Behördenverfahren: Tipps für den richtigen Umgang mit der Aufsichtsbehörde

Viele Unternehmen assoziieren mit dem Stichwort „Datenschutz“ sofort die drohenden hohen Bußgelder der DSGVO im Fall von Datenschutzverstößen. Bis es jedoch von einem Datenschutzvorfall zu einem Bußgeld kommt, dauert es aufgrund des langen Verfahrens eine Weile. Innerhalb der verschiedenen Verfahrensschritte gibt es sowohl seitens der Datenschutzaufsichtsbehörde als auch des Verantwortlichen mehrere Möglichkeiten, das Verfahren schon vor einem Bußgeld zu beenden.

Ausschlaggebend ist dabei nicht nur der Sachverhalt. Auch die gesamte Kommunikation mit der Behörde kann das Verfahren und damit auch das Ergebnis des Verfahrens beeinflussen. Grundsätzlich gilt: Nicht in Panik verfallen, wenn sich die Behörde bei Ihnen meldet! Es gilt dann jedoch das richtige Verhalten im Umgang mit der Behörde an den Tag zu legen.

Im Folgenden zeigen wir Ihnen auf, wie das Verfahren von einem Datenschutzvorfall bis zum Bußgeldbescheid abläuft und wie Sie richtig mit der Behörde kommunizieren, um den für Sie bestmöglichen Ausgang des Verfahrens zu erreichen.

Das Behördenverfahren im Überblick

Bevor die Datenschutzbehörde überhaupt irgendein Verfahren einleiten kann, muss sie Kenntnis von einem möglichen Datenschutzvorfall erlangen. Entweder ist sie selbst zu der Vermutung gekommen, dass es einen Datenschutzvorfall gegeben hat oder eine betroffene Person reicht Beschwerde ein. Im Folgenden kann die Behörde das verwaltungsrechtliche Verfahren einleiten und das erste Schreiben an die verantwortliche Stelle schicken. In diesem Schreiben wird in der Regel von „Auskunftsersuchen“, „Anhörung“ und „möglicher Datenschutzverstoß“ die Rede sein. Das Schreiben enthält einen Fragenkatalog, dessen Beantwortung unverzüglich zu erfolgen hat.

Hier kommt in Betracht, Gebrauch von seinem eventuell vorliegenden Auskunftsverweigerungsrecht zu machen. Die Rechtslage in Bezug auf das „Wer“ und „Wann“ des Auskunftsverweigerungsrechts ist allerdings ungeklärt, sodass sich zurzeit mehrere Handlungsalternativen ergeben können. Dies ist insbesondere in Anbetracht des Spannungsfelds zu sehen, dass sich zum einen selbstbelastende Äußerungen für ein späteres Straf- oder Ordnungswidrigkeitenverfahren negativ auswirken können, andererseits aber die Verweigerung von Zusammenarbeit mit der Aufsichtsbehörde ebenfalls zu Sanktionen führen kann.

Je nachdem, wie man auf das Auskunftsersuchen reagiert, ergeben sich verschiedene Möglichkeiten, wie das Verfahren nun weitergeht. Gehen wir einmal von dem „schlimmsten Fall“ aus, dass die Auskunft erteilt wurde, die Behörde nun eine Gesamtwürdigung des Materials vornimmt und zu dem Ergebnis kommt, dass ein Datenschutzverstoß vorliegt. In diesem Fall wird der zuständige Sachbearbeiter den Fall an die Sanktionsstelle der Behörde weiterleiten. Diese ist für das Bußgeldverfahren an sich zuständig, das ein Ordnungswidrigkeitenverfahren nach dem Ordnungswidrigkeitengesetz (OWiG) darstellt.

