DSGVO-Behörden­verfahren: Abläufe verstehen und Bußgeldern vorbeugen

Die DSGVO droht bei Datenschutzverstößen hohe Bußgelder an. Während sich die Behörden zunächst zurückhielten, mehren sich inzwischen höhere Bußgelder auch in Deutschland – zuletzt mit 1,2 Mio. Euro gegen die AOK Baden-Württemberg, 9,5 Mio. Euro gegen 1&1 und 14,5 Mio. Euro gegen die Deutsche Wohnen. Es wurden europaweit vor allem Verstöße gegen Informationspflichten, Verarbeitungsgrundsätze und die Sicherheit der Verarbeitung geahndet. In diesem Blogartikel möchten wir aufzeigen, wie das Behördenverfahren abläuft, welche Befugnisse die Behörde hat und wie Sie sich bei Anhörungsschreiben und im Bußgeldverfahren richtig verhalten.

Welche Verstöße werden geahndet?

Von den Datenschutzbehörden werden inzwischen die verschiedensten Verstöße gegen Datenschutzvorschriften geahndet.

So gab es insbesondere Bußgelder aufgrund:

  • fehlender, intransparenter oder unzureichender Informationen über die Datenverarbeitung (z. B. 27,8 Mio. Euro gegen den Telekommunikationsanbieter TIM spA durch die italienische Datenschutzbehörde (Garante Privacy))
  • nicht oder unzulässig eingeholter Einwilligungen (z. B. 1,2 Mio. Euro gegen AOK Baden-Württemberg durch die Baden-Württembergische Datenschutzbehörde)
  • Mängeln in der IT-Sicherheit (z. B. 205 Mio. Euro gegen British Airways durch die britische Datenschutzbehörde (ICO))
  • Verstößen gegen die Verarbeitungsgrundsätze, insbesondere privacy by design und privacy by default (z. B. 160.000 Euro gegen das Taxiunternehmen Taxa 4×35 durch die dänische Datenschutzbehörde (Datatilsynet))
  • nicht erfolgter Löschung sog. “Altdaten” bzw. einem fehlenden Löschkonzept (z. B. 14,5 Mio. Euro gegen die Deutsche Wohnen durch die Berliner Datenschutzbehörde)
  • nicht sicherer Authentifizierungssysteme zur Erfüllung von Betroffenenanfragen (z. B. 9,5 Mio. Euro gegen 1&1 durch den Bundesdatenschutzbeauftragten)
  • nicht beachteter Widersprüche oder Widerrufe (z. B. 195.000 Euro gegen Delivery Hero Germany durch die Berliner Datenschutzbehörde)

Welche Unternehmen geraten in den Fokus der Behörden?

Unternehmen geraten vor allem dann in den Fokus der Behörden, wenn sie

  • besonders groß oder bekannt sind, was vor allem für international agierende Unternehmen zutrifft;
  • Onlinedienste oder Websites betreiben;
  • einen großen Kundendatenbestand haben bzw. viele Verbraucherdaten verarbeiten;
  • Opfer eines Cyberangriffs wurden oder es ein Datenleck wegen unzureichender Sicherheitsmaßnahmen gab.

Besonders hervorzuheben ist auch die Möglichkeit, dass eine Aufsichtsbehörde aufgrund einer Betroffenenbeschwerde weitere Nachforschungen vornimmt, wodurch ggf. weitere Defizite im Datenschutz zutage treten.

Abseits der Größe des Unternehmens oder der Art des Geschäftsmodells haben Unternehmen auf die anderen Aspekte, die sie in den Fokus rücken, erheblichen Einfluss. So legt ein gutes Datenschutzmanagement einen wichtigen Grundstein. Wer beispielsweise Betroffenenanfragen schnell und zufriedenstellend erfüllt und beantwortet, gibt von vornherein wenig Grund für Beschwerden. Zudem können Unternehmen mit umfangreichen IT-Sicherheitsmaßnahmen Datenlecks und ggf. auch Cyberangriffen vorbeugen.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Welche Behörde ist zuständig und darf sanktionieren?

