Der richtige Umgang mit einer Datenschutz-Aufsichtsbehörde

Früher oder später werden Sie als verantwortliche Stelle im Sinne der Datenschutzgrundverordnung in die Verlegenheit kommen, sich mit einer Datenschutzaufsichtsbehörde auseinanderzusetzen. Die Gründe können vielseitig sein. Wenn es soweit ist, sind erfahrungsgemäß weder panische Hektik noch verweigerndes Aussitzen zielführend. Statt dessen gilt es Ruhe zu bewahren und die Tipps aus diesem Blogbeitrag zu beherzigen. Eine Tasse Tee dazu kann sicher nicht schaden. Einfach nur Abwarten ohne etwas zu tun ist allerdings in den seltensten Fällen die Lösung des Problems.

Warum meldet sich die Datenschutz-Aufsichtsbehörde ausgerechnet bei mir?

Die Praxis hat gezeigt, dass das Tätigwerden von Aufsichtsbehörden häufig auf folgende Gründe zurückzuführen ist:

In jedem Fall ist es ratsam den Aufforderungen der Datenschutzaufsichtsbehörde nachzukommen, jedoch sollte im Vorfeld zwingend die Art und der Umfang geklärt werden. Die wichtigste Frage die sich zunächst stellt ist, ob es sich bei der Anfrage der Aufsichtsbehörde um einen offiziellen Verwaltungsakt gemäß § 35 Verwaltungsverfahrensgesetz (VwVfG) handelt oder ggf. um eine formlose Anfrage / ein Auskunftsersuchen. Je nach Art der Anfrage können für die verantwortliche Stelle verschiedene Rechte und Pflichten resultieren. Eine Auskunftspflicht gegenüber den Aufsichtsbehörden besteht nur, sofern ein entsprechender Verwaltungsakt vorliegt.

Woran erkenne ich, ob die Anfrage einer Datenschutz-Aufsichtsbehörde ein Verwaltungsakt ist?

Der Begriff des Verwaltungsaktes ist in § 35 VwVfG definiert und und ist durch folgende Merkmale gekennzeichnet:

  1. Hoheitlich – einseitige Regelung
  2. Auf dem Gebiet des öffentlichen Rechts
  3. Regelung – verbindliche Rechtsfolge.
  4. Einzelfall – individueller Bezug
  5. Behörde
  6. Außenwirkung – Rechte von Personen betreffend , die nicht zum verwaltungsinternen Bereich gehören.

Die oben genannten Beispiele dienen lediglich der groben Orientierung. Grundsätzlich ist jede Anfrage von Aufsichtsbehörden individuell zu betrachten und einzuschätzen.

Die Erstellung eines offiziellen Verwaltungsaktes seitens der Behörden ist ein aufwendiger Prozess. Daher werden in aller Regel zunächst formlose Anfragen gestellt. Losgelöst von den Anforderungen an einen offiziellen Verwaltungsakt und im Sinne einer guten Kooperation und Zusammenarbeit mit der Aufsichtsbehörde, können Sie als verantwortliche Stelle dennoch freiwillig Informationen teilen und Dokumente übermitteln. Allerdings ist an dieser Stelle Vorsicht geboten.

Vorsicht bei der Weitergabe von personenbezogenen Daten

Sofern die Auskünfte, die Sie erteilen personenbezogene Daten oder gar besondere Kategorien personenbezogener Daten enthalten, kann streng genommen eine Datenpanne vorliegen.  In diesem Fall kann die Datenweitergabe an die Aufsichtsbehörde nicht auf Basis der Rechtsgrundlage nach Art. 6 Abs. 1 lit. c DS-GVO i.V.m. einem Auskunftsersuchen auf Basis eines Verwaltungsaktes erfolgen. Sofern Sie sich also zu einer freiwilligen Kooperation entschließen, ist zwingend zu überprüfen, welche Daten in welchem Umfang an die Behörden weitergegeben werden und sofern personenbezogene Daten involviert sind, auf welcher Rechtsgrundlage die Übermittlung erfolgt. Ebenfalls ist zu beachten, dass sämtliche Informationen, die im Rahmen der freiwilligen Auskunft oder einer freiwilligen Vorort-Kontrolle an die Aufsichtsbehörde gehen, später auch für einen offiziellen Verwaltungsakt verwendet werden können. Wer sich hier also zu „freizügig“ zeigt, kann unter Umständen später in Schwierigkeiten geraten. Im Zweifelsfall bewahrheitet sich das Sprichwort „Reden ist Silber, Schweigen ist Gold“.

Gleiches gilt für eine Vorort-Kontrolle, die nicht auf Basis eines Verwaltungsaktes – also freiwillig, mit Akzeptanz der verantwortlichen Stelle – durchgeführt wird. Die verantwortliche Stelle hat in diesem Fall jederzeit das Recht Zugang zu verschlossenen Räumlichkeiten zu verwehren, Zugriff auf die EDV zu untersagen oder gar die Kontrolle abzubrechen. Gerade bei formlosen Vorort-Kontrollen ist zu berücksichtigen, dass die Behörden alles gegen Sie verwenden können, inkl. der Aussagen von Mitarbeitern. Es liegt auf der Hand, dass eine freiwillige Vorort-Kontrolle mit Bedacht zu planen und durchzuführen ist. Eine grobe Verweigerungshaltung ist – sofern kein offizieller Verwaltungsakt vorliegt – zwar möglich, jedoch je nach Umstand nicht unbedingt sinnvoll. Sofern die Aufsichtsbehörde gewillt ist, kann jederzeit aus einer formlosen Anfrage ein Verwaltungsakt entstehen, der dann wiederum eine Rechtswirkung entfaltet. Die verantwortliche Stelle wird dann zur Kooperation gezwungen und die Fronten sind verhärtet. Das Ergebnis dürfte in aller Regel zu Ungunsten der verantwortlichen Stelle ausgehen.

