28. Juni 2019Datenschutz

DSGVO: So gelingt die Kooperation mit der Aufsichtsbehörde

Erbittet die Aufsichtsbehörde im Verwaltungsverfahren um Auskunft, schrillen bei vielen Unternehmen gleich die Alarmglocken, weil Bußgelder befürchtet werden. Allerdings kann gerade in diesem Verfahren die Kooperation mit den Aufsichtsbehörden dazu beitragen, Bußgelder zu vermeiden oder zu reduzieren.

Trotz Geltung der Datenschutz-Grundverordnung (DSGVO) – seit dem 25.05.2018 – und ihrer erhöhten Bußgelder sollten Unternehmen berücksichtigen, dass die Aufsichtsbehörden zwar für die Kontrolle der Umsetzung der datenschutzrechtlichen Vorgaben verantwortlich bleiben, aber weiterhin auch eine Beratungsfunktion gegenüber Unternehmen wahrnehmen. Im Folgenden soll aufgezeigt werden, dass die Kooperation mit Aufsichtsbehörden seit Geltung der Datenschutz-Grundverordnung ein wichtiger Faktor bei einer DSGVO-konformen Datenverarbeitung ist und von den Aufsichtsbehörden bei etwaigen Verstößen honoriert wird.

Proaktive Kooperation mit der Aufsichtsbehörde

Aufsichtsbehörden haben nach Maßgabe der DSGVO (wie schon nach der alten Rechtslage gemäß § 38 BDSG a.F.) nicht nur die Aufgabe, bezüglich entsprechender Verstöße zu sanktionieren, sondern auch Unternehmen entsprechend zu beraten, um Verstöße zu vermeiden. Unternehmen sollten daher nicht vor einer regelmäßigen Behördenkommunikation zurückschrecken, sondern diese vielmehr proaktiv selbst suchen und durchführen. Insbesondere vor der Umsetzung neuerer Geschäftsmodelle ist eine Abstimmung mit den Aufsichtsbehörden hinsichtlich datenschutzkonformer Lösungen sinnvoll, um das Geschäftsmodell planbar und mit möglichst geringem (Bußgeld-) Risiko umzusetzen.

Rückfragen der Aufsichtsbehörden

Die Landesdatenschutzbeauftragten könnten nach dem Vorbild Niedersachsens „Querschnittsprüfungen“ zur Umsetzung der DSGVO durchführen. So hat die niedersächsische Landesdatenschutzbeauftragte an 50 Unternehmen einen Fragenkatalog versandt, mittels dessen die Umsetzung der DSGVO in den jeweiligen Unternehmen geprüft werden soll.

Dabei werden unter anderem Fragen zu den folgenden Themenfeldern gestellt:

  • Erstellung von Verzeichnissen der Verarbeitungstätigkeiten (VVT)
  • Gestaltung von Einwilligungserklärungen
  • Gestaltung von Prozessen zum Schutz der Betroffenenrechte
  • Technischer Datenschutz
  • Datenschutz-Folgenabschätzung
  • Gestaltung von Verträgen mit Auftragsverarbeitern
  • Einbindung des Datenschutzbeauftragten in das Unternehmen
  • Vorbereitung des Umgangs mit Meldepflichten
  • Dokumentation der Umsetzung der DSGVO gegenüber den Aufsichtsbehörden

Bei einigen dieser Vorgänge schreibt die DSGVO zwingend die Kooperation mit den Aufsichtsbehörden vor (so etwa, wenn das Ergebnis einer Datenschutz-Folgenabschätzung ein hohes Risiko für die Rechte der Betroffenen aufzeigt). Unabhängig davon, ob die DSGVO eine solche Kooperation ausdrücklich vorschreibt, ist jedoch bei allen Punkten bei entsprechenden Anfragen der Aufsichtsbehörden auf eine fachgerechte und umfassende Beantwortung zu achten, sofern mit der Auskunft keine Selbstbelastung einhergeht. Bereits an dieser Stelle wird damit das Auskunftsverweigerungsrecht relevant.

