Neben der Beratung und Sensibilisierung ist die Überwachung und Durchsetzung des Datenschutzrechts die zentrale Aufgabe der Datenschutzaufsichtsbehörden. Zu diesem Zweck räumt die DSGVO den Behörden weitreichende Untersuchungs- und Abhilfebefugnisse ein. In diesem Beitrag erläutern wir, was die Datenschutzaufsichtsbehörden dürfen, und geben drei Tipps für den Umgang mit behördlichen Maßnahmen.
Weitreichende Untersuchungs- und Abhilfebefugnisse
Im Rahmen ihrer Untersuchungsbefugnisse können die Datenschutzaufsichtsbehörden beispielsweise anordnen, dass der für die Verarbeitung Verantwortliche, aber auch ein Auftragsverarbeiter alle erforderlichen Auskünfte erteilt und Zugang zu allen personenbezogenen Daten gewährt. Die Abhilfebefugnisse umfassen neben Verwarnungen auch die vorübergehende oder endgültige Einschränkung der Verarbeitung, einschließlich eines Verbots, oder die Anordnung der Aussetzung einer Übermittlung in Drittländer.
Drei Tipps zum Umgang mit behörd-
lichen Maßnahmen
Wenn eine Datenschutzaufsichtsbehörde Ihnen gegenüber tätig geworden ist, sind folgende Reaktionen ratsam:
- Ermittlung und Bewertung des Sachverhalts
Der erste Schritt sollte stets eine eigene Sachverhaltsaufklärung sein, um eventuelle Missverständnisse oder Fehlinterpretationen der Behörde erkennen und korrigieren zu können. Im Anschluss daran empfiehlt sich eine rechtliche Prüfung und Bewertung des Sachverhalts. Staatliche Eingriffe bedürfen stets einer gesetzlichen Erlaubnisnorm, deren Tatbestandsmerkmale erfüllt sein müssen. Gelegentlich greifen Datenschutzaufsichtsbehörden auch zu rechtswidrigen Maßnahmen wie z.B. Produktwarnungen. - Akteneinsicht und Kontaktaufnahme mit der Behörde
Insbesondere im Falle eines Beschwerdeverfahrens und einer Aufforderung zur Stellungnahme durch die Behörde empfiehlt es sich zudem, Akteneinsicht zu nehmen, um Kenntnis von den der Behörde vorliegenden Informationen zu erhalten. Unabhängig davon sollte bei Unklarheiten oder Rückfragen mit der Behörde Kontakt aufgenommen werden. - Entscheidung bezüglich der Verteidigungsstrategie
Schließlich sollte über die jeweilige Verteidigungsstrategie entschieden werden. Hier ist sowohl ein konfrontatives als auch ein kooperatives Vorgehen möglich. Grundsätzlich sollten betroffene Unternehmen jedoch nicht davor zurückschrecken, rechtlich gegen eine behördliche Entscheidung vorzugehen.
Fazit
In zahlreichen Auseinandersetzungen mit Datenschutzaufsichtsbehörden haben wir die Erfahrung gemacht, dass ein Vorgehen gegen behördliche Maßnahmen durchaus sinnvoll ist. Nicht zuletzt bestätigen auch Gerichte immer wieder, dass die Behörden teilweise falsche oder zu strenge Auffassungen vertreten. Ist die behördliche Maßnahme mutmaßlich rechtmäßig, zeigen unsere Erfahrungen, dass die Datenschutzaufsichtsbehörden ein kooperatives Verhalten durchaus schätzen und dadurch gegebenenfalls „Schlimmeres“ verhindert werden kann.
zurück