Wie geht man am besten mit Anfragen einer Datenschutz-Aufsichtsbehörde um?

Folgender Ablauf hilft Ihnen, die Anfragen von Aufsichtsbehörden einzuschätzen und die wichtigsten Aspekte zu berücksichtigen:

  • Überprüfen Sie, ob alle Voraussetzungen an einen formalen Verwaltungsakt tatsächlich gegeben sind.
    • Sofern dies nicht der Fall ist, wägen Sie ab inwieweit eine freiwillige Kooperation zielführend ist.
    • Sofern ein offizieller Verwaltungsakt vorliegt:
  • Vermerken Sie sich die Fristen zur Beantwortung der Anfrage und stellen sicher, dass diese Fristen eingehalten werden.
  • Lesen Sie sich alle Fragen & Forderungen der Aufsichtsbehörde im Detail durch und prüfen Sie, ob die Fragen eindeutig und verständlich sind. Sofern es Unklarheiten gibt, stellen Sie Rückfragen.
  • Prüfen Sie, auf welche Rechtsgrundlage/n die Behörde die Anforderungen stützt.
  • Stellen Sie einen Antrag auf Akteneinsicht. So stellen Sie sicher, dass Ihnen alle Fakten bekannt sind. Nur so können Sie auf Augenhöhe mit den Behörden diskutieren und erlangen den selben Kenntnisstand, wie die Behörde selbst.
  • Beantworten Sie die Fragen präzise und transparent, ohne unnötige und weiterführende Details.

Weitere Hinweise für die Bearbeitung von Anfragen einer Datenschutz-Aufsichtsbehörde

Einsichtsrecht

Die Formulierung des Art. 58 Abs. 1 lit. a DS-GVO legt nahe, dass die Aufsichtsbehörden nur ein Einsichtsrecht (Vorort) in Dokumente besitzen. Folgt man dieser Auslegung, ist eine Herausgabe von Unterlagen nicht zwingend erforderlich. Wägen Sie ab, welchen Nutzen / Schaden Sie ggf. bei einer Verweigerung der Weitergabe haben. In vielen Fällen können unverfängliche Informationen auch als Kopie oder online zur Verfügung gestellt werden. Sie kommen der Behörde so entgegen und erleichtern deren Arbeit, was in aller Regel für „Wohlwollen“ sorgt.

Verhältnismäßigkeit

Sofern Sie grobe Bedenken bei der Vorgehensweise und dem Umfang der Anfragen der Aufsichtsbehörde haben, überprüfen Sie die Verhältnismäßigkeit der Vorgehensweise. Wie auch die verantwortliche Stelle, muss die Behörde stets verhältnismäßige Mittel ergreifen. So dürfte regelmäßig ein Vorort-Termin für die Prüfung der Dokumentation, wie z.B. der technischen und organisatorischen Maßnahmen unverhältnismäßig sein, während die konkrete Überprüfung dieser Maßnahmen Vorort ggf. sogar alternativlos und somit angemessen ist. Dies setzt selbstredend voraus, dass Sie im Vorfeld gewillt sind die benötigten Dokumente an die Aufsichtsbehörde zu übermitteln. Andernfalls ist eine Vorort-Kontrolle inkl. der Prüfung der verlangten Dokumente unumgänglich.

Protokollierung

Sofern Sie auf freiwilliger Basis oder durch einen Verwaltungsakt von einer Vorort-Kontrolle betroffen sind, erstellen Sie ein eigenes Protokoll und lassen Sie sich außerdem das Protokoll der Behörde vorlegen. Stellen Sie ggf. vorhandene Fehler in dem Protokoll der Aufsichtsbehörde zeitnah und aktenkundig klar.

Fazit

Im Umgang mit den Aufsichtsbehörden kann es den einen oder anderen „Stolperstein“ geben. Den Handlungsspielraum und die Kooperation mit den Behörden ist daher stets individuell und fallbezogen zu beurteilen. Eine pauschale Handlungsempfehlung kann es nicht geben. Insofern empfiehlt es sich bei jeder Anfrage der Datenschutzaufsichtsbehörde den betrieblichen Datenschutzbeauftragten und unter Umständen auch Rechtsanwälte mit in den Prozess einzubinden. Ebenfalls ist es ratsam den groben Prozess für den Umgang mit Aufsichtsbehörden in einer unternehmensinternen Richtlinie zu definieren.

Dieser Artikel stellt keine Rechtsberatung dar, sondern beruht auf unseren Erfahrungen als Datenschutzbeauftragte. Wenn Sie Hilfe bei der Umsetzung benötigen, wenden Sie sich gern an das ENSECUR-Team.

Hilfreiche Links:

Erläuterungen zum Thema Verwaltungsakt

Video zum Thema „Was darf die Aufsichtsbehörde?“ der Stiftung Datenschutz

Verwaltungsverfahrensgesetz

Autor: Steven Bösel, 05.07.2021

Bildquelle: Bild von Samuel F. Johanns auf Pixabay

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.