Eine gute Kooperation ist ein wichtiger Faktor bei der DSGVO-konformen Datenverarbeitung & wird von den Aufsichtsbehörden bei etwaigen Verstößen honoriert.
Erbittet die Aufsichtsbehörde im Verwaltungsverfahren um Auskunft, schrillen bei vielen Unternehmen gleich die Alarmglocken, weil Bußgelder befürchtet werden. Allerdings kann gerade in diesem Verfahren die Kooperation mit den Aufsichtsbehörden dazu beitragen, Bußgelder zu vermeiden oder zu reduzieren.
Trotz Geltung der Datenschutz-Grundverordnung (DSGVO) – seit dem 25.05.2018 – und ihrer erhöhten Bußgelder sollten Unternehmen berücksichtigen, dass die Aufsichtsbehörden zwar für die Kontrolle der Umsetzung der datenschutzrechtlichen Vorgaben verantwortlich bleiben, aber weiterhin auch eine Beratungsfunktion gegenüber Unternehmen wahrnehmen. Im Folgenden soll aufgezeigt werden, dass die Kooperation mit Aufsichtsbehörden seit Geltung der Datenschutz-Grundverordnung ein wichtiger Faktor bei einer DSGVO-konformen Datenverarbeitung ist und von den Aufsichtsbehörden bei etwaigen Verstößen honoriert wird.
Proaktive Kooperation mit der Aufsichtsbehörde
Aufsichtsbehörden haben nach Maßgabe der DSGVO (wie schon nach der alten Rechtslage gemäß § 38 BDSG a.F.) nicht nur die Aufgabe bezüglich entsprechender Verstöße zu sanktionieren, sondern auch Unternehmen entsprechend zu beraten, um Verstöße zu vermeiden. Unternehmen sollten daher nicht vor einer regelmäßigen Behördenkommunikation zurückschrecken, sondern diese vielmehr proaktiv selbst suchen und durchführen. Insbesondere vor der Umsetzung neuerer Geschäftsmodelle ist eine Abstimmung mit den Aufsichtsbehörden hinsichtlich datenschutzkonformer Lösungen sinnvoll, um das Geschäftsmodell planbar und mit möglichst geringem (Bußgeld-) Risiko umzusetzen.
Rückfragen der Aufsichtsbehörden
Die Landesdatenschutzbeauftragten könnten nach dem Vorbild Niedersachsens „Queerschnittsprüfungen“ zur Umsetzung der DSGVO durchführen. So hat die niedersächsische Landesdanteschutzbeauftragte an 50 Unternehmen einen Fragenkatalog versandt mittels dessen die Umsetzung der DSGVO in den jeweiligen Unternehmen geprüft werden soll.
Dabei werden u.a. folgende Fragen gestellt:
zur Vorbereitung auf die Datenschutz-Grundverordnung (DSGVO)zur Erstellung von Verzeichnissen der Verarbeitungstätigkeit (VVT)zur Gestaltung von Einwilligungserklärungenzur Gestaltung von Prozessen zum Schutz der Betroffenenrechtezum technischen Datenschutzzur Datenschutz-Folgenabschätzungzur Gestaltung von Verträgen mit Auftragsverarbeiternzur Einbindung des Datenschutzbeauftragten in das Unternehmenzur Vorbereitung des Umgangs mit Meldepflichtenzur Dokumentation der Umsetzung der DSGVO gegenüber den Aufsichtsbehörden
Bei einigen dieser Vorgänge schreibt die DSGVO zwingend die Kooperation mit den Aufsichtsbehörden vor (so etwa, wenn das Ergebnis einer Datenschutz-Folgenabschätzung ein hohes Risiko für die Rechte der Betroffenen aufzeigt). Unabhängig davon, ob die DSGVO eine solche Kooperation ausdrücklich vorschreibt, ist jedoch bei allen Punkten bei entsprechenden Anfragen der Aufsichtsbehörden auf eine fachgerechte und umfassende Beantwortung zu achten, sofern mit der Auskunft keine Selbstbelastung einhergeht. Bereits an dieser Stelle wird damit das Auskunftsverweigerungsrecht relevant.
