Wenn der Datenschützer erst mal klingelt

Seit Inkrafttreten der DSGVO sind datenschutzrechtliche Fragestellungen und Probleme weiter in den Fokus der Öffentlichkeit gerückt. Inzwischen haben die Datenschutzbehörden wegen diverser Verstöße medienwirksam teils hohe Bußgelder verhängt. Und es fehlt nicht an Ankündigungen, dies auch in Zukunft zu tun.

Dabei müssen deutsche Unternehmen auch damit rechnen, zum Beispiel für Vorfälle auf Facebook oder Google zur Rechenschaft gezogen zu werden. So hat das Bundesverwaltungsgericht im Rahmen der datenschutzrechtlichen Zulässigkeit von Unternehmensseiten auf Facebook gestattet, gegen die einzelnen ­Betreiber der Unternehmensseiten vorzugehen, da ein Vorgehen gegen Facebook weniger Erfolg versprechend sei. Auch die föderale Struktur der Bundesrepu­blik macht sich im Datenschutz ­bemerkbar: Die Behörden sind sich innerhalb Deutschlands in vielen Detailfragen nicht einig, sodass je nach Bundesland verschiedene Anforderungen zu erfüllen sind.

Wie die aktuelle Diskussion um den datenschutzkonformen Einsatz von Videokonferenzsystemen zeigt, beschränken sich die Handlungsempfehlungen der Datenschutzbehörden häufig darauf, mitzuteilen, was (angeblich) unzulässig ist, ohne einen rechtskonformen Weg aufzuzeigen. Für jedes Unternehmen heißt es daher, auf ein datenschutzrechtliches Aufsichtsverfahren vorbereitet zu sein.

Die Einleitung eines solchen Verfahrens kann zunächst auf eine Beschwerde von Betroffenen, Mitbewerbern, Mitarbeitern oder sonstigen Dritten zurückgehen. Die Datenschutzbehörden stellen sogar entsprechende Online-Formulare zur Verfügung. Zudem werden die Landesdatenschutzbehörden auch aus eigenem Antrieb tätig, um Datenschutzverstöße aufzuspüren und zu verfolgen. Im Netz lassen sich viele Datenschutzverstöße auch automatisiert feststellen. Schließlich können Anfragen des Unternehmens zu ­datenschutzrechtlichen Fragestellungen bei der zuständigen Datenschutzbehörde ein Aufsichtsverfahren auslösen, wenn der Eindruck entsteht, dass das anfragende Unternehmen sich nicht datenschutzkonform verhält.

In einer perfekten Welt ist ein Unternehmen in einem solchen Fall perfekt vorbereitet. Dies ist in der Praxis aber im Grunde ­unmöglich, da viele datenschutzrechtliche Vorgaben umstritten und rechtlich nicht abschließend geklärt sind.

Ein Verfahren der Datenschutzbehörden beginnt regelmäßig mit einer schriftlichen Anhörung, die fristgemäß beantwortet werden sollte. Häufig werden auch Fragebögen verschickt, um die DSGVO-Konformität der Datenverarbeitung zu prüfen. Spätestens jetzt sind große Sorgfalt und Vorsicht geboten. Die Datenschutzbehörden haben umfassende Auskunftsrechte und Befugnisse (Art. 58 DSGVO). Da die DGSVO zugleich umfangreiche Dokumentationspflichten vorsieht, müssen die Dokumentation und die abgebildeten Prozesse bei der Datenverarbeitung spätestens jetzt auf Vordermann gebracht und fehlende Unterlagen gegebenenfalls auch von Vertragspartnern und Dienstleistern eingeholt werden. Da die Landesdatenschutzbehörden auf ihren Websites umfangreiches Material veröffentlichen, lassen sich dort auch Rückschlüsse auf die Entscheidungspraxis und Tendenzen der für das jeweilige Unternehmen zuständigen Landesdatenschutzbehörde ablesen.