Die Kommunikation mit Aufsichtsbehörden – sind sie reine Bußgeldstellen?

Inhaltsverzeichnis:

1. Aufgaben der Landesbehörden
2. Wie reagiere ich auf eine Anfrage einer Aufsichtsbehörde?
3. Wie gehe ich proaktiv auf die Behörde zu?
4. Unser Tipp

 

Diesen Artikel jetzt als Podcast anhören

 

Neben der Aufsichtsbehörde der Bundesrepublik Deutschland verfügen alle 16 Bundesländer über eine eigene Landesaufsichtsbehörde unter Vorsitz eines/einer Landesdatenschutzbeauftragten. Doch welche Aufgaben haben diese Behörden? Sind sie reine Bußgeldstellen und könnte jegliche Kommunikation mit ihnen teuer werden? 

Im Folgenden werden die möglichen Kommunikationsgründe und -wege erläutert und mit nützlichen Praxistipps versehen. 

 

Aufgaben der Landesbehörden

Ja, die Durchsetzung und Überwachung der Datenschutzgesetze und mithin auch das Ausstellen von Bußgeldern gehört zu den Aufgabenbereichen dieser Behörden. Allerdings bieten sie ebenso Hilfestellung bei der Wahrnehmung von Betroffenenrechten, stellen Portale zur Meldung von Datenpannen und externen Datenschutzbeauftragten zur Verfügung und unterstützen bei Datenschutzfolgeabschätzungen (DSFA) für Datenverarbeitungen mit einem hohen Risiko für Betroffene. Zusätzlich treffen sich die Datenschutzaufsichtsbehörden des Bundes und der Länder zu der sogenannten Datenschutzkonferenz (DSK), die datenschutzrechtliche Entschließungen und Beschlüsse, Orientierungshilfen und weitere Informationen zu der Thematik Datenschutz erarbeitet und veröffentlicht. So verfasste die DSK beispielsweise im Mai 2022 eine Entschließung zur Forderung eines eigenständigen Beschäftigtendatenschutzgesetzes und beschloss im März 2022 die Pflicht zur Bereitstellung eines Gastkontos bei einer Bestellung im Online-Handel. 

Weitere Informationen zu dieser Gastkonto-Pflicht finden Sie auch in dem Blog-Beitrag „Gastbestellung: Pflicht oder nicht?“. 

Neben diesen in Art. 57 DSGVO beschriebenen Aufgaben sind die Befugnisse der Aufsichtsbehörden in Art. 58 DSGVO normiert, welcher mögliche Gründe für die Kontaktaufnahme durch eine Behörde liefern kann. Sie teilen sich wie folgt auf, hier beschränkt auf die Kommunikationswege zu Datenverarbeitenden:

Absatz 1: Die Untersuchungsbefugnisse

  • Auskunftsersuchen ausstellen
  • Datenschutzüberprüfungen durchführen
  • Überprüfung von Zertifizierungen
  • Verantwortliche auf einen Verstoß gegen die DSGVO hinweisen
  • Zugang zu allen notwendigen personenbezogenen Daten und Informationen erhalten
  • Möglicherweise Zugang zu Räumlichkeiten und Datenverarbeitungsanlagen des Verantwortlichen oder des Auftragsverarbeiters

Absatz 2: Die Abhilfebefugnisse

  • Verantwortliche oder Auftragsverarbeiter vor einem möglichen DSGVO-Verstoß warnen bzw. nach einem solchen sie verwarnen und anweisen, Datenverarbeitungen DSGVO-konform zu gestalten
  • Verantwortliche, Auftragsverarbeiter und unberechtigte Empfänger anweisen, Betroffenenrechte wahrzunehmen und im Falle einer Schutzverletzung den Verantwortlichen anweisen, Betroffene zu benachrichtigen
  • Verarbeitungen beschränken oder verbieten
  • Eine Geldbuße verhängen
  • Drittlandtransfers von personenbezogenen Daten untersagen 

Absatz 3: Genehmigungs- und Beratungsbefugnisse

  • Beratung zu einer DSFA mit hohem Risiko für Betroffene
  • Genehmigung bestimmter Verarbeitungen, die im öffentlichen Interesse liegen

 

Wie reagiere ich auf eine Anfrage einer Aufsichtsbehörde?

