutzbehörde ein Aufsichtsverfahren auslösen, wenn der Eindruck entsteht, dass das anfragende Unternehmen sich nicht datenschutzkonform verhält.

In einer perfekten Welt ist ein Unternehmen in einem solchen Fall perfekt vorbereitet. Dies ist in der Praxis aber im Grunde ­unmöglich, da viele datenschutzrechtliche Vorgaben umstritten und rechtlich nicht abschließend geklärt sind.

Ein Verfahren der Datenschutzbehörden beginnt regelmäßig mit einer schriftlichen Anhörung, die fristgemäß beantwortet werden sollte. Häufig werden auch Fragebögen verschickt, um die DSGVO-Konformität der Datenverarbeitung zu prüfen. Spätestens jetzt sind große Sorgfalt und Vorsicht geboten. Die Datenschutzbehörden haben umfassende Auskunftsrechte und Befugnisse (Art. 58 DSGVO). Da die DGSVO zugleich umfangreiche Dokumentationspflichten vorsieht, müssen die Dokumentation und die abgebildeten Prozesse bei der Datenverarbeitung spätestens jetzt auf Vordermann gebracht und fehlende Unterlagen gegebenenfalls auch von Vertragspartnern und Dienstleistern eingeholt werden. Da die Landesdatenschutzbehörden auf ihren Websites umfangreiches Material veröffentlichen, lassen sich dort auch Rückschlüsse auf die Entscheidungspraxis und Tendenzen der für das jeweilige Unternehmen zuständigen Landesdatenschutzbehörde ablesen.

Die DSGVO hat den Bußgeldrahmen in Art. 83 DSGVO, der die ­Bemessung von Strafzahlungen regelt, ganz erheblich ausgeweitet. Das Bußgeld kann bis zu 4 Prozent des weltweit erzielten Jahresumsatzes betragen. Dies ist jedoch nur der Maximalwert. Aber auch im Bereich dieses Rahmens habe einige Landesdatenschutzbehörden Bußgelder verhängt, die als überhöht anzusehen sind. Denn nach § 41 Abs. 1 Bundesdatenschutzgesetz gelten für Verstöße gegen Art 83 DSGVO die Vorschriften des OWiG (Gesetz über Ordnungswidrigkeiten). Nach den Paragrafen 30 und 130 OWiG kann ein Bußgeld gegen ein Unternehmen letztlich nur verhängt werden, wenn ein Mitarbeiter in leitender Funktion einen Datenschutzverstoß begangen oder seine Aufsichtspflichten verletzt hat - und wenn dieses Verhalten vorsätzlich oder fahrlässig war.

Der gerichtsfeste Nachweis entsprechender Tatumstände dürfte den Datenschutzbehörden schwerfallen. Mitunter wird von Datenschutzbehörden allerdings die Ansicht vertreten, dass die Vorgaben des OWiG einschränkend auszulegen sind und die Voraussetzungen der §§ 30, 130 OWiG keine ­Anwendung finden, um so die Durchsetzung der ­DSGVO gegen Unternehmen zu erleichtern. Diese Ansicht wird von vielen Juristen völlig zu Recht nicht geteilt und dürfte einer gerichtlichen Überprüfung nicht standhalten.

Im Umgang mit den Datenschutzbehörden sollten Unternehmer immer beachten, dass die Behörden in einer Auseinandersetzung um Sanktionen wegen DSGVO-Verstößen nicht das letzte Wort ­haben. Über die Rechtmäßigkeit von Anordnungen und Bußgeldern entscheiden letztlich die Gerichte, und das oft nach mehreren Instanzen. Die Datenschutzbehörden müssen ihrerseits einen nicht unerheblichen Aufwand betreiben, um die Gründe für ihre Entscheidungen gerichtsfest nachzuweisen und zu dokumentieren. Zudem müssen Anordnungen und Bußgelder dem Verhältnismäßigkeitsprinzip entsprechen. All dies bietet zahlreiche Ansatzpunkte, um sich erfolgreich gegen Anordnungen und Bußgelder der Datenschutzbehörden vor Gericht zur Wehr zu setzen.

Deshalb bedeutet dies in der Praxis: Wenn der Datenschützer klingelt, gilt es, Ruhe zu bewahren. Den Behörden sind die zahlreichen rechtlichen Unwägbarkeiten und Streitfragen rund um die DSGVO bekannt. Häufig lässt sich eine für alle Beteiligten ­akzeptable Lösung erzielen, sofern man seine datenschutzrechtlichen Hausaufgaben gemacht oder nachgemacht hat. Dabei gilt es, sachlich und bestimmt mit den Datenschutzbehörden zu verhandeln. Eine Blockadehaltung hat sich im Regelfall nicht ­bewährt. Und nicht vergessen: Ein Datenschutzverstoß bedeutet nicht automatisch, dass ein Bußgeld verhängt wird.