Seit Einführung der Datenschutz-Grundverordnung (DSGVO) ist die Verhängung datenschutzrechtlicher Bußgelder ein wiederkehrendes Thema in den Medien. Aber nicht bei jedem Tätigwerden der Datenschutzbehörden droht der Erlass eines Bußgeldbescheids. Bei datenschutzrechtlichen Verfahren ist es wichtig, zwischen den präventiven und repressiven behördlichen Befugnissen und den diesbezüglichen Verfahren zu differenzieren: dem Verwaltungsverfahren einerseits und dem Bußgeldverfahren andererseits.
Das Verwaltungsverfahren
Es gibt verschiedene Gründe, warum eine Datenschutzbehörde im Rahmen der ihr zustehenden Untersuchungsbefugnisse (vgl. Art. 58 Abs. 1 DSGVO) ein Verwaltungsverfahren eröffnet:
- Beschwerde eines Betroffenen: Der wohl häufigste Grund ist die Beschwerde eines Betroffenen, bei der die Behörde tätig werden muss (Beispiel: Beschwerde über den Einsatz von Videoüberwachung in einem Ladengeschäft).
- Eigenes (oft: politisch bedingtes) Informationsinteresse: Ohne einen konkreten Anlass kann die Datenschutzbehörde Informationen auch im Rahmen ihrer Aufgabe verlangen, die Anwendung der DSGVO zu überwachen. Dies geschieht häufig in Form eines Fragebogens, der eine spezifische Datenverarbeitung bei ausgewählten Unternehmen abfragt (aktuelles Beispiel: gemeinsam abgestimmte Fragebögen der Datenschutzbehörden zu internationalen Datentransfers, bspw. Tracking, Web- oder Mailhoster, siehe hier).
Praxistipp: Datenschutzcompliance
Die beste Vorbereitung auf etwaige Auskunftsersuchen der Datenschutzbehörden ist die fortlaufende Sicherstellung interner DSGVO-Compliance. Häufig wird im Rahmen einer behördlichen Informationsanfrage die Vorlage interner Datenschutzdokumente, wie etwa das Verarbeitungsverzeichnis oder Verträge zur Auftragsverarbeitung, verlangt.
Kooperation und Transparenz vs. Selbstbelastung?
Die Datenschutzbehörden führen obige Informationsabfragen sowohl förmlich (mit Rechtsbehelfsbelehrung in Form eines Verwaltungsaktes, vgl. Art. 58 Abs. 1 lit. a DSGVO) als auch nichtförmlich (als Auskunftsersuchen, dem bei unterbleibender Antwort das förmliche Informationsersuchen folgt) durch. Sofern das angeschriebene Unternehmen auf ein förmliches Informationsersuchen der Behörde nicht reagiert, kann die Behörde Zwangsmaßnahmen anwenden und ein Zwangsgeld verhängen.
Es ist grundsätzlich zu empfehlen, mit der Behörde zu kooperieren. Andernfalls droht das Risiko, dass die Behörde sich die Informationen mit Hilfe der Polizei im Rahmen einer Durchsuchung beim Mandanten selbst verschafft.
Praxistipp: Akteneinsicht nach § 29 VwVfG
Vor einer Einlassung gegenüber der Behörde sollte der Anwalt Einsicht in die Verfahrensakte beantragen (vgl. § 29 VwVfG). Bereits in der verwaltungsrechtlichen Verfahrensakte können sich interne Vermerke der Behörde befinden, die für das Verständnis des Verfahrenshintergrunds sowie für die Einschätzung der Sach- und Rechtslage hilfreich sind. Ein umfassenderes Recht zur Akteneinsicht kann der weiter unten noch ausführlicher besprochene § 49 OWiG bieten.
Zu beachten ist, dass alle erteilten Informationen grundsätzlich auch gegen den jeweiligen Mandanten verwertet werden dürfen. Daher sollte der Anwalt zwar transparent, aber stets nur auf konkrete Fragen der Behörde antworten. Weitergehende Aussagen, die nicht den vorgeworfenen Datenschutzverstoß betreffen, sind zu vermeiden.
Praxishinweis:
Jeglicher Vortrag kann von der Behörde in einem (späteren) Bußgeldverfahren verwendet werden. Der vorgeworfene Datenschutzverstoß inklusive sämtlicher durch das Unternehmen getroffenen Maßnahmen ist daher vor einer Stellungnahme intern vollständig aufzuklären.
Eine Ausnahme gilt nach § 43 Abs. 4 BDSG für Vortrag im Zusammenhang mit der Meldung eines Datenschutzvorfalls nach Art. 33 DSGVO. Der Umfang dieses Beweisverwertungsverbots ist umstritten. Der Vortrag einer Datenschutzmeldung nach Art. 33 DSGVO sollte daher stets sorgfältig ausgewählt und vorbereitet werden. Die Balance zwischen einem ausreichenden Vortrag, der die Behörde zu einer Einstellung des Verfahrens veranlasst, und solchem Vortrag, der gegebenenfalls zu der Einleitung eines Bußgeldverfahrens führt, ist im Einzelfall nicht immer leicht.
