24. Januar 2023Datenschutz

DSGVO-Verwarnung durch die Datenschutzbehörde – Was ist zu tun?

Im Zusammenhang mit Datenschutzverstößen ist vor allem das Bußgeldverfahren in aller Munde. Bei Geldbußen handelt es sich jedoch um die höchste Eskalationsstufe im datenschutzrechtlichen Sanktionsregime. Wesentlich häufiger – aber dafür meist unter dem Radar – sprechen die Aufsichtsbehörden DSGVO-Verwarnungen aus. Mit der Verwarnung wird ein aus Sicht der Behörde vorliegender Datenschutzverstoß festgestellt. Dieser auf den ersten Blick harmlose Feststellungscharakter der Sanktionsmaßnahme sollte jedoch nicht als behördliches Entwarnungssignal missinterpretiert werden. Vielmehr kann sie den Auftakt zu langwierigen behördlichen Verfahren bedeuten und entscheidenden Einfluss auf die Entscheidung der Behörde ausüben, ob und in welcher Höhe ein Bußgeld erlassen wird. Wann mit einer DSGVO-Verwarnung zu rechnen ist, wie gegen sie vorgegangen werden kann und warum ihr Erlass nicht auf die leichte Schulter genommen werden sollte, erklären wir im nachfolgenden Artikel.

Was ist eine DSGVO-Verwarnung?

Bei der Verwarnung handelt es sich um eines der in Art. 58 II DSGVO genannten Abhilfebefugnisse der Datenschutzbehörden. Im Umgang mit Datenschutzverstößen stellen diese Befugnisse das aufsichtsrechtliche Sanktionsinstrumentarium dar. Zwischen den einzelnen Maßnahmen bestehen wesentliche Unterschiede im Hinblick auf ihre Wirkung und Eingriffsintensität. Neben der Warnung und der Verwarnung kann die Behörde beispielsweise auch Verarbeitungen untersagen oder Bußgelder verhängen. Im Umgang mit bereits eingetretenen Datenschutzverstößen stellt die Verwarnung das mildeste Mittel dar. Während eine Warnung rein präventiv auf die Vermeidung eines zu erwartenden Verstoßes gerichtet ist, hat die Verwarnung dessen Feststellung gerichtet auf die Vergangenheit zum Gegenstand. Im Gegensatz zu weiterreichenden Befugnissen wird durch eine Verwarnung selbst keine Verhaltenspflicht auferlegt. Bei ihrer rechtlichen Natur handelt es sich deshalb um einen feststellenden Verwaltungsakt – ohne vollziehbaren Inhalt. Als Adressaten einer Verwarnung kommen sowohl Verantwortliche als auch Auftragsverarbeiter in Betracht. 

Mehr zum Thema:

Wie kann es zu einer DSGVO-Verwarnung kommen?

Tatbestandlich setzt Art. 58 II lit. b DSGVO ausschließlich den Verstoß eines Verarbeitungsvorgangs gegen die DSGVO voraus. Die Art des Verstoßes, seine Intensität gegenüber dem Betroffenen oder subjektive Merkmale des Adressaten werden damit ausdrücklich offengelassen. DSGVO-Verstöße können neben ungerechtfertigter Datenverarbeitung beispielsweise auch die Verletzung von Betroffenenrechten oder Informationspflichten sein.

Ob im Falle einer Datenschutzverletzung eine Verwarnung oder ein schärferes Schwert wie etwa der Erlass eines Bußgelds folgt, ist deshalb ausschließlich eine Frage der pflichtgemäßen Ermessensausübung durch die Datenschutzaufsicht. Auch wenn sich aufgrund des stufenförmigen Aufbaus anderes vermuten lässt, ist die Behörde in ihrem Vorgehen nicht an eine bestimmte Sanktionsreihenfolge gebunden. Ausschlaggebend ist, welche Maßnahme die größtmögliche Effektivität im Hinblick auf die Beseitigung des Datenschutzverstoßes verspricht. Ein Anspruch auf „Herabstufung“ einer schwerwiegenderen Maßnahme auf eine Verwarnung besteht deshalb grundsätzlich nicht.

Die Aufsichtsbehörde kann ihre Entscheidung dennoch nicht nach Belieben fällen, sondern ist an die Einhaltung bestimmter Ermessensregeln gebunden. Die wichtigste Rolle spielt dabei häufig der Grundsatz der Verhältnismäßigkeit. Da die Verwarnung im Falle einer rechtswidrigen Verarbeitung jedoch bereits das mildeste Mittel ist, dürfte ihr Erlass – jedenfalls bei nicht vollständig bagatellhaften Datenschutzverstößen – regelmäßig angemessen sein.

Welche Konsequenzen hat eine DSGVO-Verwarnung durch die Datenschutzbehörde?

Wie bereits angesprochen hat eine Verwarnung die Feststellung der Rechtswidrigkeit eines Verarbeitungsvorgangs zum Gegenstand. Die Verwarnung sieht somit selbst keine umsetzbaren Maßnahmen vor, sondern zielt auf die verbindliche rechtliche Bewertung einer bestimmten Sachlage. Sofern sie nicht angefochten wird, erlangt die Verwarnung binnen eines Monats ab Bekanntgabe – unabhängig von ihrer Rechtmäßigkeit (!) – Bestandskraft. Die Rechtswidrigkeit der gerügten Verarbeitung gilt damit – ob zutreffend oder nicht – als festgestellt. Der Umgang mit einer Verwarnung hat deshalb entscheidenden Einfluss auf die Verhängung weiterer Sanktionen. 