Das hängt natürlich stark von der Art der Anfrage ab. Gehen wir von dem schlechtesten Fall aus: Die Behörde vermutet einen Verstoß gegen ein Datenschutzgesetz oder erhält anderweitig Kenntnis eines solchen und leitet ein Bußgeldverfahren bzw. dessen vorgezogen eine allgemeine Untersuchung ein. Hierbei wird die Behörde erstmal um Ihre Mitwirkung bitten, indem sie eine Auskunft oder Stellungnahme zu dem möglichen Verstoß verlangt. Dies erfolgt zumeist durch die Versendung eines Fragenkatalogs. Zu dieser Zusammenarbeit ist der Verantwortliche bzw. der Auftragsverarbeiter gem. Art. 31 DSGVO auch gesetzlich verpflichtet. 

Aber muss ich sofort alle Fragen beantworten und der Behörde zurücksenden? 

Nein, denn der Auskunftspflichtige, also der Verantwortliche der Datenverarbeitung, kann die Beantwortung von Fragen, die sich oder einen Angehörigen belasten, verweigern. Selbst wenn der Verantwortliche eine Meldung oder Benachrichtigung über einen Datenschutzverstoß abgibt, sind diese Angaben in einem späteren Verfahren der Behörde ohne die Zustimmung des Verantwortlichen nicht verwertbar. Dennoch kann sich eine Kooperation mit der Aufsichtsbehörde durchaus lohnen. Dies hat der Gesetzgeber explizit im Art. 83 Abs. 2 lit. f DSGVO normiert. Die Behörde muss bei der Entscheidung über das Festsetzen eines Bußgeldes bzw. dessen Höhe mit einbeziehen, in welchem Umfang der Verantwortliche mit der Aufsichtsbehörde zusammengearbeitet hat. Unter anderem wegen solch kooperativem Verhalten wurde ein Bußgeld gegen den Telekommunikationsdienstleister 1&1 von 9,55 Millionen Euro auf 900.000 Euro abgesenkt. Solche Bußgelder sind allerdings eher eine Seltenheit. Der Großteil behördlicher Anfragen, wie sie oben genannt werden, ziehen keine Bußgelder nach sich, sondern dienen eher dem Informationsaustausch und der Mitteilung.

Sollte eine Anfrage oder ein Bescheid einer Aufsichtsbehörde eingehen, ist es immer ratsam, den Datenschutzbeauftragten einzubeziehen und mögliche Folgeschritte zu besprechen.

 

Wie gehe ich proaktiv auf die Behörde zu?

Etwas, das viele Unternehmen betreffen wird, ist die Bestellung eines Datenschutzbeauftragten. Die Kontaktdaten des Bestellten müssen der örtlich einschlägigen Aufsichtsbehörde mitgeteilt werden, also grundsätzlich jener Landesbehörde am Hauptsitz des Online-Shops. Hierfür gibt es mittlerweile Online-Meldeportale, die von jeder der 16 Landesbehörden angeboten werden. Auch online-Beschwerden über Apps sind teilweise schon möglich.

Wussten Sie schon? Innerhalb Ihres Legal Ultimate Produkts können Sie die Trusted Shops GmbH als Ihren externen Datenschutzbeauftragten bestellen!

Hoffentlich seltener wird es der Fall sein, dass Ihr Unternehmen eine Datenpanne melden muss - hören Sie dazu auch in unseren Podcast zur Meldepflicht rein. Kommt es zu einem Verstoß gegen datenschutzrechtliche Vorschriften und es wird ein nicht nur geringes Risiko für die Rechte und Freiheiten der Betroffenen erwartet, muss binnen 72 Stunden eine Meldung an die zuständige Aufsichtsbehörde erfolgen. Auch hierzu bieten die Länder eigene Meldeplattformen an. Aufgrund der Kurzfristigkeit und der Brisanz der Meldung sollten Sie unbedingt Ihren Datenschutzbeauftragten einbeziehen und schon im Vorhinein feste Prozesse dazu entwickelt haben – beispielsweise anhand der in Ihrem Legal Account hinterlegten Muster. 

