Was, wenn beim Transport etwas schiefgeht?
Wer haftet bei Transportverlust und Schäden? Was, wenn das Paket nicht ankommt? Diese und weitere für Händler wichtige Fragen beantworten wir im Beitrag.
1. Aufgaben der Landesbehörden
2. Wie reagiere ich auf eine Anfrage einer Aufsichtsbehörde?
3. Wie gehe ich proaktiv auf die Behörde zu?
4. Unser Tipp
Neben der Aufsichtsbehörde der Bundesrepublik Deutschland verfügen alle 16 Bundesländer über eine eigene Landesaufsichtsbehörde unter Vorsitz eines/einer Landesdatenschutzbeauftragten. Doch welche Aufgaben haben diese Behörden? Sind sie reine Bußgeldstellen und könnte jegliche Kommunikation mit ihnen teuer werden?
Im Folgenden werden die möglichen Kommunikationsgründe und -wege erläutert und mit nützlichen Praxistipps versehen.
Ja, die Durchsetzung und Überwachung der Datenschutzgesetze und mithin auch das Ausstellen von Bußgeldern gehört zu den Aufgabenbereichen dieser Behörden. Allerdings bieten sie ebenso Hilfestellung bei der Wahrnehmung von Betroffenenrechten, stellen Portale zur Meldung von Datenpannen und externen Datenschutzbeauftragten zur Verfügung und unterstützen bei Datenschutzfolgeabschätzungen (DSFA) für Datenverarbeitungen mit einem hohen Risiko für Betroffene. Zusätzlich treffen sich die Datenschutzaufsichtsbehörden des Bundes und der Länder zu der sogenannten Datenschutzkonferenz (DSK), die datenschutzrechtliche Entschließungen und Beschlüsse, Orientierungshilfen und weitere Informationen zu der Thematik Datenschutz erarbeitet und veröffentlicht. So verfasste die DSK beispielsweise im Mai 2022 eine Entschließung zur Forderung eines eigenständigen Beschäftigtendatenschutzgesetzes und beschloss im März 2022 die Pflicht zur Bereitstellung eines Gastkontos bei einer Bestellung im Online-Handel.
Weitere Informationen zu dieser Gastkonto-Pflicht finden Sie auch in dem Blog-Beitrag „Gastbestellung: Pflicht oder nicht?“.
Neben diesen in Art. 57 DSGVO beschriebenen Aufgaben sind die Befugnisse der Aufsichtsbehörden in Art. 58 DSGVO normiert, welcher mögliche Gründe für die Kontaktaufnahme durch eine Behörde liefern kann. Sie teilen sich wie folgt auf, hier beschränkt auf die Kommunikationswege zu Datenverarbeitenden:
Absatz 1: Die Untersuchungsbefugnisse
Absatz 2: Die Abhilfebefugnisse
Absatz 3: Genehmigungs- und Beratungsbefugnisse
Das hängt natürlich stark von der Art der Anfrage ab. Gehen wir von dem schlechtesten Fall aus: Die Behörde vermutet einen Verstoß gegen ein Datenschutzgesetz oder erhält anderweitig Kenntnis eines solchen und leitet ein Bußgeldverfahren bzw. dessen vorgezogen eine allgemeine Untersuchung ein. Hierbei wird die Behörde erstmal um Ihre Mitwirkung bitten, indem sie eine Auskunft oder Stellungnahme zu dem möglichen Verstoß verlangt. Dies erfolgt zumeist durch die Versendung eines Fragenkatalogs. Zu dieser Zusammenarbeit ist der Verantwortliche bzw. der Auftragsverarbeiter gem. Art. 31 DSGVO auch gesetzlich verpflichtet.
Aber muss ich sofort alle Fragen beantworten und der Behörde zurücksenden?
Nein, denn der Auskunftspflichtige, also der Verantwortliche der Datenverarbeitung, kann die Beantwortung von Fragen, die sich oder einen Angehörigen belasten, verweigern. Selbst wenn der Verantwortliche eine Meldung oder Benachrichtigung über einen Datenschutzverstoß abgibt, sind diese Angaben in einem späteren Verfahren der Behörde ohne die Zustimmung des Verantwortlichen nicht verwertbar. Dennoch kann sich eine Kooperation mit der Aufsichtsbehörde durchaus lohnen. Dies hat der Gesetzgeber explizit im Art. 83 Abs. 2 lit. f DSGVO normiert. Die Behörde muss bei der Entscheidung über das Festsetzen eines Bußgeldes bzw. dessen Höhe mit einbeziehen, in welchem Umfang der Verantwortliche mit der Aufsichtsbehörde zusammengearbeitet hat. Unter anderem wegen solch kooperativem Verhalten wurde ein Bußgeld gegen den Telekommunikationsdienstleister 1&1 von 9,55 Millionen Euro auf 900.000 Euro abgesenkt. Solche Bußgelder sind allerdings eher eine Seltenheit. Der Großteil behördlicher Anfragen, wie sie oben genannt werden, ziehen keine Bußgelder nach sich, sondern dienen eher dem Informationsaustausch und der Mitteilung.