Behördenkommunikation erfordert dabei das Erstellen von Schriftsätzen, um auf entsprechende Anfragen sachgerecht reagieren zu können. Manche Anfragen erfordern die Vorlage von Mustern (z.B. von Einwilligungserklärungen) oder sonstigen Nachweisen, hier können unsauber oder offen formulierte Antworten schnell die Aufmerksamkeit der Aufsichtsbehörden auf Vorgänge im Unternehmen lenken, obwohl diese in Wahrheit ordnungsgemäß verlaufen.
In einigen Fällen kündigen die Aufsichtsbehörden Prüfungen zur Umsetzung der DSGVO im jeweiligen Unternehmen an, dabei sind die Fristen bis zur Überprüfung in der Regel sehr knapp gesetzt. In solchen Fällen ist dringend davon abzuraten, überstürzt auf entsprechende Ankündigungen zu reagieren. Hier ist zwar ein verschärfter Fokus auf den Datenschutz richtig, aber die Einholung von Rechtsrat nahezu unerlässlich. Natürlich sollten entsprechende Prüfungen einen möglichst nahen Einblick in den Unternehmensalltag gewähren, allerdings sind entsprechende Prüfungen auch rechtlich und tatsächlich vorzubereiten und durch externe Beratung zu begleiten, um die eigenen Bemühungen um Datenschutz auch ausreichend kenntlich machen zu können.
In anderen Fällen kündigen die Aufsichtsbehörden die Überprüfung überhaupt nicht an. Hier sollten Unternehmen generell ein Konzept für mögliche Prüfungen erarbeitet haben, dass es trotz der möglichen Überraschung ermöglicht die Bemühungen zur Einhaltung der Datenschutz-Grundverordnung (DSGVO) nachweisen zu können. Unerlässlich ist hierfür eine sorgfältige Dokumentation der eigenen Bemühungen um Datenschutz.
Bußgeldverfahren
Kommt es trotz aller Bemühungen im Einzelfall doch zu Verstößen, z.B. in Form von Datenpannen, ist es wichtig mit den Aufsichtsbehörden zu kooperieren, dabei aber zugleich Auskunftsverweigerungsrechte zu kennen und zu berücksichtigen.
Diese Kooperation beginnt bereits bei einer frühzeitigen Meldung etwaiger Datenpannen und der Umsetzung der entsprechenden Empfehlungen der Aufsichtsbehörden, v.a. gegenüber Betroffenen. Die Empfehlungen der Artikel-29-Datenschutzgruppe machen deutlich, dass eine Kooperation mit den Aufsichtsbehörden zu einer Senkung der Bußgeldhöhe führen kann. Aktuelle Beispiele zeigen wie im Bußgeldverfahren gegen die Kommunikationsplattform Knuddels, dass eine uneingeschränkte Zusammenarbeit mit den Aufsichtsbehörden tatsächlich erhebliche Auswirkungen auf die Bußgeldhöhe haben kann und darüber hinaus dem Image des jeweiligen Unternehmens trotz möglicher Datenpannen zuträglich ist. Um eine entsprechende Kooperation sachgerecht durchführen zu können, sollten alle Empfehlungen der Aufsichtsbehörden auf ihre Umsetzbarkeit geprüft werden, um Missverständnisse zu vermeiden. Nach einer solchen Prüfung sollten entsprechende Protokolle errichtet werden, die es im Notfall den einzelnen Mitarbeitern ermöglichen den Empfehlungen der Aufsichtsbehörden schnell nachzukommen. Entsprechende Protokolle können auch in Zusammenarbeit mit den Aufsichtsbehörden erstellt werden.
Fazit
Aufsichtsbehörden sind keine reinen Bußgeldverhängungsstellen. Vielmehr kann eine fundierte und geplante Kooperation mit ihnen nicht nur das Bußgeldrisiko im Falle von Verstößen senken, sondern darüber hinaus hilfreiche Grundlage für eine risikofreie Durchführung von Datenverarbeitungsvorgängen darstellen und zur Verbesserung des Unternehmensimages beitragen. Voraussetzung ist immer eine gut vorbereitete Kooperation und Kommunikation mit den Behörden, auch vor dem Hintergrund sich nicht dem unbegründeten Verdacht von Datenschutzverstößen auszusetzen.
