Datenschutz-Tipp Nr. 9: Tipps zum Umgang mit Aufsichtsbehörden (Teil 1)

Datenschutz

Mal ehrlich…haben Sie schon einmal ungewollten und unverlangten Kontakt zu der für Ihr Unternehmen zuständigen Aufsichtsbehörde gehabt?

Wahrscheinlich nicht. Viele von Ihnen werden sicher schon einmal mit einem Mitarbeiter einer Aufsichtsbehörde zu tun gehabt haben. Vielleicht haben Sie einmal eine telefonische Anfrage gestellt oder sich auf einer Konferenz unterhalten. Aber eine Kontrolle durch die Aufsichtsbehörde – oder gar eine nichtanlassbezogene? Das ist selten der Fall. Nach einer (mit Verlaub etwas fragwürdigen Berechnung) des Unternehmens XAMIT aus dem Jahr 2009 müsse ein Unternehmen statistisch nur alle 34.900 Jahre mit einer Kontrolle durch die Aufsichtsbehörde für den Datenschutz rechnen. Update: 29.05.2016: In einigen Bundesländern (z.B. Bayern) sind die Aufsichtsbehörden aber dazu übergegangen, Fragebögen an Unternehmen zu senden, die von diesen ausgefüllt werden müssen. In dem Zusammenhang werden dann ggf. auch Kontrollen (stichprobenhaft) durchgeführt.

Ganz viele von Ihnen können also gar nicht wissen, wie es abläuft, wenn sich z.B. die Aufsichtsbehörde wegen der Beschwerde eines Betroffenen oder aufgrund einer kritischen Medienberichterstattung an Ihr Unternehmen wendet. Da bieten sich vor allem auch Gelegenheiten, viele Dinge richtig falsch oder eben auch richtig richtig zu machen.

Es gibt in Deutschland mittlerweile eine ganze Reihe von Rechtsanwälten, die sich mehr oder weniger ausschließlich mit dem Thema Datenschutzrecht befassen. Und auch ich bin daher immer mal wieder an bestehenden oder drohenden Konflikten mit Aufsichtsbehörden als Anwalt beteiligt. Sie können sich vorstellen, dass Ihnen da eine Menge interessanter Dinge über den Weg laufen – Positives und Negatives.

Ich möchte Ihnen in dieser Serie anhand von an die Praxis angelehnten Fälle darstellen, wo Unternehmen häufig Fehler machen und möchte Ihnen insbesondere ein paar rechtliche, vor allem aber psychologische Tipps zum Umgang mit Aufsichtsbehörden geben.

Ich bin kein Psychologe, beschäftige mich als Anwalt (und privat) aber viel mit Verhandlungsführung, Rhetorik und natürlich dem, was Sie vereinfacht und falsch formuliert psychologische Kriegsführung nennen können.

Und wissen Sie was? Ich bin heute derart froh darüber, dass ich eine kurze Zeit in einer Aufsichtsbehörde für den Datenschutz gearbeitet habe. Ich habe dort nicht nur viel Fachliches gelernt und Freunde gewonnen. Ich habe vor allem eines erkannt: es gibt typische psychologische dienstbezogene Denk- und Verhaltensmustern bei Mitarbeiterin in Aufsichtsbehörden. Ich möchte damit nicht sagen, dass alle Mitarbeiter in Aufsichtsbehörden gleich sind – weit gefehlt und schlichtweg nicht zutreffend. Es lässt sich vielleicht am besten mit einfachen Worten sagen:

Wenn Sie wissen, wie Mitarbeiter in Aufsichtsbehörden “ticken” und sich darauf einstellen, dann erreichen Sie mit diesem Wissen wesentlich mehr als mit fulminanten Rechtskenntnissen.

Darauf dürfen Sie sich verlassen! Aber zurück zum Thema:

Wenn nicht gerade eine Arztpraxis seine Krankenakten vor der Tür in der Haupteinkaufsstraße entsorgt, ist ein unangekündigtes Erscheinen der Aufsichtsbehörde höchst unwahrscheinlich.

