Autoren

Dr. Axel Frhr. von dem Bussche, LL.M. (LSE)

Partner

Read More

Dr. Carolin Monsees

Senior Associate

Read More

Dr. Paul Voigt, Lic. en Derecho, CIPP/E

Partner

Read More
Autoren

Dr. Axel Frhr. von dem Bussche, LL.M. (LSE)

Partner

Read More

Dr. Carolin Monsees

Senior Associate

Read More

Dr. Paul Voigt, Lic. en Derecho, CIPP/E

Partner

Read More

4. Februar 2021

Technology Newsletter Februar 2021 – 2 von 3 Insights

Behördliche und gerichtliche Verfahren bei Datenschutzverstößen – Unsere Tipps

  • In-depth analysis

Fragebögen zur Datenverarbeitung, Anhörungsschreiben in einem Bußgeldverfahren oder bereits erlassene Bußgeldbescheide durch eine Datenschutzbehörde: In all diesen Fällen sollte das weitere Vorgehen wohl überlegt sein. Wurden Sie von einer Datenschutzaufsichtsbehörde kontaktiert, können nachfolgende Tipps zum weiteren Vorgehen hilfreich sein.

Fragebogen im Verwaltungsverfahren

Bei Kenntnis eines (vermeintlichen) Datenschutzverstoßes wird die Datenschutzbehörde das betroffene Unternehmen als ersten Schritt anschreiben und um Stellungnahme bitten. Dies geschieht häufig in Form eines Fragebogens. Hierbei ist Folgendes zu beachten:

Schritt 1: Akteneinsicht

Es bietet sich an, Einsicht in die Verfahrensakte zu beantragen (richtet sich nach verwaltungsrechtlichen Bestimmungen). In der Verfahrensakte können sich interne Vermerke der Behörde befinden, die für das Verständnis des Verfahrenshintergrunds oftmals hilfreich sind.

Schritt 2: Gemeinsame Lösung finden & Taktik zum Vortrag

Es ist häufig zu empfehlen, zu kooperieren und Auskunft zu erteilen. Andernfalls kann die Behörde nämlich selbst tätig werden und beispielsweise Überprüfungen im Unternehmen vor Ort durchführen. In vielen Fällen bietet es sich an, den Sachverhalt bereits selbst rechtlich zu bewerten; nicht jeder von den Aufsichtsbehörden aufgeworfene Sachverhalt ist zwingend rechtlich problematisch.

Aber Achtung: Jeglicher Vortrag kann von der Behörde in einem Bußgeldverfahren verwendet werden. Der vorgeworfene Datenschutzverstoß inklusiver sämtlicher durch das Unternehmen getroffenen Maßnahmen ist daher vor einer Stellungnahme intern vollständig aufzuklären.

Schritt 3: Beendigung des Verfahrens

Nach Aufklärung des vorgeworfenen Datenschutzverstoßes wird die Behörde das Verfahren häufig durch eine sogenannte Abhilfemaßnahme abschließen. Dies kann etwa in Form einer Verwarnung, eine Anweisung oder auch eines Verbots geschehen. Gegen all diese Maßnahmen ist ein gerichtliches Vorgehen möglich.
Anhörung im Bußgeldverfahren

Datenschutzverstöße können mit bis zu 4% des gesamten weltweit erzielten Jahresumsatzes geahndet werden. Ein Bußgeld kann die Behörde zusätzlich (!) zu den oben genannten Abhilfebefugnissen erlassen.

Das Bußgeldverfahren ist ein formalisiertes Verfahren, das sich nach den Vorschriften des Rechts der Ordnungswidrigkeiten und der Strafprozessordnung richtet. Aus diesem Grund gelten hier zu Gunsten des betroffenen Unternehmens auch besondere Verfahrensgrundsätze. Hierzu zählen etwa die Unschuldsvermutung und der Grundsatz, dass niemand gezwungen ist, sich selbst zu belasten. Dem Beschuldigten ist vor Erlass eines Bußgeldbescheids rechtliches Gehör zu gewähren. Ein Bußgeldverfahren beginnt daher mit einem Anhörungsschreiben durch die Behörde. Hierbei sind folgende Punkte wichtig:

Schritt 1: Stets Akteneinsicht

Bei Erhalt eines Anhörungsschreibens sollte stets Akteneinsicht beantragt werden (richtet sich nach strafprozessualen Vorschriften). Die Behörde ist verpflichtet, Einsicht in die vollständige Ermittlungsakte zu gewähren. Hierzu zählen auch Beschwerden Dritter über den vermeintlichen Datenschutzverstoß, auf Grund derer die Behörde überhaupt erst tätig geworden ist.

