DSGVO: So gelingt die Kooperation mit der Aufsichtsbehörde

S

Eine gute Kooperation ist ein wichtiger Faktor bei der DSGVO-konformen Datenverarbeitung & wird von den Aufsichtsbehörden bei etwaigen Verstößen honoriert.

Erbittet die Aufsichtsbehörde im Verwaltungsverfahren um Auskunft, schrillen bei vielen Unternehmen gleich die Alarmglocken, weil Bußgelder befürchtet werden. Allerdings kann gerade in diesem Verfahren die Kooperation mit den Aufsichtsbehörden dazu beitragen, Bußgelder zu vermeiden oder zu reduzieren.

Trotz Geltung der Datenschutz-Grundverordnung (DSGVO) - seit dem 25.05.2018 - und ihrer erhöhten Bußgelder sollten Unternehmen berücksichtigen, dass die Aufsichtsbehörden zwar für die Kontrolle der Umsetzung der datenschutzrechtlichen Vorgaben verantwortlich bleiben, aber weiterhin auch eine Beratungsfunktion gegenüber Unternehmen wahrnehmen. Im Folgenden soll aufgezeigt werden, dass die Kooperation mit Aufsichtsbehörden seit Geltung der Datenschutz-Grundverordnung ein wichtiger Faktor bei einer DSGVO-konformen Datenverarbeitung ist und von den Aufsichtsbehörden bei etwaigen Verstößen honoriert wird.

Proaktive Kooperation mit der Aufsichtsbehörde

Aufsichtsbehörden haben nach Maßgabe der DSGVO (wie schon nach der alten Rechtslage gemäß § 38 BDSG a.F.) nicht nur die Aufgabe bezüglich entsprechender Verstöße zu sanktionieren, sondern auch Unternehmen entsprechend zu beraten, um Verstöße zu vermeiden. Unternehmen sollten daher nicht vor einer regelmäßigen Behördenkommunikation zurückschrecken, sondern diese vielmehr proaktiv selbst suchen und durchführen. Insbesondere vor der Umsetzung neuerer Geschäftsmodelle ist eine Abstimmung mit den Aufsichtsbehörden hinsichtlich datenschutzkonformer Lösungen sinnvoll, um das Geschäftsmodell planbar und mit möglichst geringem (Bußgeld-) Risiko umzusetzen.

Rückfragen der Aufsichtsbehörden

Die Landesdatenschutzbeauftragten könnten nach dem Vorbild Niedersachsens „Queerschnittsprüfungen“ zur Umsetzung der DSGVO durchführen. So hat die niedersächsische Landesdanteschutzbeauftragte an 50 Unternehmen einen Fragenkatalog versandt mittels dessen die Umsetzung der DSGVO in den jeweiligen Unternehmen geprüft werden soll.

Dabei werden u.a. folgende Fragen gestellt:

zur Vorbereitung auf die Datenschutz-Grundverordnung (DSGVO)zur Erstellung von Verzeichnissen der Verarbeitungstätigkeit (VVT)zur Gestaltung von Einwilligungserklärungenzur Gestaltung von Prozessen zum Schutz der Betroffenenrechtezum technischen Datenschutzzur Datenschutz-Folgenabschätzungzur Gestaltung von Verträgen mit Auftragsverarbeiternzur Einbindung des Datenschutzbeauftragten in das Unternehmenzur Vorbereitung des Umgangs mit Meldepflichtenzur Dokumentation der Umsetzung der DSGVO gegenüber den Aufsichtsbehörden

Bei einigen dieser Vorgänge schreibt die DSGVO zwingend die Kooperation mit den Aufsichtsbehörden vor (so etwa, wenn das Ergebnis einer Datenschutz-Folgenabschätzung ein hohes Risiko für die Rechte der Betroffenen aufzeigt). Unabhängig davon, ob die DSGVO eine solche Kooperation ausdrücklich vorschreibt, ist jedoch bei allen Punkten bei entsprechenden Anfragen der Aufsichtsbehörden auf eine fachgerechte und umfassende Beantwortung zu achten, sofern mit der Auskunft keine Selbstbelastung einhergeht. Bereits an dieser Stelle wird damit das Auskunftsverweigerungsrecht relevant.

Behördenkommunikation erfordert dabei das Erstellen von Schriftsätzen, um auf entsprechende Anfragen sachgerecht reagieren zu können. Manche Anfragen erfordern die Vorlage von Mustern (z.B. von Einwilligungserklärungen) oder sonstigen Nachweisen, hier können unsauber oder offen formulierte Antworten schnell die Aufmerksamkeit der Aufsichtsbehörden auf Vorgänge im Unternehmen lenken, obwohl diese in Wahrheit ordnungsgemäß verlaufen.

In einigen Fällen kündigen die Aufsichtsbehörden Prüfungen zur Umsetzung der DSGVO im jeweiligen Unternehmen an, dabei sind die Fristen bis zur Überprüfung in der Regel sehr knapp gesetzt. In solchen Fällen ist dringend davon abzuraten, überstürzt auf entsprechende Ankündigungen zu reagieren. Hier ist zwar ein verschärfter Fokus auf den Datenschutz richtig, aber die Einholung von Rechtsrat nahezu unerlässlich. Natürlich sollten entsprechende Prüfungen einen möglichst nahen Einblick in den Unternehmensalltag gewähren, allerdings sind entsprechende Prüfungen auch rechtlich und tatsächlich vorzubereiten und durch externe Beratung zu begleiten, um die eigenen Bemühungen um Datenschutz auch ausreichend kenntlich machen zu können.