Der normale Ablauf ist der, dass Sie ein Schreiben (ggf. als Fax vorab) von der Aufsichtsbehörde bekommen. In dem Schreiben wird zunächst dargestellt, warum die Aufsichtsbehörde sich an Sie wendet. Manchmal folgt eine vorherige grobe Bewertung der Rechtslage (insbesondere dann, wenn die Tatsachengrundlage ausreichend ist). Sie werden in der Regel aufgefordert, Informationen zur genauen Funktionsweise eines Verfahrens zu erteilen und wo Sie die Rechtsgrundlage für die Datenverarbeitung sehen. Gerne wird auch gefragt, ob ein betrieblicher Datenschutzbeauftragter bestellt ist und manchmal wird auch gebeten, dessen Fachkunde nachzuweisen (das ist aber eher selten nach meiner Erfahrung).

Nehmen wir einmal einen hypothetischen, extra allgemein gehaltenen Fall. Angenommen ein Kunde von Ihnen hat sich beschwert, dass Sie seine Daten unzulässig verarbeiten und/oder nutzen. Der hat sich aber nicht nur bei Ihnen beschwert, sondern auch bei der Aufsichtsbehörde. Das kommt häufiger vor, denn im Gegensatz zum Anwalt, kostet die Inanspruchnahme der Aufsichtsbehörde für Beschwerden (für den Beschwerenden, für das kontrollierte Unternehmen ggf. schon) nichts. Und die Aufsichtsbehörde hat natürlich andere Auskunfts- und Kontrollmöglichkeiten als ein Anwalt.

Sie bekommen dann von der Aufsichtsbehörde ein Schreiben mit folgendem Text:

Aufsicht nach § 38 BDSG
Beschwerde: Max Mustermann, 12345 Musterstadt

Sehr geehrte Damen und Herren,

die Aufsichtsbehörde des Bundeslandes Musterland kontrolliert als Aufsichtsbehörde für den nichtöffentlichen Bereich gemäß § 38 Abs. 1 des Bundesdatenschutzgesetzes (BDSG) die Einhaltung der Rechtsvorschriften zum Schutz personenbezogener Daten im Bereich der Privatwirtschaft. Unternehmen sind uns nach § 38 Abs. 3 BDSG zur rechtzeitigen, inhaltlich richtigen und vollständigen Auskunft verpflichtet. Ich weise darauf hin, dass Ihnen unter Umständen das Recht zusteht, die Auskunft zu verweigern (§ 38 Abs. 3 Satz 2 BDSG). Teilen Sie mir bitte – auch in Ihrem eigenen Interesse – mit, wenn Sie von einem Auskunftsverweigerungsrecht Gebrauch machen wollen.

Anlass für unser Schreiben ist:

blablablabalblabla (der Anlass ist zunächst einmal unwichtig)

Um den Vorfall datenschutzrechtlich beurteilen zu können, benötige ich von Ihnen Antworten auf folgende Fragen:

  1. Welche Daten werden von Kunden konkret und standardmäßig erhoben?
  2. Welche dieser Daten werden gespeichert?
  3. Wie werden die Daten gespeichert?
  4. Für welchen Zweck werden die Daten gespeichert?
  5. Wie und für welche Zwecke werden die Daten ausgewertet?
  6. Findet eine Übermittlung oder Weitergabe der Daten an Dritte oder andere Unternehmen statt?
  7. Auf welche Rechtsgrundlage(n) stützen Sie die vorgenommene Verarbeitung und Nutzung personenbezogener Daten?
  8. Wann werden die Daten gelöscht und wie wird die Einhaltung der Löschfristen sichergestellt?
    Ich möchte Sie ferner bitten, mir mitzuteilen, ob Ihr Unternehmen einen betrieblichen Datenschutzbeauftragten bestellt hat. Falls ja, übersenden Sie bitte eine Kopie der schriftlichen Bestellung.

Sollten Sie keinen betrieblichen Datenschutzbeauftragten bestellt haben, bitte ich um Mitteilung der Anzahl der Personen, die in ihrem Unternehmen ständig personenbezogene Daten automatisiert verarbeiten.

Bitte senden Sie mir Ihre Stellungnahme mit den Antworten auf meine Fragen bis spätestens

10. September 2010

zu. Für Rückfragen stehe ich gerne zur Verfügung.

Mit freundlichen Grüßen

Wie antworten Sie darauf?

Tja….das dürfen Sie erst im 2. Teil erfahren. Morgen!

Bis dahin…

Letzte Aktualisierung | letzter Aktualisierungscheck: 29.05.2016
Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.