Schritt 2: Verteidigungsstrategie

Die Strategie zur Verteidigung hängt von dem konkret vorgeworfenen Verstoß ab. Von einer Auskunftsverweigerung einerseits bis hin zu einem vollumfassenden Geständnis nach einer zuvor mit der Behörde verhandelten Maximalgeldlbuße (sog. Settlement-Verfahren) andererseits sind unterschiedliche Strategien möglich. Hierbei sollte stets bedacht werden, dass ein Bußgeldbescheid eine öffentlichkeitswirksame negative Berichterstattung für Unternehmen zur Folge haben kann. Dieser Imageschaden lässt sich bei einem erstmals erlassenen Bußgeldbescheid nur schwer wieder einfangen.

Gerichtliches Vorgehen

Sowohl gegen behördliche Maßnahmen (z.B. ein Verbot, Daten weiterhin zu verarbeiten) als auch gegen Bußgeldbescheide ist ein gerichtliches Vorgehen möglich.

1. Vorgehen gegen Bußgeldbescheid: Rechtliche Erfolgsaussichten vs. mediale Aufmerksamkeit

Die Bußgelder in Sachen H&M (35,3 Millionen EUR; Hamburgischer Beauftragte für Datenschutz und Informationssicherheit) und notebooksbilliger.de (10,4 Millionen EUR, Landesbeauftragte Datenschutz Niedersachsen) zeigen, dass die Behörden sich mittlerweile bei der Verhängung von Rekordbußgeldern übertreffen. Dass derartige Bußgeldbescheide einer gerichtlichen Überprüfung jedoch nicht zwingend Stand halten, hat zuletzt das Urteil des LG Bonn in Sachen 1&1 gezeigt. Hier wurde die ursprünglich behördlich festgesetzte Geldbuße von 9,55 Millionen EUR auf 900.000 EUR durch das Gericht herabgesetzt. Angreifbar kann unter anderem Folgendes sein:

  • Verwertung von Informationen eines gemeldeten Datenschutzverstoßes
    Erkenntnisse aus ordnungsgemäß gemeldeten Datenschutzvorfällen dürfen die Datenschutzbehörden nicht zur (alleinigen) Grundlage eines Bußgeldes machen.
  • Nichteinhaltung gesetzlicher Vorgaben (hier: Ordnungswidrigkeitengesetz, OWiG)
    In welchem Umfang einem Unternehmen als juristische Person ein Datenschutzverstoß überhaupt zugerechnet werden kann, ist bisher nicht höchstrichterlich geklärt. Die Behörden wenden die eigentlich anwendbaren Vorschriften des OWiG teilweise gar nicht an.
  • Höhe des Bußgeldes nicht angemessen
    Das alleinige Abstellen auf den Konzernumsatz zur Ermittlung der Bußgeldhöhe ist nicht ausreichend. Die Behörde darf diesen vielmehr nur als ein Kriterium heranziehen, muss daneben aber auch mildernde Umstände zu Gunsten des Unternehmens berücksichtigen.

Selbst wenn die gerichtlichen Erfolgsaussichten vielversprechend sind, kann die durch ein Gerichtsverfahren (nochmals) gesteigerte mediale Aufmerksamkeit gegen diesen Weg sprechen. Während die Presse über einen (vermeintlichen) Datenschutzverstoß nämlich ausführlich berichtet, fällt die Berichterstattung über einen am Ende gewonnenen Prozess oft spärlich aus. Hier sollte daher ein etwaiger gerichtlicher Erfolg gegen die Folgen einer negativen Berichterstattung in die Entscheidung über das Vorgehen einbezogen werden.

2. Übersicht Instanzenzug

Behördliche Maßnahmen und Anordnungen

Gegen eine behördliche Maßnahme oder Anordnung kann der Verwaltungsrechtsweg beschritten werden. Das Vorgehen lässt sich wie folgt skizzieren:

  • Erste Instanz: Verwaltungsgericht 
    Eine behördliche Maßnahme (z.B. das Verbot, bestimmte Daten zu verarbeiten) stellt zumeist einen sogenannten Verwaltungsakt dar. Gegen einen solchen kann innerhalb eines Monats nach Bekanntgabe Klage beim Verwaltungsgericht erhoben werden. Ein Vorverfahren, bei dem die Rechtmäßigkeit der Maßnahme vorab nochmals von einer Behörde überprüft wird, findet nicht statt. Das Gericht hat den Sachverhalt von Amts wegen vollständig aufzuklären. Die Entscheidung des Gerichts ergeht grundsätzlich nach einer mündlichen Verhandlung.
    Zeitrahmen: ca. 12 Monate 
  • Zweite Instanz: Oberverwaltungsgericht
    Wenn das Verwaltungsgericht in seinem erstinstanzlichen Urteil die Berufung zulässt (z.B. bei grundsätzlicher Bedeutung der Rechtssache), kann diese innerhalb eines Monats nach Zustellung des Urteils eingelegt werden. Die Berufung ist innerhalb eines weiteren Monats zu begründen. Das Oberverwaltungsgericht legt fest, ob eine mündliche Verhandlung für die Entscheidung erforderlich ist.
    Zeitrahmen: ca. 12 bis 24 Monate