In anderen Fällen kündigen die Aufsichtsbehörden die Überprüfung überhaupt nicht an. Hier sollten Unternehmen generell ein Konzept für mögliche Prüfungen erarbeitet haben, dass es trotz der möglichen Überraschung ermöglicht die Bemühungen zur Einhaltung der Datenschutz-Grundverordnung (DSGVO) nachweisen zu können. Unerlässlich ist hierfür eine sorgfältige Dokumentation der eigenen Bemühungen um Datenschutz.

Bußgeldverfahren

Kommt es trotz aller Bemühungen im Einzelfall doch zu Verstößen, z.B. in Form von Datenpannen, ist es wichtig mit den Aufsichtsbehörden zu kooperieren, dabei aber zugleich Auskunftsverweigerungsrechte zu kennen und zu berücksichtigen.

Diese Kooperation beginnt bereits bei einer frühzeitigen Meldung etwaiger Datenpannen und der Umsetzung der entsprechenden Empfehlungen der Aufsichtsbehörden, v.a. gegenüber Betroffenen. Die Empfehlungen der Artikel-29-Datenschutzgruppe machen deutlich, dass eine Kooperation mit den Aufsichtsbehörden zu einer Senkung der Bußgeldhöhe führen kann. Aktuelle Beispiele zeigen wie im Bußgeldverfahren gegen die Kommunikationsplattform Knuddels, dass eine uneingeschränkte Zusammenarbeit mit den Aufsichtsbehörden tatsächlich erhebliche Auswirkungen auf die Bußgeldhöhe haben kann und darüber hinaus dem Image des jeweiligen Unternehmens trotz möglicher Datenpannen zuträglich ist. Um eine entsprechende Kooperation sachgerecht durchführen zu können, sollten alle Empfehlungen der Aufsichtsbehörden auf ihre Umsetzbarkeit geprüft werden, um Missverständnisse zu vermeiden. Nach einer solchen Prüfung sollten entsprechende Protokolle errichtet werden, die es im Notfall den einzelnen Mitarbeitern ermöglichen den Empfehlungen der Aufsichtsbehörden schnell nachzukommen. Entsprechende Protokolle können auch in Zusammenarbeit mit den Aufsichtsbehörden erstellt werden.

Fazit

Aufsichtsbehörden sind keine reinen Bußgeldverhängungsstellen. Vielmehr kann eine fundierte und geplante Kooperation mit ihnen nicht nur das Bußgeldrisiko im Falle von Verstößen senken, sondern darüber hinaus hilfreiche Grundlage für eine risikofreie Durchführung von Datenverarbeitungsvorgängen darstellen und zur Verbesserung des Unternehmensimages beitragen. Voraussetzung ist immer eine gut vorbereitete Kooperation und Kommunikation mit den Behörden, auch vor dem Hintergrund sich nicht dem unbegründeten Verdacht von Datenschutzverstößen auszusetzen.

Art Veröffentlichung:
Mehrfach
Thema des Eintrags (Marketing, eCommerce)
  • Anwendung / Lösung
  • Recht
IT-Thema des Eintrags?
IT-Sicherheit
Kontaktdaten Unternehmen / Pressekontakt:

Deborah Reusch
Presse und Marketing
Schürmann Rosenthal Dreyer Rechtsanwälte
Am Hamburger Bahnhof 4
10557 Berlin
Tel.: +49 (0)30 21 30 028-0
Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Inhalt weiterempfehlen / teilen:

Benutzer-Bewertungen

1 Bewertungen

Bewerten Sie den Artikel: 
 
5.0  (1)
Haben Sie schon ein Konto?
Ratings
Bewerten Sie den Artikel:
Fachartikel
Für die Bewertung des Fachartikels, wie ist Ihr Status zum Thema oder wie schätzen Sie sich ein?
Datenschutz Kommentar
Durch das Anhaken der folgenden Checkbox und des Buttons "Absenden" erlaube ich www.ecin.de die Speicherung meiner oben eingegeben Daten:
Um eine Übersicht über die Kommentare / Bewertungen zu erhalten und Missbrauch zu vermeiden wird auf www.ecin.de der Inhalt der Felder "Name", "Titel" "Kommentartext" (alles keine Pflichtfelder / also nur wenn angegeben), die Bewertung sowie Deine IP-Adresse und Zeitstempel Deines Kommentars gespeichert. Sie können die Speicherung Ihres Kommentars jederzeit widerrufen. Schreiben Sie uns einfach eine E-Mail: "redaktion / at / ecin.de". Mehr Informationen welche personenbezogenen Daten gespeichert werden, finden Sie in unserer Datenschutzerklärung.
Ich stimme der Speicherung meiner personenbezogenen Daten zu:
Kommentare
Bewerten Sie den Artikel: 
 
5.0
Bewertungs-Knowhow:
Mitarbeiter im Unternehmen
S

Haftungsausschluss Fachartikel

ECIN.de bietet unter www.ecin.de/fachartikel einen Bereich zum Veröffentlichen von (werblichen) Fachartikeln. Dies bedeutet, dass zwar Fachwissen von Experten vermittelt wird, aber gleichzeitig auch die Tätigkeiten eines Experten oder eines Unternehmens in Form von Textinhalten und Verlinkungen präsentiert werden können.

Für den Inhalt der Fachartikel ist allein deren Urheber verantwortlich.

ECIN.de distanziert sich von dem Inhalt der Fachartikel. Der Inhalt der Fachartikel wurde von ECIN.de weder auf ihre Richtigkeit noch darauf überprüft, ob damit die Rechte Dritter verletzt werden.

Wenn Ihnen ein Rechtsverstoß auffällt kontaktieren Sie ECIN.de