23.05.2019
Vom Datenschutzvorfall zum Bußgeldbescheid: Wie handelt die Aufsichtsbehörde?
Wie laufen Behördenverfahren im Datenschutz überhaupt ab? Wo und wie erfahren Unternehmen, dass gegen sie ein Verfahren läuft und wie können sie handeln? Im Folgenden klären wir Sie über das aufsichtsbehördliche Verfahren im Datenschutzrecht auf. Dabei wird der Fokus auf die Sanktion des Bußgeldes gelegt.
Die vorhergesagte große Abmahnwelle nach Inkrafttreten der DSGVO blieb in Deutschland zwar bisher aus, allerdings wird sie nun mit Blick auf die ergangenen Sanktionen in anderen EU-Ländern erneut heraufbeschworen: In Frankreich erhielt der Internetgigant Google einen Bußgeldbescheid in Höhe von 50 Millionen Euro, ein Krankenhaus in Portugal musste 400.000 Euro zahlen und auch in Polen und Dänemark kam es vor Kurzem zu hohen Bußgeldern. In Deutschland erhielt das Chatportal Knuddels einen Bußgeldbescheid in Höhe von 20.000 Euro, da es Nutzerdaten unverschlüsselt auf einem alten Server lagerte und diese dann auch noch im Internet auftauchten, was einen Verstoß gegen den Grundsatz der Sicherheit der Datenverarbeitung darstellt. Allein beim Bayrischen Landesamt für Datenschutzaufsicht laufen derzeit rund 85 Bußgeldverfahren.
Newsletter
Alle wichtigen Neuigkeiten zu Themen wie Datenschutz, Künstliche Intelligenz, IT-Recht und vielen mehr – einmal monatlich in Ihr Postfach.
Von der Beschwerde über die Auskunft bis zur ersten Entscheidung
Den Anfang bildet das verwaltungsrechtliche Verfahren vor der jeweils zuständigen Datenschutzaufsichtsbehörde. Dabei sind zwei Wege denkbar, wie das gesamte Behördenverfahren ins Rollen kommen kann. Zum einen kann die Aufsichtsbehörde selbst zu der Vermutung gelangt sein, dass ein Unternehmen einen Datenschutzverstoß begangen hat. Zum anderen, und das war in der Vergangenheit der häufigere Fall, meldet sich eine betroffene Person bei ihr und reicht Beschwerde über einen möglichen Verstoß ein. Hier muss die Aufsichtsbehörde dann zunächst prüfen, ob die Voraussetzungen einer Beschwerde überhaupt gegeben sind, so muss u.a. eine Sachverhaltsdarstellung erfolgen und es muss zumindest möglich sein, dass die betroffene Person in eigenen Rechten verletzt ist.
Gelangt die Aufsichtsbehörde, auf welchem Weg auch immer, zu der Erkenntnis, dass sie ein Verfahren einleiten möchte, dann folgt das erste Schreiben an die verantwortliche Stelle, gegen die das Verfahren laufen soll. Dabei wird es sich um ein Schreiben handeln, welches im Titel von Auskunftsersuchen, Anhörung, einem möglichen Datenschutzverstoß oder ähnlichem spricht. Darin werden Fragen aufgelistet sein, auf deren Antworten die Aufsichtsbehörde ihre spätere Entscheidung stützen möchte. Gleichzeitig stellt das Schreiben die gesetzlich vorgeschriebene im Verwaltungsverfahren durchzuführende Anhörung dar.
Die erbetene Auskunft muss nach dem Bundesdatenschutzgesetz unverzüglich und vollständig erfolgen. Die Aufsichtsbehörde erwartet in der Regel eine Beantwortung innerhalb von zwei Wochen. Der verantwortlichen Stelle steht jedoch ein Auskunftsverweigerungsrecht zu, auf das die Aufsichtsbehörde auch hinweisen muss. Die Rechtslage in Bezug auf das „Wer“ und „Wann“ des Auskunftsverweigerungsrechts ist allerdings ungeklärt, sodass sich zur Zeit mehrere Handlungsalternativen ergeben können. Dies ist insbesondere in Anbetracht des Spannungsfelds zu sehen, dass sich zum einen selbstbelastende Äußerungen für ein späteres Straf- oder Ordnungswidrigkeitenverfahren negativ auswirken können, andererseits aber die Verweigerung von Zusammenarbeit mit der Aufsichtsbehörde ebenfalls zu Sanktionen führen kann.