Beendigung des Verfahrens
Nach Aufklärung des vorgeworfenen Datenschutzverstoßes oder der Bewertung der abgefragten Informationen beendet die Behörde das Verfahren in der Regel durch eine Abhilfemaßnahme. Dies kann etwa in Form einer Verwarnung, einer Anweisung oder auch eines Verbots geschehen (vgl. Art. 58 Abs. 2 DSGVO). Hiergegen kann der Verwaltungsrechtsweg beschritten werden mit der Besonderheit, dass ein Vorverfahren nicht statthaft ist (vgl. § 20 Abs. 6 BDSG, § 68 Abs. 1 Satz 2 Hs. 1 VwGO).
Das Bußgeldverfahren
Grundsätze
Zusätzlich zu oder an Stelle der obengenannten Abhilfebefugnisse kann die Datenschutzbehörde ein Bußgeld verhängen. Dieses kann empfindlich ausfallen, da die DSGVO – abhängig vom jeweiligen Datenschutzverstoß – Bußgelder in Höhe von bis zu 4% des gesamten weltweiten erzielten Jahresumsatzes des Unternehmens vorsieht (vgl. Art. 58 Abs. 2 lit. i in Verbindung mit Art. 83 Abs. 5 DSGVO). Der Verhängung eines Bußgelds ist ein förmliches Bußgeldverfahren vorgeschaltet, auf das die Vorschriften des Gesetzes gegen Ordnungswidrigkeiten und der Strafprozessordnung Anwendung finden (vgl. §§ 20 Abs. 1 Satz 2, 41 Abs. 2 Satz 1 BDSG, § 46 Abs. 1 OwiG). Das Bußgeldverfahren beginnt stets mit einem Anhörungsschreiben, um dem Beschuldigten rechtliches Gehör zu gewähren.
Praxistipp: Akteneinsicht nach § 49 OWiG
Bei Erhalt eines Anhörungsschreibens sollte der Anwalt stets Akteneinsicht für seinen Mandanten beantragen. Diese richtet sich nach § 49 OWiG (unter Beachtung der §§ 147, 406e und 475 StPO) und ist umfassender als das oben bereits erwähnte verwaltungsrechtliche Akteneinsichtsrecht. Die Behörde ist verpflichtet, Einsicht in die vollständige Ermittlungsakte zu gewähren. Hierzu zählt beispielsweise auch die Beschwerde eines Dritten, wenn die Behörde aufgrund dieser überhaupt erst tätig geworden ist.
Verteidigungsstrategien
Die Verteidigung des Mandanten in einem Bußgeldverfahren hängt von dem konkret vorgeworfenen Verstoß ab. Von einer Auskunftsverweigerung über eine Verständigung mit der Behörde bis hin zu einer vollumfassenden Einräumung des vorgeworfenen Datenschutzverstoßes sind die Strategien vielfältig. Neben der rechtlichen Beratung spielt die Öffentlichkeitsarbeit eine mindestens ebenso große Rolle. Die negative Berichterstattung bei einem verhängten Bußgeldbescheid kann nämlich zu erheblichen Imageschäden, gerade im B2C-Bereich, führen.
Praxistipp: Settlement-Verfahren
Für einen zügigen Abschluss ohne große Öffentlichkeitsbeteiligung kann es sich anbieten, das Bußgeldverfahren im Einvernehmen mit der Behörde im Rahmen einer Verständigung abzuschließen (sogenanntes Settlement-Verfahren). Anders als im gerichtlichen Straf- und OWiG-Verfahren (dort: § 257c StGB) existiert hierfür keine gesetzliche Regelung. In der (Datenschutz-)Praxis erfolgt eine Orientierung an den Leitlinien des Settlement-Verfahrens für Wertpapiersachen der BaFin. Nach der Verständigung auf eine Maximalgeldbuße mit der Datenschutzbehörde gibt der Mandant ein Geständnis in Bezug auf den vorgeworfenen Datenschutzverstoß ab, und die Behörde erlässt einen verkürzten Bußgeldbescheid (vgl. § 66 OWiG).
Rechtsweg
Wenn das Bußgeldverfahren mit dem Erlass eines Bußgeldbescheids endet, steht dem Mandanten dagegen der Rechtsweg offen. Als verfahrensrechtliche Besonderheit ist zu berücksichtigen, dass das Landgericht bei einer Geldbuße vonmehr als 100.000 Euro entscheidet (vgl. § 41 Abs. 1 Satz 3 BDSG als Abweichung von der grundsätzlich amtsgerichtlichen Zuständigkeit nach § 68 OWiG).
