Datenschutzrecht: Anordnung der Aufsichtsbehörde und Auskunftspflichten

Im Datenschutzrecht wird die Kontrolle über Datenverarbeitungen durch die jeweils zuständigen Aufsichtsbehörden ausgeübt. Unternehmen, die datenschutzrechtliche relevante Vorgänge durchführen unterliegen insoweit der Kontrolle der Aufsichtsbehörde und können hier mit Anordnungen oder Anfragen konfrontiert sein. Wenn ein solches Schreiben in einem Unternehmen eingeht, in dem der Datenschutz bisher keine grosse Rolle gespielt hat, herrscht dann erst einmal Überraschung – gleichwohl muss man solche Schreiben durchaus ernst nehmen.

Die Befugnisse der Aufsichtsbehörde, die als Verwaltungsbehörde handelt, sind in §38 Bundesdatenschutzgesetz geregelt. Wichtig sind hier insbesondere die Absätze 3 und 5, in denen die wesentlichen nach außen gerichteten Tätigkeiten der Aufsichtsbehörde geregelt sind.

Auskunftspflichten der verantwortlichen Stellen – §38 Abs.3 BDSG

Im §38 Abs.3 BDSG ist eine umfassende Auskunftspflicht normiert

Die der Kontrolle unterliegenden Stellen sowie die mit deren Leitung beauftragten Personen haben der Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte unverzüglich zu erteilen

Es obliegt damit der Aufsichtsbehörde, selber festzulegen welche Informationen zu welchem Kontrollbedürfnis angefragt werden. Zwar gibt es Ausnahmen im Bereich berufsrechtlicher Geheimhaltungspflichten und auch dort, wo man sich selber belasten würde (die strafprozessuale Selbstbelasuntgsfreiheit greift auch an dieser Stelle), gleichwohl muss der Behörde zumindest die Prüfung der datenschutzrechtlich relevanten Vorgänge insgesamt möglich sein. Vor diesem Hintergrund ist auch ein Betretungsrecht im Asbatz 4 geregelt:

Die von der Aufsichtsbehörde mit der Kontrolle beauftragten Personen sind befugt, soweit es zur Erfüllung der der Aufsichtsbehörde übertragenen Aufgaben erforderlich ist, während der Betriebs- und Geschäftszeiten Grundstücke und Geschäftsräume der Stelle zu betreten und dort Prüfungen und Besichtigungen vorzunehmen. Sie können geschäftliche Unterlagen, insbesondere (…) die gespeicherten personenbezogenen Daten und die Datenverarbeitungsprogramme, einsehen (…) Der Auskunftspflichtige hat diese Maßnahmen zu dulden.

Es existiert damit insgesamt ein recht brauchbares Regularium für die Aufsichtsbehörde, sich erst einmal die Informationen über dortige Vorgänge zu beschaffen. Die Aufsichtsbehörde kann dabei mit den üblichen Mitteln des Verwaltungsrechts auf fehlende Auskünfte oder Mitwirkung reagieren, vor allem mit einem Zwangsgeld. Losgelöst davon handelt es sich bei einer nur teilweise oder gar nicht erteilten Auskunft um eine Ordnungswidrigkeit, die mit einer Geldbuße bis zu fünfzigtausend Euro bewehrt ist.

Anordnungsbefugnisse der Aufsichtsbehörden – §38 Abs.5 BDSG

Die Einholung der Auskunft durch die Aufsichtsbehörde ist naturgemäß nur die notwendige Vorstufe zur datenschutzrechtlichen Bewertung. Wenn die Bewertung aus Sicht der Aufsichtsbehörde Probleme aufgedeckt hat, kann diese Anordnung treffen. Das sind mit §38 Abs.5 BDSG dann folgende Möglichkeiten:

• Beseitigungsanordnung: Es können Maßnahmen zur Beseitigung festgestellter Verstöße angeordnet werden, die Aufsichtsbehörde ist hier im Rahmen der verwaltungsrechtlichen Grenzen frei in der Auswahl geeigneter Maßnahmen;
• Untersagungsanordnung: Unter Umständen steht im Raum die Datenverwendung ganz zu untersagen und die Löschung der hierdurch erhobenen Daten zu verlangen;
• Abberufung des betrieblichen Datenschutzbeauftragten: Diese steht im Raum, wenn die erforderliche Sachkunde und/oder Fachkunde nicht gegeben sind und sich dies im Rahmen der Kontrolle ergeben hat;

Wenn einer Anordnung der Aufsichtsbehörde nicht Folge geleistet wird, steht neben einem Zwangsgeld auch wiederum ein Bussgeld im Raum.

Fazit zur datenschutzrechtlichen Aufsichtsbehörde

Die datenschutzrechtliche Aufsichtsbehörde tritt jedenfalls bisher nicht gerade als Massenphänomen in Erscheinung – wenn sie sich meldet ist aber nicht zu unterschätzen, welche Bedeutung eine Anfrage hier haben kann. Insbesondere unter Berücksichtigung der Tatsache, dass Betroffene hier jederzeit (kostenfrei) Eingaben vornehmen können zeigt sich, dass solche Anfragen keineswegs abwegig sind. Ideal ist es ohnehin, auf eine solche Anfrage vorbereitet zu sein und kurzerhand auf die vorhandenen Informationen verweisen zu können, anstelle relativ hektisch die Anfrage im Fall ihres Eintreffens bearbeiten zu müssen und sich dann erstmals mit dem Thema Datenschutz zu beschäftigen.

• Über
• Letzte Artikel

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht. Beachten Sie unsere Tätigkeit im Steuerstrafrecht, digitaler gewerblicher Rechtsschutz, IT-Sicherheitsrecht sowie Softwarerecht.

Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)

• Meinungsfreiheit und Kritik an der Bundesregierung - 18. April 2024
• UniVaR – Ein neuer Ansatz zur Wertedarstellung in großen Sprachmodellen - 18. April 2024
• Die versteckten Kosten des Klimawandels: Eine ökonomische Verpflichtung - 18. April 2024