Die Frage, welche Behörde zuständig ist, ist für Unternehmen vor allem deshalb relevant, weil verschiedene Behörden unterschiedliche Auffassungen zu bestimmten Themen haben können. Insbesondere für Unternehmensgruppen mit mehreren Niederlassungen oder grenzüberschreitender Verarbeitung kann die zuständige Behörde manchmal unklar sein.

Ausgangspunkt für die Bestimmung der zuständigen Behörde ist die Hauptniederlassung des Unternehmens (Art. 4 Nr. 16 lit. a DSGVO): Das ist der Ort der Hauptverwaltung oder diejenige Niederlassung des Unternehmens, wo die Zwecke und Mittel der betreffenden Verarbeitung festgelegt werden, sofern auch eine Befugnis dazu besteht.

Auf europäischer Ebene wird diese Behörde dann federführende Aufsichtsbehörde genannt (Art. 56 DSGVO) und kann mit anderen zuständigen Behörden an anderen Niederlassungen des Unternehmens zusammenarbeiten (Art. 60 ff. DSGVO), gemeinsame Maßnahmen durchführen oder um Amtshilfe bitten.

Innerhalb Deutschlands gilt die Regelung zur Hauptniederlassung entsprechend (§ 40 Abs. 2 BDSG). Das bedeutet grob gesagt, dass wenn ein Unternehmen seinen Hauptstandort in Berlin hat und eine Niederlassung in Bayern, die Berliner Datenschutzbehörde grundsätzlich zuständig ist. Sofern sich mehrere Behörden für zuständig halten, müssen diese eine gemeinsame Entscheidung treffen.

Welche Befugnisse kann die Behörde ausüben?

Die DSGVO sieht in Art. 58 insbesondere Untersuchungsbefugnisse und Abhilfebefugnisse vor. Ob und in welchem Maße die Befugnisse genutzt werden, hängt vom Ermessen der Behörde ab und richtet sich nach dem Grundsatz der Verhältnismäßigkeit.

Zu den Untersuchungsbefugnissen (Art. 58 Abs. 1 DSGVO) zählen insbesondere:

  • das Anfragen von Informationen im Rahmen von Auskunftsersuchen;
  • die Überprüfung des Datenschutz- und Datensicherheitsniveaus und von Zertifikaten des Unternehmens;
  • die Zugangsrechte der Behörde zu Daten, Geschäftsräumen und Datenverarbeitungsanlagen.

Übrigens kann die Behörde auch auf einen vermeintlichen Verstoß hinweisen. Dies dient der Prävention, ggf. vor Anwendung möglicherweise schwerwiegenderer Maßnahmen.

Die Abhilfebefugnisse (Art. 58 Abs. 2 DSGVO) sind im Gesetz nach dem Schweregrad geordnet. Jedoch kann die Behörde nach ihrem Ermessen eine Maßnahme wählen, wobei sie an den Verhältnismäßigkeitsgrundsatz gebunden ist und die Umstände des Einzelfalls beachten muss. Die Behörde kann insbesondere:

  • warnen, dass beabsichtigte Verarbeitungsvorgänge gegen die DSGVO verstoßen würden;
  • verwarnen (nachdem ein Verstoß geschehen ist);
  • Anweisungen geben, wie bestimmte Verarbeitungsvorgänge auszuführen sind, dass Anträgen von Betroffenen zu entsprechen ist sowie dass ein Betroffener über einen Datenschutzvorfall zu benachrichtigen ist;
  • eine Verarbeitungsbeschränkung oder ein Verarbeitungsverbot anordnen;
  • die Löschung oder Berichtigung von Daten anordnen;
  • anordnen, den Transfer in Drittstaaten zu unterbrechen;
  • eine Zertifizierung widerrufen;
  • ein Bußgeld gemäß Art. 83 DSGVO verhängen – zusätzlich oder anstelle der zuvor genannten Maßnahmen.

