Behördenverfahren und Datenschutz

Datenschutz­rechtliche Behörden­verfahren

Kommunikation mit den Datenschutzbehörden, Bußgeldprävention und Prozessführung.

Behördenverfahren sind unangenehm. Sie treffen ein Unternehmen meist unangekündigt und oft dort, wo es datenschutzrechtlich und prozessseitig Lücken gibt. Bestenfalls wird ein Verfahren ohne weitreichende Konsequenzen eingestellt. Schlimmstenfalls droht ein abschreckend hohes Bußgeld – maximal 4 % des konzernweiten Jahresumsatzes oder bis zu 20 Mio. Euro – und schlechte Presse.

Die Verhängung von Bußgeldern mehrt sich sowohl in Deutschland als auch in anderen europäischen Mitgliedsstaaten. Geahndete Verstöße sind überwiegend die fehlende oder intransparente Erfüllung von Informationspflichten, Missachtung des Beschäftigtendatenschutzes, unzureichende Maßnahmen zur Sicherung der Datenverarbeitung oder die unzureichende Bearbeitung und Beantwortung von Betroffenenanfragen.

Unternehmen sind dabei auf der einen Seite in der Pflicht zu kooperieren, auf der anderen Seite muss ein Unternehmen auch eigene Interessen abwägen und den in vielen Bereichen sehr engen Blick der Behörde für privatautonomes Handeln balancieren.

Die Anwälte der Kanzlei Schürmann Rosenthal Dreyer verfügen über jahrelange Erfahrung im Umgang mit den Datenschutzbehörden in allen Verfahrensstadien. Angefangen beim Auskunftsersuchen und der erstmaligen Anhörung wegen eines mutmaßlichen Datenschutzverstoßes, über gemeinsame Gespräche mit der Behörde bis hin zu Bußgeldverfahren und Rechtsstreitigkeiten vor Gericht. Sie verfügen über die erforderliche Expertise und Spezialisierung, Behördenverfahren mit Fingerspitzengefühl zu begleiten, drohende Bußgelder von Unternehmen abzuwenden oder diese zumindest deutlich zu reduzieren.

Welche rechtlichen und tatsächlichen Herausforderungen ergeben sich für unsere Mandanten und wie können wir sie erfolgreich lösen?

Trifft ein Behördenschreiben ein, ist erst einmal die richtige Taktik gefragt. Wer wird wann und wie involviert? Wie wird mit der Anfrage umgegangen? Was sind die Risiken und was ist zu erwarten? Das sind alles Fragen, denen sich ein Unternehmen von Beginn an stellen muss.

Ein Unternehmen kann allein wegen seiner Größe bereits auf das Radar der Behörden geraten. International agierende und bekannte Unternehmen sind häufiger Vorwürfen der Behörden ausgesetzt, da sie in der Regel eine große Anzahl an personenbezogenen Daten – oft auch grenzüberschreitend – verarbeiten. Ebenfalls entscheidend ist das konkrete Geschäftsmodell. So sind Anbieter von Online-Diensten mit einem großen Bestand an Endkundendaten häufiger Verfahrensbeteiligte in Behördenverfahren. Zudem wird strenger beobachtet, wer bereits in der Vergangenheit mit einem Datenschutzvorfall – etwa aufgrund eines Cyber-Angriffs – konfrontiert war.

Der Grundstein für den Ausgang eines jeden Verfahrens wird bereits in einem frühen Verfahrensstadium gelegt. Wer sich früh vorbereitet, ist im Vorteil. Es bietet sich deshalb an, nicht nur umgehend den Datenschutzbeauftragten zu involvieren, sondern auch eine weitergehende Rechtsberatung zu beauftragen. Denn nach der DSGVO ist der Datenschutzbeauftragte primär dem Datenschutz verpflichtet und seine Bewertung, hinsichtlich der Zulässigkeit eines datenschutzrelevanten Vorhabens, darf keinem Interessenskonflikt zu Gunsten des Unternehmens unterliegen. Während ein Rechtsanwalt primär die Interessen des Unternehmens verteidigen und seine Argumente auf dieser Basis aufbauen kann.

Ein Unternehmen braucht im Falle der Einleitung eines Behördenverfahrens eine vorausschauende Planung und Kommunikationsstrategie, um die Anforderungen und Fristen der Behörden einzuhalten. Es müssen Fragen rund um rechtlich komplexe Themenfelder gelöst, Risiken erkannt und abgewogen werden. Und es bedarf einer ausführlichen Beratung zu Stolpersteinen wie Zuständigkeiten, Verjährungsfristen und Auskunftsverweigerungsrechten. Auch müssen prozesstaktische Fragen rund um das Ordnungswidrigkeitenrecht und der Strafprozessordnung gelöst werden. Und auch schlechter Presse gegenüber sollte ein Unternehmen in jedem Fall gewappnet sein.

