„35 Mio. EUR Bußgeld für H&M“, „14,5 Mio. EUR Bußgeld für Deutsche Wohnen“, „5 Mrd. $ Strafe gegen Facebook“. Wenn in der allgemeinen Medienlandschaft über Datenschutzverstöße berichtet wird, wird häufig auf hohe Geldbußen abgehoben. Diese Fälle sind reichweitenwirksam und rücken die Landesaufsichtsbehörden für Datenschutz immer wieder in den Blickpunkt der Öffentlichkeit. Aber welche weiteren Auswirkungen hat diese Berichterstattung?
Medienwirksamkeit contra Sensibilität
Zugleich lässt sich damit einhergehend ein weiteres Phänomen in der täglichen Praxis feststellen. Während die „Großen“ an den sprichwörtlichen Pranger gestellt werden, schafft dies zugleich eine gewisse Sorglosigkeit bei kleineren Unternehmen und Mittelstand.
Spricht man Unternehmer darauf an, bekommt man häufig zu hören: „Bevor die mich kontrollieren, bin ich längst im Ruhestand.“, „Für die bin ich viel zu klein.“ oder „Wenn ich keinen Verstoß melde, kommen die auch nicht zu mir.“
Überholte Vorstellungen zum Kontrolleur
Diese Einschätzungen beruhen oftmals auf der Vorstellung, dass die Mitarbeiter der Aufsichtsbehörden durch die Lande reisen und physisch bei den Unternehmen Kontrollen durchführen. Sogenannte „anlasslose Vor-Ort-Kontrollen“ sind datenschutzrechtlich zwar möglich, aber oftmals kaum in die Praxis umzusetzen. Sind die Einschätzungen daher zutreffend? Definitiv NEIN!
Zwar ist es korrekt, dass die Wahrnehmung der Kontrollfunktion der Aufsichtsbehörden immer dann auf den Plan tritt, wenn ein Datenschutzverstoß vorliegt. Aber auch in den Fällen erfolgen seltener physische Kontrollen im Unternehmen.
Der Normalfall sieht eher so aus, dass die Aufsichtsbehörden das betreffende Unternehmen im Rahmen des eingeleiteten Verfahrens anschreiben und zur Stellungnahme auffordern. Diese Aufforderung wird häufig durch das Beibringen relevanter Datenschutzdokumentationen begleitet.
Dieser Weg wird auch beschritten, wenn sich ein Kunde/Mitarbeiter/Wettbewerber oder wer auch immer über ein Unternehmen bei den Landesaufsichtsbehörden beschwert. Auch in diesen Konstellationen ist die Landesaufsichtsbehörde verpflichtet, dem jeweiligen Sachverhalt nachzugehen. Nebenbei bemerkt: Beschwerden sind über Online-Formulare auf den Internetseiten der Aufsichtsbehörden sehr leicht abzusetzen.
Tipps aus der Praxis
Nun liegt also die Aufforderung zur Stellungnahme im Unternehmen vor. Und was nun? Diese Aufforderung ist mit einer Antwortfrist versehen, die möglichst eingehalten werden sollte. Es gilt also, diese Frist zu nutzen und die Antwort an die Behörde sorgfältig zu formulieren. Daher einige Tipps für die Abwicklung des Beschwerdeverfahrens:
- Wo Menschen Arbeiten, können Fehler passieren. Von daher: agieren mit offenem Visier – Nebelkerzen, Ausflüchte und Verschleierungstaktiken bringen nichts. Ist ein Fehler passiert, Abhilfemaßnahmen auf den Weg bringen.
- So schnell es geht, den eigenen Datenschutzbeauftragten oder -berater einbinden. In der Kommunikation mit den Fachleuten der Behörden sollten ebenfalls eigene Fachleute federführend sein.
- Den Kontakt zur Behörde suchen – oftmals lässt sich im Gespräch mehr klären, als auf 20 Seiten einer Stellungnahme.
- Angeforderte Unterlagen mitliefern – eine (hoffentlich) vorhandene Datenschutzdokumentation erleichtert der Behörde eine Einschätzung der betrieblichen Situation und zeigt einen achtsamen Umgang mit dem Thema Datenschutz.
Und zum Schluss einen kleinen Apell an die Vertreter der überholten Vorstellungen: hoffentlich können die Vorstellungen noch lange erhalten bleiben. Die tägliche Praxis spricht allerdings leider dagegen.