Nach diesem ersten Schreiben ergeben sich drei weitere mögliche Wege:
- Erneutes Auskunftsersuchen: Wenn die Aufsichtsbehörde nach Beantwortung der Fragen noch weitere hat oder sie eine versehentliche Nichtbeantwortung erkennt, so verschickt sie ein erneutes Auskunftsersuchen.
- Auskunftsheranziehungsbescheid: Wurden die Fragen nicht umfassend oder gar nicht beantwortet, so kann die Behörde einen Auskunftsheranziehungsbescheid erlassen, welcher mit einer Zwangsgeldandrohung versehen sein wird (Maximum: 50.000 Euro).
- Gesamtabwägung: Wurde die Auskunft erteilt, dann erfolgt die Gesamtwürdigung des eingebrachten Materials durch die Behörde. Kommt sie zu dem Ergebnis, dass ein Datenschutzverstoß vorliegt, liegt zugleich ein hinreichender Anfangsverdacht für den Beginn eines Bußgeldverfahrens vor. Der Sachbearbeiter leitet den Fall sodann an die Sanktionsstelle der Behörde weiter, die für das anschließende Ordnungswidrigkeitsverfahren (das Bußgeldverfahren) zuständig ist.
Vom Anfangsverdacht bis zum Bußgeldbescheid
Den ersten Abschnitt des Bußgeldverfahrens stellt das Vorverfahren (Ermittlungsverfahren) dar. Das Bundesdatenschutzgesetz (BDSG) erklärt hierfür das Ordnungswidrigkeitengesetz (OWiG) für anwendbar, da die Datenschutz-Grundverordnung keine eigenen Regelungen für das Verfahren an sich vorsieht und es daher den EU-Mitgliedstaaten überlässt, ein angemessenes Verfahren zu garantieren.
Das datenschutzrechtliche Bußgeldverfahren weist im Vergleich zu anderen Bußgeldverfahren eine Besonderheit auf: das Accountability-Prinzip. Nach diesem Prinzip muss die verantwortliche Stelle, gegen die ermittelt wird, nachweisen, dass sie die Anforderungen der DSGVO erfüllt. Normalerweise ist es genau umgekehrt: die Behörde muss beweisen, dass jemand gegen das jeweilige Recht verstoßen hat. Diese Besonderheit, die sog. Beweislastumkehr, wurde von dem Europäischen Gerichtshof und dem Europäischen Gerichtshof für Menschenrechte jedoch als zulässig erachtet.
Das Vorverfahren (Ermittlungsverfahren) innerhalb des Bußgeldverfahrens sieht eine Anhörung vor, die mündlich oder schriftlich erfolgen kann. Der Beschuldigten steht dabei ein umfassendes Schweigerecht zu. Beendet werden kann das Vorverfahren wiederum durch mehrere Wege. Das Worst-Case-Szenario stellt dabei die Festsetzung einer Geldbuße im Bußgeldbescheid dar.
Bußgeldbescheid – was nun?
Der Bußgeldbescheid liegt im Briefkasten – das Zwischenverfahren kann damit beginnen. Dies geschieht durch Einlegen eines Einspruchs innerhalb von zwei Wochen. Der Einspruch kann schriftlich, mittels E-Mail samt elektronischer Signatur oder zur Niederschrift bei der Verwaltungsbehörde, die den Bußgeldbescheid erlassen hat, eingelegt werden. Es ist dabei auch möglich, den Einspruch nur in Bezug auf die Rechtsfolge einzulegen. Das bedeutet, dass nur die Höhe des Bußgeldbescheids angegriffen wird, der Bußgeldbescheid selbst jedoch nicht. Eine Begründung ist nicht erforderlich.
Der Einspruch kann auch wieder zurückgenommen werden, aber hier ist Vorsicht angebracht, denn einmal zurückgenommen, kann er nicht erneut eingelegt werden! Außerdem gilt es zu beachten, dass die Behörde jederzeit, so lange sie das Verfahren leitet, einen neuen Bußgeldbescheid erlassen kann. Dieser kann auch höher ausfallen als der erste!
