Datenschutz-Tipp Nr. 10: Tipps zum Umgang mit Aufsichtsbehörden (Teil 2)

Datenschutz

Sie erinnern sich? Im letzten Teil des Newsletters haben Sie einen Brief von der Aufsichtsbehörde erhalten! Nun ja…nicht genau Sie, es ist nur ein Beispiel. Aber versuchen Sie einfach noch einmal sich in die Lage zu versetzen, dass wirklich Ihr Unternehmen Adressat des Schreibens ist. Wie verhalten Sie sich?

Es gelten folgende Grundregeln:

  1. Nehmen Sie das Schreiben ernst!
    Wenn Sie das Schreiben einfach beiseite packen wie ein übliches Auskunftsschreiben der GEZ, die wissen möchte, ob sie nun auch Radios im Firmenwagen angeschafft haben, dann tun Sie das Falsche! Mit Aufsichtsbehörden ist nicht zu spaßen. Die Befugnisse der Aufsichtsbehörden sind weitgehend und auch die Neigung, Bußgelder zu verhängen, ist in den letzten Jahren erheblich gestiegen.

  2. Leiten Sie das Schreiben an den betrieblichen Datenschutzbeauftragten und an die Fachabteilung weiter und vereinbaren Sie eine Besprechung zum Thema.
    Sie dürfen die potentiellen Folgen einer Untersuchung von Geschäftsvorgängen durch die Aufsichtsbehörde nicht unterschätzen. Sehr häufig zeigt sich, dass bisher praktizierte Unternehmensabläufe nach Auffassung der Aufsichtsbehörde unzulässig sind. Sie müssen ggf. gegenüber der Aufsichtsbehörde in der Lage sein, die jeweiligen Zwecke und Erforderlichkeiten eines praktizierten Verfahrens darzustellen. Dies sollten Sie intern gründlich vorbereiten. Machen Sie ein Brainstorming etc.

  3. Wenn Sie keinen Datenschutzbeauftragten haben, haben Sie regelmäßig ein Problem. Lösen Sie es umgehend!
    Ja, es gibt Ausnahmen im Gesetz, nach denen Sie keinen Datenschutzbeauftragten bestellen müssen. Das dürfte aber nur auf wenige Unternehmen zutreffen. Auch wenn viele Unternehmen nicht mehr als 9 Mitarbeiter beschäftigten, so wird häufig übersehen, dass eine Pflicht zur Bestellung eines Datenschutzbeauftragten auch dann besteht, wenn Sie mit Daten arbeiten, die der sog. Vorabkontrolle (§ 4d Abs. 5 BDSG) unterliegen. Das sind z.B. grundsätzlich immer Verfahren, die sog. sensitive, also besonders schutzbedürftige Daten betreffen. Das sind nach § 3 Abs. 9 BDSG Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.

Und denken Sie bitte auch daran, dass – wenn Sie keinen Datenschutzbeauftragten bestellt haben – die Meldepflicht für automatisierte Verfahren nur in bestimmten Konstellationen entfällt. Die Meldepflicht (§ 4d BDSG) regelt, dass Verfahren automatisierter Verarbeitungen vor ihrer Inbetriebnahme der zuständigen Aufsichtsbehörde vom Unternehmen nach bestimmten Vorgaben zu melden sind. Die Nichtmeldung ist übrigens eine Ordnungswidrigkeit. Die Meldepflicht entfällt, wenn Sie einen Datenschutzbeauftragten bestellt haben. Wenn Sie weniger als 10 Personen beschäftigen und nur Daten von Personen verarbeiten, von denen Sie die Einwilligung zur Verwendung der Daten haben oder die Daten für die Erfüllung ihrer vertraglichen Zwecke gegenüber der Person erforderlich sind, dann entfällt zwar auch die Meldepflicht. Das gilt aber z.B. wiederum nicht, wenn Sie Daten zum Zwecke der geschäftsmäßigen Übermittlung an Dritte verarbeiten.