Wir unterstützen unsere Mandanten kooperativ mit den Behörden zusammenzuarbeiten, wenn notwendig auch konfrontativ auf falsche Vorwürfe und auf überhöhte Anforderungen zu reagieren. Wir können mit unserer jahrelangen Expertise und unserem Erfahrungsschatz Wege und Lösungsansätze aufzeigen und mit Ihnen eine umfassende Verteidigungsstrategie planen.

Die Kernfrage: Wie sollen Unternehmen reagieren, wenn ein Bußgeldverfahren eröffnet wird und schlimmstenfalls ein Bußgeld ergeht?

Hohe Bußgelder bedeuten für ein Unternehmen spürbare wirtschaftliche Einbußen und Imageschäden. Daher ist es im Interesse jedes Unternehmens, hohe Bußgelder aufgrund von Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) bzw. das Bundesdatenschutzgesetz (BDSG) zu vermeiden.

Ein Bußgeldverfahren ist jedoch keine Einbahnstraße und es gibt mehrere Möglichkeiten, ein Bußgeld abzuwehren oder zumindest gering zu halten. 

In der Regel ergeht ein Bußgeldbescheid nicht unangekündigt und ohne vorangehendes schriftliches Verfahren. Kommt die Aufsichtsbehörde im Rahmen eines ersten Auskunftsersuchens und der ersten Anhörung zu dem Schluss, dass die Möglichkeit eines Verstoßes gegen das Datenschutzrecht besteht, so gibt sie regelmäßig den Fall an die behördeninterne Sanktionsstelle ab. Damit ist das Vorverfahren offiziell eröffnet. Entscheidet sich die Sanktionsstelle für die Einleitung des Bußgeldverfahrens, so folgt die Zusendung eines Anhörungsbogens. Hier hat das betreffende Unternehmen erneut die Möglichkeit, sich zu der Angelegenheit zu äußern, bevor die Behörde das Verfahren entweder – im besonders günstigen Fall – endgültig einstellt oder einen Bußgeldbescheid erlässt.

Ergeht ein Bußgeldbescheid, ist es wichtig schnell, aber trotzdem besonnen zu reagieren. Wenn der erste Schock verdaut ist, sollten unternehmensinterne Ressourcen bereitgestellt werden. Dazu gehört nicht nur spätestens jetzt die Einschaltung externer Anwälte, sondern auch die Einbeziehung der PR-Abteilung, um etwaigen Rufschädigungen entgegenzuwirken.

Unternehmen haben im Rahmen des sogenannten Zwischenverfahrens zwei Wochen lang die Möglichkeit, Einspruch gegen den Bescheid einzulegen. Eine Begründung ist zwar nicht erforderlich, aber durchaus sinnvoll, um auf die eigenen Einwände hinzuweisen, mit denen sich die Aufsichtsbehörde schließlich auseinandersetzen muss. Natürlich prüfen wir für Sie vor Einlegung die Erfolgsaussichten eines solchen Einspruchs und unterstützen bei dessen Anfertigung.

Die Sanktionsstelle prüft sodann die Zulässigkeit des Einspruchs und ob an dem Bescheid festgehalten oder dieser zurückgenommen wird. Soll der Bescheid aufrechterhalten werden, so folgt die Weiterleitung an die Staatsanwaltschaft, die gegebenenfalls weitere Ermittlungen durchführt. Stellt die Staatsanwaltschaft keinen sog. hinreichenden Tatverdacht fest, stellt sie das Verfahren ein. Allerdings nur, wenn die Behörde auch zustimmt. Kann ein Verdacht jedoch festgestellt werden, befasst sich ein Gericht mit der Angelegenheit. Abhängig von der Bußgeldhöhe ist dies entweder ein Amts- oder Landgericht, dabei sind verschiedenen Konstellationen denkbar.

Sollte es zu einer mündlichen Hauptverhandlung kommen, folgt der Showdown: Freispruch oder Verurteilung? Auch eine solche gerichtliche Entscheidung ist nicht zwingend in Stein gemeißelt. Gegen die Entscheidung kann im ungünstigen Fall Beschwerde eingelegt werden.

Wir unterstützen Unternehmen, die mit einem Behördenverfahren konfrontiert sind, in allen Verfahrensstadien, unabhängig davon, ob ein Verfahren gerade erst eingeleitet wurde, bereits ein Verfahren im vollen Gange ist oder ein Bußgeldbescheid erlassen wurde und ein Unternehmen in diesem Moment erst den Entschluss zu einer erweiterten anwaltlichen Beratung fasst. Wir können Behördenverfahren in neue Bahnen lenken, sie taktisch und strategisch umfassend beraten und auch die Kommunikation übernehmen. Auch können Millionenbußgelder teils über den gerichtlichen Weg reduziert werden.

Wissen was möglich ist: Die Befugnisse der Behörden im Einzelnen

Den Aufsichtsbehörden des Bundes und der Länder wurden durch die DSGVO zahlreiche und mitunter auch sehr weitreichende Befugnisse eingeräumt, um die Umsetzung der DSGVO zu kontrollieren und im Falle von Mängeln erforderlichenfalls auch sanktionieren zu können.