Im Zwischenverfahren bekommt die Behörde durch Einlegen des Einspruchs durch die verantwortliche Stelle die Gelegenheit, ihre Entscheidung zu überdenken. Kommt sie zu dem Ergebnis, dass sie ihrer Ansicht nach alles richtig gemacht hat, leitet sie die Akten an die Staatsanwaltschaft weiter. Der Fall ist damit für die Behörde beendet, die sog. Verfahrensherrschaft hat nun die Staatsanwaltschaft.
Die Staatsanwaltschaft prüft zunächst den Einspruch. Erachtet sie ihn für zulässig, überprüft sie den Bußgeldbescheid an sich. Gelangt sie zu dem Ergebnis, dass KEIN hinreichender Tatverdacht vorliegt, kann sie zusammen mit der zuständigen Behörde die Einstellung des Zwischenverfahrens erwirken.
Vom hinreichenden Tatverdacht bis zum Urteil
Kommt die Staatsanwaltschaft zu dem Ergebnis, dass die Veruteilung des Beschuldigten (also der verantwortlichen Stelle) nach Aktenlage als wahrscheinlich angesehen werden kann, liegt ein hinreichender Tatverdacht vor. In dem Fall gibt sie die Akten an das zuständige Gericht weiter. Das Amtsgericht ist zuständig, wenn die angesetzte Geldbuße unter 100.000 Euro beträgt, ab 100.000 Euro ist das Landgericht zuständig.
Wie auch zuvor die Staatsanwaltschaft, prüft nun das Gericht die Zulässigkeit des Einspruchs. Kommt es zu dem Ergebnis, dass er zulässig ist, hat sie wiederum mehrere Handlungsmöglichkeiten:
- Zurückverweisung an Behörde mit Zustimmung der Staatsanwaltschaft, wenn der Sachverhalt nicht genügend aufgeklärt ist.
- Einstellung des Verfahrens mit Zustimmung von Staatsanwaltschaft und Behörde.
- Entscheidung im Beschlussverfahren (d.h. ohne mündliche Verhandlung und nur nach Aktenlage)
- Entscheidung durch Urteil nach einer mündlichen Hauptverhandlung.
Kommt es zu einer mündlichen Hauptverhandlung, wird der Beschuldigte entweder freigesprochen oder verurteilt. Danach bleibt dem Beschuldigten noch die Möglichkeit ein Rechtsmittel einzulegen, nämlich die Beschwerde. Tut er dies nicht oder hat er auch dort keinen Erfolg, schließt sich das Vollstreckungsverfahren an, auf das hier nicht näher eingegangen wird. Hier nur kurz und knapp: Der Verurteilte muss die Geldbuße zahlen, ansonsten wird er dazu gezwungen.
Fazit: Ein langes Verfahren mit ungewissem Ausgang
Bis ein Unternehmen, dem ein Datenschutzvorfall unterlaufen ist, ein Bußgeld letztendlich zahlen muss, müssen viele Schritte durchlaufen werden. Endgültige Gewissheit gibt es erst, wenn eine Gerichtsentscheidung erfolgt ist, die mit Rechtsmitteln nicht mehr angegriffen werden kann. Bis dahin gibt es innerhalb der jeweiligen Verfahrensschritte verschiedene Möglichkeiten, die ein Unternehmen als verantwortliche Stelle ergreifen kann, um Einfluss auf das Verfahren nehmen zu können. Ein enger Kontakt zu einem Rechtsberater ist zu empfehlen, damit die im jeweiligen Einzelfall beste Lösung und Handlungsart gefunden werden kann. Dies ist auch vor dem Hintergrund zu raten, dass immer eine mögliche Verjährung geprüft werden sollte.
Vertrauen Sie sich unseren erfahrenen Anwälten an! Mit unserer Erfahrung im Bereich Datenschutzrecht können wir Sie kompetent in jedem Stadium des aufsichtsbehördlichen Verfahrens beraten.
Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!
Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.
Weitere Neuigkeiten
04.09.2024
AI as a Service (AIaaS): So funktioniert die Implementierung im Unternehmen
31.07.2024
Digital Health Update 2024
25.07.2024