Wie verhält man sich gegenüber der Behörde?

Die Zusammenarbeit mit der Aufsichtsbehörde ist verpflichtend (Art. 31 DSGVO). Wird die Zusammenarbeit mit der Behörde ohne das Bestehen eines Auskunftsverweigerungsrechts verweigert, kann dies zu einem Bußgeld führen! Sofern die Beantwortung der Fragen der Aufsichtsbehörde im Rahmen etwa eines Auskunftsersuchens unvollständig ist oder gar nicht erfolgt, kann die Behörde einen sog. Auskunftsheranziehungsbescheid ergehen lassen.

Grundsätzlich ist eine Kooperation mit der Behörde immer ratsam. Gute Zusammenarbeit kann (positiven) Einfluss auf die Verhängung und die Höhe eines Bußgeldes haben (Art. 83 Abs. 2 S. 2 lit. f DSGVO). Beispiel dafür ist das Verfahren um Knuddels aus dem Jahr 2018, wo die Aufsichtsbehörde die gute Kooperation gelobt und die umfassende Informierung über den Hackerangriff hervorgehoben hat. Es sind allerdings auch Fälle bekannt, in denen trotz guter Kooperation strenge Maßnahmen erfolgten. Wichtig ist auch zu erwähnen, dass die Meldung eines Datenschutzvorfalls nicht davor bewahrt, ein Bußgeld zu erhalten, sich die Meldung jedoch in der Regel zugunsten des Unternehmens auswirkt. In jedem Fall ist es wichtig und sinnvoll bei Eingang eines Behördenschreibens den Datenschutzbeauftragten zu informieren und in das Verfahren einzubeziehen.

Wer hat ein Auskunftsverweigerungsrecht?

Unter bestimmten Bedingungen kann die Auskunft im Rahmen der Anhörung der Behörde verweigert werden. Natürlichen Personen steht ein umfassendes Auskunftsverweigerungsrecht zu („nemo-tenetur“-Grundsatz), wodurch sie sich nicht selbst im Rahmen der Auskunft belasten müssen. Juristische Personen wie Unternehmen haben hingegen nur ein beschränktes Auskunftsverweigerungsrecht (§ 40 Abs. 4 S. 2 BDSG). Sie können die Auskunft nicht verweigern, nur weil dem Unternehmen ein Bußgeld droht. Es können sich nur Leitungspersonen und Beschäftigte darauf berufen, wenn ihnen oder ihren Angehörigen strafrechtliche Verfolgung oder ein Bußgeld drohen.


Weitere Artikel zum Behörden- und Bußgeldverfahren:


Wie läuft das Bußgeldverfahren ab?

Ein Bußgeldverfahren kann im Einzelfall nach Ermessen der Aufsichtsbehörde eingeleitet werden, sofern sie den Verdacht eines Datenschutzverstoßes hat. Allerdings führt nicht jeder Datenschutzverstoß zu einem Bußgeldverfahren und nicht jedes Bußgeldverfahren endet mit der Verhängung einer Geldbuße. Das Bußgeldverfahren ist dann eröffnet, wenn die interne Sanktionsstelle der Behörde anfängt, sich mit dem Fall auseinanderzusetzen. Dies kann entweder initial geschehen oder nachdem eine andere Abteilung der Behörde einen Fall an die Sanktionsstelle abgegeben hat.