Behördenkommunikation erfordert dabei das Erstellen von Schriftsätzen, um auf entsprechende Anfragen sachgerecht reagieren zu können. Manche Anfragen erfordern die Vorlage von Mustern (z.B. von Einwilligungserklärungen) oder sonstigen Nachweisen, hier können unsauber oder offen formulierte Antworten schnell die Aufmerksamkeit der Aufsichtsbehörden auf Vorgänge im Unternehmen lenken, obwohl diese in Wahrheit ordnungsgemäß verlaufen.

In einigen Fällen kündigen die Aufsichtsbehörden Prüfungen zur Umsetzung der DSGVO im jeweiligen Unternehmen an, dabei sind die Fristen bis zur Überprüfung in der Regel sehr knapp gesetzt. In solchen Fällen ist dringend davon abzuraten, überstürzt auf entsprechende Ankündigungen zu reagieren. Hier ist zwar ein verschärfter Fokus auf den Datenschutz richtig, aber die Einholung von Rechtsrat nahezu unerlässlich. Natürlich sollten entsprechende Prüfungen einen möglichst nahen Einblick in den Unternehmensalltag gewähren, allerdings sind entsprechende Prüfungen auch rechtlich und tatsächlich vorzubereiten und durch externe Beratung zu begleiten, um die eigenen Bemühungen um Datenschutz auch ausreichend kenntlich machen zu können.

Bußgeldverfahren

Kommt es trotz aller Anstrengungen im Einzelfall doch zu Verstößen, z.B. in Form von Datenpannen, ist es wichtig, mit den Aufsichtsbehörden zu kooperieren, dabei aber zugleich Auskunftsverweigerungsrechte zu kennen und zu berücksichtigen.

Diese Kooperation beginnt bereits bei einer frühzeitigen Meldung etwaiger Datenpannen und der Umsetzung der entsprechenden Empfehlungen der Aufsichtsbehörden, vor allem gegenüber Betroffenen. Die Empfehlungen der Artikel-29-Datenschutzgruppe machen deutlich, dass eine Zusammenarbeit mit den Aufsichtsbehörden zu einer Senkung der Bußgeldhöhe führen kann. Aktuelle Beispiele wie im Bußgeldverfahren gegen die Kommunikationsplattform Knuddels zeigen, dass eine uneingeschränkte Zusammenarbeit mit den Aufsichtsbehörden tatsächlich erhebliche Auswirkungen auf die Bußgeldhöhe haben kann und darüber hinaus dem Image des jeweiligen Unternehmens trotz möglicher Datenpannen zuträglich ist. Um eine entsprechende Kooperation sachgerecht durchführen zu können, sollten alle Empfehlungen der Aufsichtsbehörden auf ihre Umsetzbarkeit geprüft werden, um Missverständnisse zu vermeiden. Nach einer solchen Prüfung sollten entsprechende Protokolle errichtet werden, die es im Notfall den einzelnen Mitarbeitern ermöglichen, den Empfehlungen der Aufsichtsbehörden schnell nachzukommen. Entsprechende Protokolle können auch gemeinsam mit den Aufsichtsbehörden erstellt werden.

Fazit

Aufsichtsbehörden sind keine reinen Bußgeldverhängungsstellen. Vielmehr kann eine fundierte und geplante Kooperation mit ihnen nicht nur das Bußgeldrisiko im Falle von Verstößen senken, sondern darüber hinaus eine hilfreiche Grundlage für eine risikofreie Durchführung von Datenverarbeitungsvorgängen darstellen und zur Verbesserung des Unternehmensimages beitragen. Voraussetzung ist immer eine gut vorbereitete Kooperation und Kommunikation mit den Behörden, auch um sich nicht dem unbegründeten Verdacht von Datenschutzverstößen auszusetzen.

Lesen Sie auch folgenden Beitrag:

Vom Datenschutzvorfall zum Bußgeldbescheid: Wie handelt die Aufsichtsbehörde?

nach oben
Mehr zum Thema

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.