Das Bußgeldverfahren beginnt mit einem Vorverfahren (Ermittlungsverfahren). Dieses sieht eine Anhörung vor, die mündlich oder schriftlich erfolgen kann. Auch hier kann der Beschuldigte (also die verantwortliche Stelle) ein umfassendes Schweigerecht nutzen. Das Ermittlungsverfahren kommt wiederum im schlimmsten Fall mit der Festsetzung einer Geldbuße zu einem Ende.
Sobald der Bußgeldbescheid zugestellt wurde, beginnt das Zwischenverfahren. Der Beschuldigte kann Einspruch gegen den Bescheid einlegen (innerhalb von zwei Wochen). So bekommt die Behörde die Möglichkeit, ihre Entscheidung noch einmal zu überdenken. Im besten Fall tut sie das auch zugunsten des Beschuldigten, doch schwarzmalerisch gehen wir wieder davon aus, dass die Behörde es unbedingt darauf ankommen lassen will und die Akten an die Staatsanwaltschaft weiterleitet, die ab diesem Zeitpunkt die Herrin des weiteren Verfahrens ist.
Auch dort werden die Akten umfangreich gesichtet und wenn die Staatsanwaltschaft zu dem Ergebnis kommt, dass ein hinreichender Tatverdacht gegeben ist, gibt sie die Akten an das zuständige Gericht weiter. Je nach Höhe der angesetzten Geldbuße prüft das Amtsgericht oder das Landgericht die Zulässigkeit des Einspruchs.

Das kann zu vier verschiedenen Konstellationen führen:

  • Zurückverweisung an Behörde mit Zustimmung der Staatsanwaltschaft, wenn der Sachverhalt nicht genügend aufgeklärt ist.
  • Einstellung des Verfahrens mit Zustimmung von Staatsanwaltschaft und Behörde.
  • Entscheidung im Beschlussverfahren (d.h. ohne mündliche Verhandlung und nur nach Aktenlage)
  • Entscheidung durch Urteil nach einer mündlichen Hauptverhandlung.

Im Rahmen einer mündlichen Hauptverhandlung kann der Beschuldigte entweder freigesprochen oder verurteilt werden. Rechtsmittel sind hier generell noch möglich, doch spätestens danach schließt sich das Vollstreckungsverfahren an. Spätestens hier muss das Bußgeld bezahlt werden. Das Verfahren ist dann beendet.

Die richtige Kommunikation mit der Behörde

Eben hat sich gezeigt, dass das aufsichtsbehördliche Verfahren durchaus auf die Mitwirkung des Verantwortlichen angewiesen ist. Dieser hat die Möglichkeit, in verschiedenen Konstellationen vollumfänglich zu kooperieren oder auch vom Auskunftsverweigerungsrecht bzw. Schweigerecht Gebrauch zu machen. Es ist jedoch nicht möglich zu sagen, wann in welchem Umfang kooperiert werden sollte oder wann es Sinn ergibt, von den Verweigerungsrechten Gebrauch zu machen, den Einspruch einzulegen oder eben nicht einzulegen. Dies sollte in jedem Einzelfall erneut in enger Zusammenarbeit mit Ihren Datenschutzexperten entschieden werden.

An diesen Fakten sollte man sich jedoch orientieren:

  • Die Nichtzusammenarbeit mit der Datenschutzbehörde ist bußgeldbewährt: Man sollte, wenn man sich bspw. entscheidet nicht vollumfänglich während des Verwaltungsverfahrens Auskunft zu erteilen, daran denken, dass schon allein die Nichtzusammenarbeit mit der Behörde ebenfalls zu einem Bußgeld führen kann.
  • Beratungsfunktion der Aufsichtsbehörden: Die Aufsichtsbehörden sind nicht nur dazu da, um Sanktionen zu verhängen. Sie haben auch die Funktion, beratend tätig zu werden, um Verstößen gegen das Datenschutzrecht vorzubeugen.