Unterschieden werden dabei Untersuchungs- und Abhilfebefugnisse:

Zu den Untersuchungsbefugnissen zählen: Die Verpflichtung des Unternehmens zur Bereitstellung von Informationen, (Vorort-)Prüfungen des Datenschutz- und Datensicherheitsniveaus (auch anlasslos möglich!), die Überprüfung von Zertifizierungen, die Verschaffung des Zugangs zu bestimmten Daten bzw. Datenbanken sowie Geschäftsräumen und Datenverarbeitungsanlagen. Darüber hinaus ist es den Behörden auch möglich, lediglich einen präventiven Hinweis auf einen vermeintlichen Verstoß zu geben.

Folgende Abhilfebefugnisse sind denkbar: Die Behörde kann zunächst Warnungen (vor einem Verstoß) und Verwarnungen (nach einem Verstoß) aussprechen, um das ins Visier geratene Unternehmen auf relevante Missstände aufmerksam zu machen und zu sensibilisieren. Des weiteren können die Behörden das verantwortliche Unternehmen anweisen, den Betroffenenanfragen zu entsprechen. Sie können auch Vorgaben hinsichtlich der konkreten Ausführung einer Verarbeitungstätigkeit machen, bestimmte Verarbeitungstätigkeiten beschränken oder gleich ganz untersagen. Die DSGVO ermöglicht den Behörden zudem verpflichtend anzuordnen, bestimmte Daten zu berichtigen oder zu löschen.

Geldbußen sind im Kontext dieser Befugnisse nicht etwa das letzte Mittel, sondern können auch zusätzlich neben anderen Maßnahmen verhängt werden.

Die Generalprobe: Simulation eines Behördentermins

Sollte es zu einem persönlichen Treffen mit der Behörde oder zu einer Vor-Ort Kontrolle durch die Behörde kommen, so bieten wir Ihnen eine optimale Vorbereitung. Neben der Aufbereitung wichtiger Unterlagen, kann es zudem auch sinnvoll sein, eine Simulation des Treffens durchzuspielen, um optimal auf unangenehme Fragen reagieren zu können und die Situation zu üben. Insbesondere wenn noch weitere Personen außerhalb der Rechtsabteilung eines Unternehmens involviert sind.

Unsere Softskills: Erfahrung und Expertise im Umgang mit Aufsichtsbehörden

Bei SRD Rechtsanwälte legen wir besonders viel Wert auf die Schaffung von Expertenteams. So haben wir auch für Behördenverfahren ein erfahrenes Team zusammengestellt, welches die Interessen unserer Mandanten bestmöglich vertreten kann. Diese Erfahrung erstreckt sich selbstverständlich auch auf Gerichtsverfahren.

Weitere Leistungen

Während des Laufs eines Behördenverfahrens unterstützen wir unsere Mandanten neben der oben aufgezeigten rechtlichen Beratung zum Fall auch dabei, das Datenschutzmanagement zu optimieren, um datenschutzrechtlichen Unzulänglichkeiten zu identifizieren und eliminieren. Dabei legen wir – wie auch die Behörden – ein besonderes Augenmerk auf die aufgezeigten „Klassiker“. Ein Unternehmen kann dadurch zeigen, dass es Datenschutz ernst nimmt. Zusätzlich unterstützen wir Sie dabei, „Zufallsfunde“ im Rahmen einer behördlichen Maßnahme vorzubeugen, die nicht Anlass des eingeleiteten Verfahrens waren.

Unsere Handlungsempfehlungen:

  1. Spätestens ab Erhalt eines Auskunftsersuchens und Anhörungsbescheides wegen eines mutmaßlichen Datenschutzverstoßes einen erfahrenen Rechtsanwalt hinzuziehen;
  2. In jedem Stadium Kooperationsbereitschaft gegenüber der Behörde signalisieren;
  3. Frühzeitig eine Taktik erarbeiten und die konkreten Risiken des Verfahrens prüfen;
  4. Im Zweifel den Rechtsweg nicht zu scheuen.

Simone Rosenthal im Gespräch: Handelsblatt Podcast

Partnerin Simone Rosenthal beantwortet in der Folge „Datenschutz, Behörden und Bußgelder – bereit sein!“ Fragen rund um das Thema Behördenverfahren und Kommunikation mit der Aufsichtsbehörde. Im Podcast der Handelsblatt Fachmedien werden mit ausgewiesenen Experten regelmäßig aktuelle Brennpunkt-Themen aus Wirtschaft, Recht und Management behandelt. Hier können Sie sich den Podcast on demand anhören.

Haben Sie rechtliche Fragen zum Behördenverfahren? Unsere Rechtsanwälte helfen Ihnen gerne weiter.

Kontakt

office@srd-rechtsanwaelte.de

Berlin

+49 (0)30 21 30 028-0

Düsseldorf

+49 (0)211 41 55 868-0

München

+49 (0)89 61 42 412-70

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.