Das Verfahren richtet sich nach dem Ordnungswidrigkeitengesetz (OWiG). Wenn der Fall der Sanktionsstelle vorliegt, wird das Bußgeldverfahren in der Regel mittels eines schriftlichen Auskunftsersuchens durch einen Anhörungsbogen der Behörde eingeleitet (§ 55 OWiG). In diesem Rahmen hat ein betroffenes Unternehmen die Chance, sich (erneut) umfassend zum Fall zu äußern. In jedem Fall sollte spätestens zu diesem Zeitpunkt der Datenschutzbeauftragte umgehend über den Eingang des Schreibens informiert werden. Auch sollte zusätzlich zu diesem Zeitpunkt ein spezialisierter Anwalt zu Rate gezogen werden, um die Unternehmensinteressen vollumfänglich zu vertreten. Die Behörde prüft sodann, ob ein Datenschutzverstoß vorliegt. Dieser erste Teil des Bußgeldverfahrens (Vorverfahren) endet entweder mit der Einstellung des Verfahrens oder mit dem Übersenden eines Bußgeldbescheids nach §§ 65 ff. OWiG.

Sollte wider Erwarten und trotz aller Bemühungen ein Bußgeld ergehen, hat ein Unternehmen die Möglichkeit, innerhalb von zwei Wochen nach Zustellung des Bescheids Einspruch gegen das Bußgeld einzulegen (§ 67 OWiG). Es ist sinnvoll, diesen auch zu begründen.

Sofern der Einspruch zulässig ist, also form- und fristgerecht, kann die Behörde ggf. weitere Ermittlungen vornehmen oder dem Unternehmen die Möglichkeit geben, weitere Tatsachen zur Entlastung vorzubringen (§ 69 Abs. 2 S. 2, 3 OWiG). Dann kann sich die Aufsichtsbehörde entweder entscheiden, den Bescheid zurückzunehmen, oder ihn aufrechtzuerhalten und an die Staatsanwaltschaft weiterzuleiten (§ 69 Abs. 2 S. 1 OWiG). Diese kann selbst ggf. weitere Ermittlungen vornehmen und das Verfahren mit Zustimmung der Behörde einstellen (§ 41 Abs. 2 S. 3 BDSG) oder an das zuständige Gericht weiterleiten (§ 69 Abs. 4 S. 2 OWiG).

Für Bußgelder unter 100.000 Euro ist das Amtsgericht, für Bußgelder ab 100.000 Euro das Landgericht zuständig (§ 41 Abs. 1 S. 3 BDSG). Das Gericht kann entscheiden, das Verfahren einzustellen, das Unternehmen zur Geldbuße zu verurteilen oder es freizusprechen (§ 72 Abs. 3 S. 1 OWiG). Gegen die Entscheidung ist eine Rechtsbeschwerde möglich (§ 79 Abs. 1 OWiG).

So brauchen Sie vor Behördenverfahren keine Angst zu haben

Um sich gegen Behördenverfahren und mögliche Bußgelder bestmöglich zu wappnen, sollten Unternehmen folgende Aspekte besonders berücksichtigen und beachten:

  • Betroffenenanfragen rechtzeitig und vollständig bearbeiten;
  • Datenschutzverstöße sorgfältig prüfen und ggf. melden;
  • Mit der Datenschutzbehörde kooperieren, jedoch das Auskunftsverweigerungsrecht im Hinterkopf behalten;
  • Fristen / Verjährung beachten.

Um diese Punkte einzuhalten, ist ein Datenschutzmanagement notwendig, das sorgfältig geführt, überwacht und gepflegt wird. Datenschutz muss ein Geschäftsführungsthema sein! Zudem sollte im Zweifelsfall bei der Konfrontation mit der Behörde eine enge zeitnahe Abstimmung mit dem Datenschutzbeauftragten oder einer Kanzlei erfolgen.

Datenschutzrechtliches Behördenverfahren

Erfolg im digitalen Zeitalter: Der Data Act 2024 und seine Chancen für Ihr Unternehmen

Jetzt lesen

KG Berlin: Immaterielle Schadensersatzansprüche aus Art. 82 DSGVO müssen konkret dargelegt werden

Jetzt lesen

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.