Sollte eine Anfrage oder ein Bescheid einer Aufsichtsbehörde eingehen, ist es immer ratsam, den Datenschutzbeauftragten einzubeziehen und mögliche Folgeschritte zu besprechen.
Etwas, das viele Unternehmen betreffen wird, ist die Bestellung eines Datenschutzbeauftragten. Die Kontaktdaten des Bestellten müssen der örtlich einschlägigen Aufsichtsbehörde mitgeteilt werden, also grundsätzlich jener Landesbehörde am Hauptsitz des Online-Shops. Hierfür gibt es mittlerweile Online-Meldeportale, die von jeder der 16 Landesbehörden angeboten werden. Auch online-Beschwerden über Apps sind teilweise schon möglich.
Wussten Sie schon? Innerhalb Ihres Legal Ultimate Produkts können Sie die Trusted Shops GmbH als Ihren externen Datenschutzbeauftragten bestellen!
Hoffentlich seltener wird es der Fall sein, dass Ihr Unternehmen eine Datenpanne melden muss - hören Sie dazu auch in unseren Podcast zur Meldepflicht rein. Kommt es zu einem Verstoß gegen datenschutzrechtliche Vorschriften und es wird ein nicht nur geringes Risiko für die Rechte und Freiheiten der Betroffenen erwartet, muss binnen 72 Stunden eine Meldung an die zuständige Aufsichtsbehörde erfolgen. Auch hierzu bieten die Länder eigene Meldeplattformen an. Aufgrund der Kurzfristigkeit und der Brisanz der Meldung sollten Sie unbedingt Ihren Datenschutzbeauftragten einbeziehen und schon im Vorhinein feste Prozesse dazu entwickelt haben – beispielsweise anhand der in Ihrem Legal Account hinterlegten Muster.
Haben Sie bereits eine Dokumentation zu einer Datenschutzverletzung angelegt, können Sie die dort festgehaltenen Informationen in das jeweilige Meldeportal der Aufsichtsbehörde übernehmen.
Es ist auch möglich, den Aufsichtsbehörden eine allgemeine Anfrage zu datenschutzrechtlichen Themen zukommen zu lassen. Nicht alle Verarbeiter verfügen über einen Datenschutz-Ansprechpartner, um aufkommende Unklarheiten zu beseitigen. Die Landesbehörden bieten dazu unterschiedliche Kontaktmöglichkeiten auf ihrer Webseite an, bspw. die Landesbeauftragte für Datenschutz aus NRW oder das Bayerische Landesamt für Datenschutzaufsicht. Der Nachteil einer solchen Anfrage gegenüber der Klärung mit einem Datenschutzexperten besteht darin, dass solche Anfragen durch ihre Vielzahl in der Regel einer erheblichen Bearbeitungszeit bedürfen. Nicht selten warten Hilfesuchende mehrere Wochen auf eine Antwort.
Die Gründe für eine Kommunikation mit einer Aufsichtsbehörde können vielfältig sein. Nicht immer, vielmehr eher selten, droht die Zahlung eines Bußgeldes. Durch eine wirkungsvolle Kooperation mit den Behörden lässt sich die Höhe möglicher Bußgelder stark reduzieren. Bereiten Sie sich auf mögliche Szenarien vor und beziehen sie Ihren Datenschutzbeauftragten mit ein, um Komplikationen zu vermeiden und Folgeschritte zwischen Kooperation und Auskunftsverweigerung zu planen.
Fabian Pohl absolvierte das Studium Wirtschaftsrecht an der Universität Siegen. Nachdem er erste Erfahrungen in den Gebieten des Vertrags-, Unternehmens- und Datenschutzrecht in einer Digital-Agentur sammeln konnte, schloss er sich 2022 Trusted Shops an. Dort betreut er als Legal Consultant mit dem Schwerpunkt Datenschutzrecht die Trusted Shops Legal Produkte.
08.09.22Wer haftet bei Transportverlust und Schäden? Was, wenn das Paket nicht ankommt? Diese und weitere für Händler wichtige Fragen beantworten wir im Beitrag.
Wann brauchen Sie eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten? Welche Aufgaben sind zu erfüllen? Alle Antworten dazu in diesem Artikel.