4. Februar 2021
Technology Newsletter Februar 2021 – 2 von 3 Insights
Fragebögen zur Datenverarbeitung, Anhörungsschreiben in einem Bußgeldverfahren oder bereits erlassene Bußgeldbescheide durch eine Datenschutzbehörde: In all diesen Fällen sollte das weitere Vorgehen wohl überlegt sein. Wurden Sie von einer Datenschutzaufsichtsbehörde kontaktiert, können nachfolgende Tipps zum weiteren Vorgehen hilfreich sein.
Bei Kenntnis eines (vermeintlichen) Datenschutzverstoßes wird die Datenschutzbehörde das betroffene Unternehmen als ersten Schritt anschreiben und um Stellungnahme bitten. Dies geschieht häufig in Form eines Fragebogens. Hierbei ist Folgendes zu beachten:
Es bietet sich an, Einsicht in die Verfahrensakte zu beantragen (richtet sich nach verwaltungsrechtlichen Bestimmungen). In der Verfahrensakte können sich interne Vermerke der Behörde befinden, die für das Verständnis des Verfahrenshintergrunds oftmals hilfreich sind.
Es ist häufig zu empfehlen, zu kooperieren und Auskunft zu erteilen. Andernfalls kann die Behörde nämlich selbst tätig werden und beispielsweise Überprüfungen im Unternehmen vor Ort durchführen. In vielen Fällen bietet es sich an, den Sachverhalt bereits selbst rechtlich zu bewerten; nicht jeder von den Aufsichtsbehörden aufgeworfene Sachverhalt ist zwingend rechtlich problematisch.
Aber Achtung: Jeglicher Vortrag kann von der Behörde in einem Bußgeldverfahren verwendet werden. Der vorgeworfene Datenschutzverstoß inklusiver sämtlicher durch das Unternehmen getroffenen Maßnahmen ist daher vor einer Stellungnahme intern vollständig aufzuklären.
Datenschutzverstöße können mit bis zu 4% des gesamten weltweit erzielten Jahresumsatzes geahndet werden. Ein Bußgeld kann die Behörde zusätzlich (!) zu den oben genannten Abhilfebefugnissen erlassen.
Das Bußgeldverfahren ist ein formalisiertes Verfahren, das sich nach den Vorschriften des Rechts der Ordnungswidrigkeiten und der Strafprozessordnung richtet. Aus diesem Grund gelten hier zu Gunsten des betroffenen Unternehmens auch besondere Verfahrensgrundsätze. Hierzu zählen etwa die Unschuldsvermutung und der Grundsatz, dass niemand gezwungen ist, sich selbst zu belasten. Dem Beschuldigten ist vor Erlass eines Bußgeldbescheids rechtliches Gehör zu gewähren. Ein Bußgeldverfahren beginnt daher mit einem Anhörungsschreiben durch die Behörde. Hierbei sind folgende Punkte wichtig:
Bei Erhalt eines Anhörungsschreibens sollte stets Akteneinsicht beantragt werden (richtet sich nach strafprozessualen Vorschriften). Die Behörde ist verpflichtet, Einsicht in die vollständige Ermittlungsakte zu gewähren. Hierzu zählen auch Beschwerden Dritter über den vermeintlichen Datenschutzverstoß, auf Grund derer die Behörde überhaupt erst tätig geworden ist.
Die Strategie zur Verteidigung hängt von dem konkret vorgeworfenen Verstoß ab. Von einer Auskunftsverweigerung einerseits bis hin zu einem vollumfassenden Geständnis nach einer zuvor mit der Behörde verhandelten Maximalgeldlbuße (sog. Settlement-Verfahren) andererseits sind unterschiedliche Strategien möglich. Hierbei sollte stets bedacht werden, dass ein Bußgeldbescheid eine öffentlichkeitswirksame negative Berichterstattung für Unternehmen zur Folge haben kann. Dieser Imageschaden lässt sich bei einem erstmals erlassenen Bußgeldbescheid nur schwer wieder einfangen.
Sowohl gegen behördliche Maßnahmen (z.B. ein Verbot, Daten weiterhin zu verarbeiten) als auch gegen Bußgeldbescheide ist ein gerichtliches Vorgehen möglich.
Die Bußgelder in Sachen H&M (35,3 Millionen EUR; Hamburgischer Beauftragte für Datenschutz und Informationssicherheit) und notebooksbilliger.de (10,4 Millionen EUR, Landesbeauftragte Datenschutz Niedersachsen) zeigen, dass die Behörden sich mittlerweile bei der Verhängung von Rekordbußgeldern übertreffen. Dass derartige Bußgeldbescheide einer gerichtlichen Überprüfung jedoch nicht zwingend Stand halten, hat zuletzt das Urteil des LG Bonn in Sachen 1&1 gezeigt. Hier wurde die ursprünglich behördlich festgesetzte Geldbuße von 9,55 Millionen EUR auf 900.000 EUR durch das Gericht herabgesetzt. Angreifbar kann unter anderem Folgendes sein:
Selbst wenn die gerichtlichen Erfolgsaussichten vielversprechend sind, kann die durch ein Gerichtsverfahren (nochmals) gesteigerte mediale Aufmerksamkeit gegen diesen Weg sprechen. Während die Presse über einen (vermeintlichen) Datenschutzverstoß nämlich ausführlich berichtet, fällt die Berichterstattung über einen am Ende gewonnenen Prozess oft spärlich aus. Hier sollte daher ein etwaiger gerichtlicher Erfolg gegen die Folgen einer negativen Berichterstattung in die Entscheidung über das Vorgehen einbezogen werden.
Behördliche Maßnahmen und Anordnungen
Gegen eine behördliche Maßnahme oder Anordnung kann der Verwaltungsrechtsweg beschritten werden. Das Vorgehen lässt sich wie folgt skizzieren:
Bußgeldbescheide
Bei dem gerichtlichen Vorgehen gegen einen Bußgeldbescheid sollte man nicht mit zu schnellen Ergebnissen rechnen. Grundlegende (datenschutzrechtliche) Rechtsfragen lassen sich in oft erst in der zweiten Instanz zufriedenstellend klären:
Sie suchen Rechtsrat bei einem Verfahren in Datenschutzsachen? Laden Sie hier den Flyer zum Artikel herunter und melden Sie sich bei einem unserer Experten.
Datenschutzrechtliche Aspekte bei der Verarbeitung von Corona-Impfnachweisen durch Privatunternehmen
17. February 2021
4. February 2021
von mehreren Autoren
Was ändert sich für Unternehmen?
17. February 2021