Denken Sie daran, dass Sie gegenüber der Aufsichtsbehörde darlegen müssen, dass Sie wirksame Einwilligungen von z.B. ihren Kunden haben oder dass alle Ihre Verarbeitungsverfahren wirklich für die Erfüllung vertraglicher Pflichten erforderlich sind. Ich muss Ihnen leider sagen, dass Sie damit in der Praxis aller Wahrscheinlichkeit nach erhebliche Probleme bekommen werden. Und den Aufwand sollten Sie auch nicht unterschätzen.

Es kann natürlich etwas peinlich sein, wenn Sie erst auf Veranlassung eines Schreibens der Aufsichtsbehörde einen Datenschutzbeauftragten bestellen. Und es legitimiert auch nicht vergangene Verletzungen der Meldepflicht. Gleichwohl ist das nicht unüblich, und mit hoher Wahrscheinlich wird die Aufsichtsbehörde die bisher nicht vorgenommenen Verfahrensmeldungen nicht weiter thematisieren. Versprechen kann ich Ihnen das jedoch nicht. Ich kann Ihnen aber sagen, dass es die beste Maßnahme ist, die Sie in einem solchen Fall treffen können. Bitte achten Sie aber darauf, dass Sie einen Datenschutzbeauftragten – egal ob intern oder extern – bestellen, der über die erforderliche Fachkunde und Zuverlässigkeit im Sinne des Gesetzes verfügt.

  1. Überlegen Sie, ob Sie eine Fristverlängerung zur Stellungnahme brauchen.
    Sie sollten Ihre Stellungnahme sorgfältig vorbereiten und schreiben können. Dafür benötigen Sie möglicherweise mehr Zeit als die Aufsichtsbehörde Ihnen in ihrer Frist eingeräumt hat. Rufen Sie bei der Aufsichtsbehörde an und fragen Sie nach einer Fristverlängerung (bitte noch nichts zum Fall an sich sagen). Oder bitten Sie schriftlich um Fristverlängerung. Wenn keine erheblichen Gefahren für den Betroffenen bestehen, wird die Aufsichtsbehörde die Frist in der Praxis um zwei bis drei Wochen verlängern. Das ist übliche Praxis.

  2. Treffen Sie ggf. Sofortmaßnahmen!
    Wenn Sie schon bei ersten internen eigenen Prüfung merken, dass Ihre konkrete Verarbeitung personenbezogener Daten, die Anlass für die Beschwerde ist, rechtswidrig ist, dann treffen Sie unverzüglich Maßnahmen, dass solch ein Vorfall nicht noch einmal vorkommen kann. Schalten Sie z.B. eine Videoüberwachungsanlage ab, die auch den öffentlichen Bürgersteig optisch erfasst und aufzeichnet. Sie tun sich selbst ein Gefallen, wenn Sie schon in Ihrer Stellungnahme darauf hinweisen können, dass Sie Sofortmaßnahmen getroffen haben, die weitere Vorfälle dieser Art verhindern.

  3. Blamieren Sie sich nicht!
    Ich habe nicht nur einmal ein Mandat für die Vertretung eines Unternehmens gegenüber der Aufsichtsbehörde übernommen, weil das Unternehmen sich schon bei der ersten selbst erstellten Stellungnahme blamiert hat. Die Standard-Blamage ist, wenn der interne Datenschutzbeauftragte bei der Angabe der Rechtsgrundlage für die Datenverarbeitung in der Stellungnahme gegenüber der Aufsichtsbehörden, den § 14 BDSG angibt. Wieso ist das blamabel? In § 14 BDSG geht es doch schließlich um die Speicherung, Änderung und Nutzung von Daten? Ja, richtig, aber § 14 BDSG gilt nur für Bundesbehörden bzw. öffentliche Stellen des Bundes. Sie als Unternehmen sind aber keine Bundesbehörde!. Wenn der interne Datenschutzbeauftragte diese Norm angegeben hat, hat er damit eigentlich zugleich dargelegt, dass er über die für seine Tätigkeit erforderliche Fachkunde offensichtlich nicht verfügt. Das ist nicht nur peinlich, es fördert den weiteren positiven Fortgang der Geschichte sicher nicht.