Neuer Call-to-Action

Haben Sie bereits eine Dokumentation zu einer Datenschutzverletzung angelegt, können Sie die dort festgehaltenen Informationen in das jeweilige Meldeportal der Aufsichtsbehörde übernehmen.

Es ist auch möglich, den Aufsichtsbehörden eine allgemeine Anfrage zu datenschutzrechtlichen Themen zukommen zu lassen. Nicht alle Verarbeiter verfügen über einen Datenschutz-Ansprechpartner, um aufkommende Unklarheiten zu beseitigen. Die Landesbehörden bieten dazu unterschiedliche Kontaktmöglichkeiten auf ihrer Webseite an, bspw. die Landesbeauftragte für Datenschutz aus NRW oder das Bayerische Landesamt für Datenschutzaufsicht. Der Nachteil einer solchen Anfrage gegenüber der Klärung mit einem Datenschutzexperten besteht darin, dass solche Anfragen durch ihre Vielzahl in der Regel einer erheblichen Bearbeitungszeit bedürfen. Nicht selten warten Hilfesuchende mehrere Wochen auf eine Antwort.

 

Unser Tipp

Die Gründe für eine Kommunikation mit einer Aufsichtsbehörde können vielfältig sein. Nicht immer, vielmehr eher selten, droht die Zahlung eines Bußgeldes. Durch eine wirkungsvolle Kooperation mit den Behörden lässt sich die Höhe möglicher Bußgelder stark reduzieren. Bereiten Sie sich auf mögliche Szenarien vor und beziehen sie Ihren Datenschutzbeauftragten mit ein, um Komplikationen zu vermeiden und Folgeschritte zwischen Kooperation und Auskunftsverweigerung zu planen.

 

Über den Autor


Fabian Pohl

Fabian Pohl absolvierte das Studium Wirtschaftsrecht an der Universität Siegen. Nachdem er erste Erfahrungen in den Gebieten des Vertrags-, Unternehmens- und Datenschutzrecht in einer Digital-Agentur sammeln konnte, schloss er sich 2022 Trusted Shops an. Dort betreut er als Legal Consultant mit dem Schwerpunkt Datenschutzrecht die Trusted Shops Legal Produkte. 

08.09.22

Weitere relevante Artikel

7 datenschutzrechtliche Herausforderungen beim Einsatz von Künstlicher Intelligenz (KI)

Der Wechsel von Verantwortlichen im Datenschutz

Ist der Google Consent Mode datenschutzkonform?

Weitere interessante Blog-Artikel

Datenschutz,

7 datenschutzrechtliche Herausforderungen beim Einsatz von...

Erhalten Sie Tipps zu einer rechtskonformen Nutzung und datenschutzrechtlichen Herausforderungen im Zusammenhang mit dem Einsatz von KI.

17.05.24
Online-Handel, Cross-Border Handel,

Zollgebühren im Online-Shop: Was müssen Sie beachten?

Ob und in welcher Form Sie Zölle im Cross-Border-Bereich beachten und wie Sie diese in Ihrem Online-Shop auszeichnen müssen, erfahren Sie in unserem...

13.05.24
Datenschutz,

Der Wechsel von Verantwortlichen im Datenschutz

Nicht immer bleibt der oder die Verantwortliche während einer Datenverarbeitung gleich. Wer ist bei einem Wechsel verantwortlich? Wir verraten es Ihnen.

02.05.24

© 2024 Trusted Shops AG  |  Impressum  |  Datenschutz  |  Cookies

DE
BE CZ ES FR IT NL AT PL CH PT RO UK COM