Besondere Bedeutung entfaltet sie insofern im Rahmen eines Bußgeldverfahrens. Mit der Verwarnung wird ihr Adressat auf sein – aus Sicht der Behörde – rechtswidriges Handeln hingewiesen. Setzt er seine Verarbeitung dennoch fort, kann die Verwarnung nach Art. 83 Abs. 2 lit. e) DSGVO im Bußgeldverfahren Berücksichtigung finden. Danach wirken sich früher ergangene Verwarnungen bei der behördlichen Entscheidung hinsichtlich des Ob und Wie eines Bußgeldes zulasten des Adressaten aus.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Wie kann gegen eine DSGVO-Verwarnung vorgegangen werden?

Gegen eine Verwarnung kann der Adressat binnen eines Monats ab Bekanntgabe verwaltungsrechtliche Schritte ergreifen. Ob ein behördliches Vorverfahren stattfindet, d.h. ob zunächst Widerspruch gegen die Verwarnung eingelegt werden muss, richtet sich nach dem auf die zuständige Aufsichtsbehörde anwendbaren Recht. Das BDSG, sowie die meisten Landesgesetze, schließen ein Vorverfahren im Falle einer Verwarnung allerdings aus. Im Regelfall muss die Verwarnung deshalb mit einer Anfechtungsklage vor dem zuständigen Verwaltungsgericht angegriffen werden. Dabei ist vor allem die zeitliche Komponente der Klageerhebung entscheidend. Eine umfassende Klagebegründung kann nach fristgerechter Klageerhebung auch im Laufe des Verfahrens nachgereicht werden.

Die Klageerhebung bewirkt, dass die verbindliche Feststellung des Datenschutzverstoßes bis zum Ende des Klageverfahrens aufgeschoben ist. Dies kann sich mittelbar auch auf die Verhängung weiterer Maßnahmen auswirken. Die Behörde ist für deren Erlass zwar nicht an eine zuvor festgestellte Rechtswidrigkeit gebunden, jedoch kann es im Sinne der Prozessökonomie und Verhältnismäßigkeit geboten sein, die ausstehende Klärung der Rechtsfrage abzuwarten.

Im anschließenden Gerichtsverfahren steht schließlich die Frage nach der Rechtmäßigkeit der erlassenen Verwarnung im Vordergrund. Das Gericht prüft deshalb, ob der gerügte Verarbeitungsvorgang tatsächlich gegen die DSGVO verstoßen hat. Da in manchen Fällen Rechtsmittel gegen die Gerichtsentscheidung eingelegt werden, kann sich ein solches Verfahren praktisch über Jahre hinweg ziehen.

Wird bei DSGVO-Verwarnungen der Datenschutzbehörden rechtliche Unterstützung benötigt?

Datenschutzrechtliche Sachverhalte sind in der Regel sehr komplex und bergen neben finanziellen Aspekten auch die Gefahr eines Reputationsverlustes. 

Der erste Schritt im Umgang mit einer behördlichen Maßnahme sollte deshalb ausnahmslos immer die unverzügliche Einholung rechtlichen Beistands sein. Mit dessen Hilfe müssen anschließend alle rechtserheblichen Tatsachen ermittelt und der Sachverhalt intern aufgeklärt werden. Im Rahmen der rechtlichen Bewertung können so auch die Erfolgsaussichten einer Klage umfänglich abgewogen werden. Bei unrechtmäßig ergangenen Verwarnungen sollte – gerade aufgrund der Auswirkungen in einem potenziellen Bußgeldverfahren – im Regelfall eine Klage erwogen werden.

Sollte im Rahmen rechtlicher Voreinschätzung von einer Klage abgeraten werden, besteht dennoch sofortiger Handlungsbedarf. Da andernfalls schärfere Maßnahmen drohen, müssen die beanstandeten Prozesse in enger Zusammenarbeit mit einem Experten datenschutzkonform ausgestaltet werden.

In jedem Fall sollte in der Kommunikation mit den Behörden auf einen kooperativen Umgang geachtet werden. Nach Art. 83 II lit. f DSGVO kann sich der Umfang der Zusammenarbeit bei der Abhilfe des Verstoßes positiv in der Bewertung des Bußgeldverfahrens niederschlagen.Haben Sie Rückfragen zum Umgang mit datenschutzrechtlichen Verwarnungen oder sind Sie selbst Adressat einer behördlichen Maßnahme? Wir nehmen uns Zeit für Ihr Anliegen und entwickeln gemeinsam eine Strategie für das weitere Vorgehen. Als Experten im Datenschutzrecht sind wir bereits erfolgreich gegen Verwarnungen vorgegangen und haben jahrelange Erfahrung in der erfolgreichen Kommunikation mit den Datenschutzaufsichtsbehörden. 

nach oben
Mehr zum Thema

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.