  4. Wenn Sie nicht sicher sind, dann holen Sie sich Hilfe!
    Wenn Sie Fragen der Aufsichtsbehörde beantworten, kann Art und Weise und insbesondere der Umfang der Beantwortung ein sehr kritischer Faktor sein. Eine zu umfangreiche Beantwortung kann Folgefragen auslösen, die Datenschutzprobleme über den konkreten Fall hinaus im Unternehmen aufwerfen. Sie machen hier möglicherweise ein ganz neues Fass auf, wenn ich es einmal so salopp formulieren darf. Manchmal ist weniger mehr. In besonderen Fällen können Sie mit einer umfangreichen Antwort aber auch das Aufkeimen weiterer Fragen verhindern, Fragen, die Sie nicht provozieren wollen. Sie wandern hier auf einem sehr schmalen Grat. Wenn Sie fachlich absolut fit sind und sich insbesondere in die Psychologie der Aufsichtsbehördenmitarbeiter versetzen können, dann ist das wunderbar. Sie werden den richtigen Weg finden! Wenn Sie aber nicht firm sind in diesen Bereichen, dann holen Sie sich fachlich kompetente Hilfe! Mit wenigen Ausnahmen würde ich dazu raten, dass die Hilfe ein Anwalt sein sollte. Nur ein speziell ausgebildeter Anwalt mit Erfahrung in diesem Bereich wird die möglichen Konsequenzen Ihrer Antworten abschätzen können und Sie rechtlich im Hinblick auf alle Vor- und Nachteile beraten können. Ein guter Datenschutz-Berater, der nicht Anwalt ist, wird in diesen Fällen immer einen Anwalt hinzuziehen. Bei der Anwaltssuche sind persönliche Empfehlungen immer gut. Fragen Sie aber bei dem Anwalt unbedingt nach, ob er über die datenschutzrechtlichen Kenntnisse hinaus auch bereits praktische Erfahrung im Umgang mit Aufsichtsbehörden sammeln konnte.

  5. Es gibt Fälle, in denen Sie eine persönliche Besprechung mit der Aufsichtsbehörde anregen sollten.
    Es gibt Fälle, die aufgrund ihrer Komplexität oder aufgrund Ihrer Bedeutung für das Unternehmen, in einem persönlichen Gespräch mit der Aufsichtsbehörde geklärt werden sollten. Dies hat den Vorteil, dass Sie verhandlungspsychologisch besser agieren können. Und Sie können Einfluss auf den Gesprächs- und Diskussionsverlauf nehmen. Sie sollten in einem solchen Fall nur auf die formalen Fragen der Aufsichtsbehörde schriftlich antworten (Angabe des Datenschutzbeauftragten etc.) und Angaben zum Fall zunächst vorenthalten. Bitten Sie in der Stellungnahme einfach um ein persönliches Gespräch – gerne in Ihrem Unternehmen, um den Sachverhalt zu besprechen. Diese Besprechungen sind für Aufsichtsbehörden üblich. Es wird nicht zwingend erwartet, dass Sie vorher eine inhaltliche Stellungnahme abgeben. Es ist übrigens guter Stil, wenn Sie angeben, dass Sie bei der Besprechung auch einen externen Berater XY oder Anwalt XY teilnehmen lassen wollen. Die Aufsichtsbehörde darf im Vorwege wissen, mit wem Sie es zu tun haben wird, um sich darauf einzustellen und ggf. “Waffengleichheit” herzustellen.

Wie eine Antwort auf die Anfrage der Aufsichtsbehörde aus dem ersten Teil aussehen könnte, das erfahren Sie im dritten und letzten Teil. Voraussichtlich Morgen.

Bis dahin…

Letzte Aktualisierung | letzter Aktualisierungscheck: 29.05.2016
Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.