Unternehmen können sich daher in diesem weiten Spektrum bewegen und immer für sich neu entscheiden, was sie für den besten Weg für den Umgang mit der Behörde halten. Insbesondere, dass eine proaktive Zusammenarbeit der Behörde mehr Erfolg haben kann als Heimlichtuerei, ist spätestens seit dem Fall Knuddels bekannt. Nach einer schweren Datenpanne hat das Chatportal aktiv mit der Datenschutzbehörde zur Aufklärung des Falls zusammengearbeitet und zugesichert, technisch seine Sicherheitsmaßnahmen aufzurüsten. Dies führte zu einer deutlichen Verringerung (jedoch nicht Verhinderung) des Bußgelds.

Der aktive kommunikative Umgang mit der Datenschutzbehörde kann zudem bereits an den Stellen geübt werden, wo zwingend die Kooperation mit der Behörde vorgeschrieben ist. Das ist z.B. der Fall, wenn das Ergebnis einer Datenschutz-Folgenabschätzung (DSFA) ein hohes Risiko für Betroffenenrechte aufzeigt. Generell ist bei der Zusammenarbeit mit der Behörde darauf zu achten, fachgerecht und umfassend die Anfragen zu beantworten, solange das mit dem Recht auf Selbstbelastungsfreiheit im Einklang ist.

Fazit: Jeden Schritt durchdenken – kein unüberlegtes Handeln!

In aller Kürze:

  1. Die Kommunikation im Verwaltungsverfahren: Die Auskunft sollte erteilt werden, wenn das Auskunftsverweigerungsrecht nicht geltend gemacht werden kann. In welchem Umfang die Auskunft allerdings erfolgen soll, ist im Einzelfall zu entscheiden.
  2. Die Kommunikation im Bußgeldverfahren: Im Ermittlungsverfahren kann und sollte ggf. von einem Schweigerecht Gebrauch gemacht werden. Im Zwischenverfahren sollte ebenso sorgfältig die Möglichkeit eines Einspruchs geprüft werden, da ggf. der Bußgeldbescheid danach höher ausfallen kann als vorher! Einspruch kann auch nur in Bezug auf die Rechtsfolge (Höhe des Bußgelds) eingelegt werden und später zurückgenommen werden.

Es gibt keine Vorgehensweise im Umgang mit der Datenschutzaufsichtsbehörde, die man generell für alle Situationen empfehlen könnte. Unternehmen sollten sich immer eng mit Ihren Datenschutzexperten absprechen und in jedem Stadium des Bußgeldverfahrens neu über das Vorgehen beraten. Im ersten Auskunftsersuchen der Behörde sollten Sie sich dann mit Ihrem Experten Antworten auf folgende Fragen überlegen:

  1. Ist das Verhalten des Unternehmens als Datenschutzverstoß zu qualifizieren oder ist eine solche Bewertung zumindest möglich?
  2. Geht die Beantwortung der Fragen inhaltlich über den bereits von der Behörde vorgetragenen Sachverhalt hinaus?
  3. Sind diese Angaben geeignet, das Unternehmen zu schädigen?

Sind diese Fragen zu beantworten, sollten Sie gemeinsam überlegen eine Kanzlei mit der Frage zu betrauen, ob eine Auskunftsverweigerung Sinn macht. Die Rechts- und IT-Experten der ISiCO Datenschutz GmbH sind Ihre vertrauensvollen Ansprechpartner in allen Fragen des Datenschutzes. Wir weisen die Expertise im Umgang mit den Datenschutzbehörden auf und können zusammen mit Ihnen individuelle Lösungen und Strategien im Umgang mit der Behördenkommunikation entwickeln und ggf. unsere Partner von der im Datenschutzrecht spezialisierten Rechtsanwaltskanzlei Schürmann Rosenthal Dreyer miteinbeziehen.

Lesen Sie auch folgenden Beitrag:

Umgang mit Betroffenenanfragen – Worauf kommt es an?

Wir melden uns bei Ihnen!

In unserer Datenschutzerklärung finden Sie weitere Informationen, wie wir mit Ihren personenbezogenen Daten umgehen und welche Rechte Sie haben.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.