Es sollte vermieden werden… Aber wenn doch die Aufsichtsbehörden für Datenschutz Fragen an ein Unternehmen haben, muss klar sein, was und ob man antworten muss.
Es kann vorgekommen, dass man einer Aufsichtsbehörde eine Auskunft geben soll.
Sei es, dass eine Datenschutzverletzung gemeldet werden musste oder aber, dass Betroffene sich direkt mit eine Beschwerde an die Aufsichtsbehörden für Datenschutz gewendet haben.
Der darauffolgende Anhörungsbogen enthält in der Regel etliche Fragen.
Der Fall
Ein Online-Händler sendete Werbe-E-Mails im Rahmen von Marketingaktionen. Mehrere Betroffene beschwerten sich bei der Aufsichtsbehörde für Datenschutz.
Daraufhin stellte die Aufsichtsbehörde dem Online-Handel 5 Fragen, die man so aus dem Beschluss des OVG Schleswig extrahieren kann:
- Welche Dienstleister werden für die Verarbeitung eingesetzt?
- Sind die Betroffenen ausreichend mit den Informationspflichten nach Art. 14 Abs. 1 und Abs. 2 DSGVO informiert
- Gibt es technisch-organisatorische Maßnahmen (TOMs) nach Art. 24 und Art. 32 DSGVO
- Welche Personen sind betroffen und
- was für Daten werden verarbeitet/erhoben
Jede dieser Fragen wurden bei Verweigerung der Auskunft mit 200€ bepreist. Auf das Auskunftsverweigerungsrecht nach § 40 Abs. 4 S. 2 BDSG wurde durch die Aufsicht hingewiesen.
Der Online-Händler berief sich auf sein Auskunftsverweigerungsrecht. Die Aufsichtsbehörde verhängte ein Bußgeld von 1.000€ gegen das Online-Händler vorging.
Im ersten Urteil des Verwaltungsgerichts Schleswig (Schleswig-Holsteinisches VG, Beschluss vom 19.03.2021 – 8 B 7/21) wurde gegen den Händler entschieden. Daraufhin ging dieser in Berufung beim OVG Schleswig.
Verweigerung der Auskunft möglich
Das OVG Schleswig untersuchte das Auskunftsverweigerungsrecht und kam zum Schluss, dass die Beschwerde des Unternehmens teilweise begründet sei.
Die Antworten können unter bestimmten Voraussetzungen verweigert werden – z.B. bei einer Selbstbelastung bei einem Verfahren oder den Verdacht einer Straftat oder Ordnungswidrigkeit. Grundlage dafür ist § 40 BDSG Absatz 4 Satz 2. Allerdings muss dabei sehr genau abgewogen werden.
Aber…
Allerdings besteht kein Auskunftsverweigerungsrecht bei Informationen zu Datenverarbeitungsprozessen bei denen nicht ohne weiteres ein Datenschutzverstoß zu erkennen ist.
Das betrifft hier die Fragen 1, 4 und 5. Dazu muss das Unternehmen eine Auskunft geben.
Das heißt, wenn Fragen zu dem „Drumherum“ des eigentlichen Problems gestellt werden, ist abzuwägen.
Bei Fragen die die Einhaltung bußgeldbewehrter Vorgaben betreffen, ist allerdings ein Auskunftsverweigerungsrecht möglich. Das OVG führte weiter aus:
„Ein Eingriff in die Selbstbelastungsfreiheit eines Auskunftspflichtigen kann sowohl darin liegen, dass er durch einen Verwaltungsakt rechtsverbindlich zur Selbstbezichtigung aufgefordert wird, als auch in der Durchsetzung einer solchen Pflicht mittels Verwaltungszwang begründet sein.“
Lehren für die Praxis
Das OVG Schleswig umschifft allerdings in seinem Beschluss vom 28.05.2021 – 4 MB 14/21 die Frage, ob auf den verfassungsrechtlichen Grundsatz der Selbstbelastungsfreiheit sich auch juristische Personen berufen können. Dies ist zur Zeit nicht wirklich geklärt.
Auch geht es in dem Urteil nur um die Entscheidung eines einstweiligen Rechtsschutzes.
Es ist zu beachten, dass das Bundesverfassungsgericht die verfassungsrechtliche Selbstbelastungsfreiheit für juristische Personen bislang abgelehnt hat (BVerfG, Beschl. v. 26.02.1997 – 1 BVR 2172/96, NJW 1997, 1841).
Auf der anderen Seite, nehmen die Auskunftsersuchen durch die Aufsichtsbehörden für Datenschutz zu – gerade nach dem Urteil des EuGH (Schrems II) vom 16. Juli 2020 (C-311/18) im Bereich der Datenübermittlung in Drittstaaten.
Es ist deshalb anzuraten, nicht einfach auf ein Auskunftsersuchen der Aufsichtsbehörden für Datenschutz zu antworten. Sondern genau zu prüfen, ob und wie man darauf antworten soll.
Weiterführende Links
- Urteil des OVG Schleswig, Beschluss vom 28.05.2021 – 4 MB 14/21 – Link
- Zur verfassungsrechtlichen Selbstbelastungsfreiheit für juristische Personen.
BVerfG, Beschl. v. 26.02.1997 – 1 BVR 2172/96 – Link
Sie benötigen Hilfe beim Datenschutz in Ihrem Unternehmen? Wir beraten pragmatisch ohne Firelfanz und stellen den Datenschutzbeauftragten im Raum Frankfurt am Main, Offenbach am Main, Wiesbaden, Darmstadt, Mainz, Rhein-Main, Rhein-Main-Neckar, Hessen, Bayern, Rheinland-Pfalz, Baden-Württemberg, RheinMain oder in ganz Deutschland. Nehmen Sie einfach Kontakt mit uns auf. Hinweis Die Informationen auf unserer Webseite dienen ausschließlich zu Informationszwecken. Bei der Darbringung der Informationen achten wir darauf, dass diese genau und aktuell sind. Aber beachten Sie, die Inhalte stellen keine Datenschutzberatung da. Bei Datenschutzfragen ist jeweils der Einzelfall zu betrachten. Bitte haben Sie Verständnis, dass wir jegliche Haftung für Inhalte Dritter, die über unsere Website aufgerufen werden können, ablehnen. |