Bußgeldbescheide

Bei dem gerichtlichen Vorgehen gegen einen Bußgeldbescheid sollte man nicht mit zu schnellen Ergebnissen rechnen. Grundlegende (datenschutzrechtliche) Rechtsfragen lassen sich in oft erst in der zweiten Instanz zufriedenstellend klären:

  • Erste Instanz: Amts- bzw. Landgerichte
    In Abweichung von der sonst üblichen erstinstanzlichen Zuständigkeit der Amtsgerichte entscheiden bei datenschutzrechtlichen Sachverhalten die Landgerichte ab einer Geldbuße von 100.000 Euro. Diese besondere Zuständigkeit führt dazu, dass sich die bis dato kaum im Datenschutz- und Ordnungswidrigkeitenrecht bewanderten Richter erst in die neue Materie einarbeiten müssen. Stehen bei dem Bußgeldbescheid daher grundlegende Rechtsfragen im Raum, sollte man die zweite Instanz bereits mit einplanen.
    Zeitrahmen Zwischenverfahren und erste Instanz: ca. 6 bis 12 Monate
  • Gegen den Bußgeldbescheid ist zunächst ein Einspruch bei der Aufsichtsbehörde einzulegen. In diesem Einspruch sind die rechtlichen Gründe dargelegt, aufgrund derer man den Bußgeldbescheid als unrechtmäßig bewertet. Die Behörde erhält anhand dieses Einspruchs nochmals die Möglichkeit, den Bußgeldbescheid selbst zu überprüfen und ggf. aufzuheben (sog. Zwischenverfahren). Wenn die Behörde den Bußgeldbescheid nicht zurücknimmt, leitet sie die Akte über die Staatsanwaltschaft an das zuständige Gericht weiter.
  • Hieran schließt sich dann erst das eigentliche Gerichtsverfahren vor dem Amts- bzw. Landgericht an. Eine schriftliche Stellungnahme ist innerhalb einer vom Gericht gesetzten Frist abzugeben (ca. 4 Wochen). Eine Entscheidung ergeht in den meisten Fällen nach einer mündlichen Verhandlung.
  • Zweite Instanz: Oberlandesgericht
    Die Oberlandesgerichte sind in zweiter Instanz zuständig und haben spezielle Strafsenate, die sich nur mit Bußgeldsachen beschäftigen.
    Zeitrahmen zweite Instanz: ca. 6 bis 18 Monate:
    • Gegen die erstinstanzliche Entscheidung ist innerhalb einer Woche das Rechtsmittel der Beschwerde einzulegen. Diese Beschwerde ist dann innerhalb eines weiteren Monats zu begründen.
    • Eine Entscheidung ergeht in den meisten Fällen nach einer mündlichen Verhandlung.

Sie suchen Rechtsrat bei einem Verfahren in Datenschutzsachen? Laden Sie hier den Flyer zum Artikel herunter und melden Sie sich bei einem unserer Experten.

In dieser Serie

Coronavirus

Ohne Corona-Impfung kein Einlass?

Datenschutzrechtliche Aspekte bei der Verarbeitung von Corona-Impfnachweisen durch Privatunternehmen

Briefing

von Rita Danz, Maître en droit

Technology, Media & Communications

Behördliche und gerichtliche Verfahren bei Datenschutzverstößen – Unsere Tipps

In-depth analysis

von Mehrere Autoren

Technology, Media & Communications

Verbindliche Frauenquote in Vorständen – Women in Tech?

Was ändert sich für Unternehmen?

Briefing

von Dr. Julia Petersen, Brigitte Sommer

Call To Action Arrow Image

Newsletter-Anmeldung

Wählen Sie aus unserem Angebot Ihre Interessen aus!

Jetzt abonnieren
Jetzt abonnieren

Related Insights

Technology, Media & Communications

GDPR Representatives in the EU and the UK after Brexit

8. März 2021

von Dr. Paul Voigt, Lic. en Derecho, CIPP/E

Klicken Sie hier für Details
Brexit

BREXIT - Checkliste

15. Februar 2021
In-depth analysis

von mehreren Autoren

Klicken Sie hier für Details
Technology, Media & Communications

Tech & Law TV im Überblick

27. Januar 2021
Briefing

von Dr. Axel Frhr. von dem Bussche, LL.M. (LSE)

Klicken Sie hier für Details