was-tun-anhoerung-datenschutzbehoerde-dsgvo

Was tun, wenn eine Anhörung von der Datenschutzbehörde kommt?

Wenn Sie als Online-Händler ein Schreiben von einer Datenschutzaufsichtsbehörde erhalten haben, sollten Sie richtig reagieren. Sonst drohen teure Weiterungen. Im folgenden Beitrag erläutern wir anhand eines typischen Falls die Möglichkeiten für das Vorgehen und geben konkrete Empfehlungen:

Ein typischer Fall

Der Kunde hat in einem Online-Shop eine Ware erworben und erhält wenig später Werbung per E-Mail für eine Ware aus einem gänzlich anderen Produktsortiment. Wenn der Kunde hierzu keine Einwilligung erteilt hat, dann ist die Werbe-E-Mail unzulässig und stellt gleichzeitig auch einen Datenschutzverstoß dar. Früher wurde eine solche Werbung per E-Mail oft einfach ignoriert. Inzwischen kommt es jedoch recht häufig vor, dass der Kunde sich bei dem Versender der E-Mail meldet, über die unzulässige Nutzung seiner E-Mail-Adresse beschwert und in diesem Zusammenhang gleich mal zu einer Auskunft über die Verarbeitung seiner personenbezogenen Daten auffordert.

Mehrere typische Fehlerquellen

Bei Mitteilungen, in denen es um die Verarbeitung personenbezogener Daten in Ihrem Unternehmen geht, müssen Sie und Ihre Mitarbeiter hellhörig werden. Kann die Mitteilung als ein datenschutzrechtliches Auskunftsersuchen verstanden werden, muss hierauf entsprechend reagiert werden. Ganz wichtig: Für die Erteilung der datenschutzrechtlichen Auskunft gilt grundsätzlich eine Frist von einem Monat.

In der Datenschutz-Grundverordnung (DSGVO) ist vorgegeben, welche Angaben im Rahmen einer datenschutzrechtlichen Auskunft mitzuteilen sind. Informationen zur Erteilung einer datenschutzrechtlichen Auskunft haben wir in einem gesonderten Beitrag für Sie zusammengestellt:

Ein ebenso typischer wie vermeidbarer Fehler: Ein datenschutzrechtliches Auskunftsersuchen wird nicht als solches erkannt und als Antwort auf die entsprechende Anfrage erfolgt lediglich ein lapidarer Verweis auf die Informationen in der Datenschutzerklärung.

  • Problem 1: Der Kunde ist nach wie vor unzufrieden.
  • Problem 2: In der unzureichenden Auskunftserteilung liegt ein weiterer Datenschutzverstoß.

Praxistipp: Sensibilisierung Sie Ihre Mitarbeiter für den richtigen Umgang mit datenschutzrechtlichen Anfragen und legen Sie hierfür eine klare Zuständigkeit fest. Auf diese Weise können Sie recht gut sicherstellen, dass datenschutzrechtliche Anfragen und Auskunftsersuchen richtig beantwortet werden.

Zurück zu unserem Fall mit der Werbe-E-Mail: Wenn Sie in der Antwort an den Kunden den richtigen Ton treffen und die erforderliche datenschutzrechtliche Auskunft erteilen, besteht durchaus die Chance, dass der Kunde die Angelegenheit damit auf sich beruhen lässt. Anderenfalls besteht die Gefahr, dass der Kunde sich mit einer Beschwerde an die Datenschutz-Aufsichtsbehörde wendet.

Ist der Kunde wie in dem dargestellten Fall aufgrund einer unzulässigen Nutzung seiner E-Mail-Adresse ohnehin schon aufgebracht, lautet das Gebot der Stunde: Deeskalation. Prüfen Sie den Sachverhalt und nehmen Sie das Anliegen des Kunden ernst. Antworten Sie dem Kunden in jedem Fall in einem höflichen Ton. Dies gilt insbesondere für den Fall, dass das Anliegen des Kunden berechtigt ist. Wenn der Kunde den Eindruck gewinnt, dass er und sein Anliegen nicht ernst genommen werden, sind Weiterungen nach unserer Erfahrung vorprogrammiert.

Typische Reaktionen von Betroffenen

Kommen wir wieder auf unseren Fall mit der Werbe-E-Mail zurück: Wenn Sie Glück haben, droht der Kunde die Beschwerde bei einer Datenschutz-Aufsichtsbehörde zunächst nur an, um der Aufforderung hinsichtlich der Klärung des Sachverhaltes oder hinsichtlich der Erteilung der datenschutzrechtlichen Auskunft Nachdruck zu verleihen. Spätestens jetzt sollten Sie die Angelegenheit ernst nehmen.

Natürlich kann sich der Kunde auch direkt an die Datenschutz-Aufsichtsbehörde wenden. Eine Beschwerde bei der Datenschutz-Aufsichtsbehörde bedeutet für betroffene Personen nämlich keinen großen Aufwand und kostet auch kein Geld. Kein Wunder, dass immer mehr Betroffene von dieser Möglichkeit Gebrauch machen.

Mitunter kommt es auch vor, dass der Kunde sich nicht nur mit einer Beschwerde an die Datenschutz-Aufsichtsbehörde wendet, sondern daneben auch noch eine Abmahnung ausspricht und Ansprüche geltend macht. In diesen Fällen ist nach unserer Erfahrung besondere Vorsicht geboten.

Post von der Datenschutzaufsichtsbehörde: was tun?

Nachdem die Datenschutz-Aufsichtsbehörde aufgrund einer Beschwerde ein Verfahren eingeleitet hat, gibt sie zunächst Gelegenheit zu einer Stellungnahme (Anhörung wegen eines mutmaßlichen Datenschutzverstoßes). Das Schreiben kann folgende Inhalte haben:

  • Sachverhalt, der Grund der Beschwerde ist,
  • Fragen zum Sachverhalt,
  • Fragen zur Verarbeitung personenbezogener Daten der betroffenen Person,
  • Bitte um Stellungnahme mit Frist,
  • Hinweis auf die datenschutzrechtlichen Verpflichtungen, insbesondere die Verpflichtung zur Zusammenarbeit mit den Datenschutzaufsichtsbehörden,
  • Verweis auf die Möglichkeit des Erlasses eines Auskunftsheranziehungsbescheides,
  • Hinweis auf das Auskunftsverweigerungsrecht in bestimmten Fällen (wenn die Beantwortung die Gefahr strafrechtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten bedeuten würde)

Aufgrund der laufenden Frist sollten Sie spätestens jetzt die folgenden Maßnahmen veranlassen:

  • Frist notieren!
  • Sofern Sie in Ihrem Unternehmen einen internen oder externen Datenschutzbeauftragten haben: den Datenschutzbeauftragten hinzuziehen,
  • Sachverhalt klären und mit der Darstellung in dem Schreiben der Datenschutz-Aufsichtsbehörde abgleichen,
  • erforderliche Informationen und Unterlagen vorbereiten

Ob die Hinzuziehung eines im Datenschutzrecht tätigen Rechtsanwaltes erforderlich ist, hängt davon ab, wieviel Erfahrung Sie bereits mit entsprechenden Verfahren haben. Sofern der fragliche Sachverhalt im Vorfeld noch nicht unter datenschutzrechtlichen Aspekten überprüft worden ist oder bei der streitgegenständlichen Gestaltung aus wirtschaftlichen Gründen ein „risikobasierter Ansatz“ gewählt worden ist, empfiehlt sich die Hinzuziehung eines Anwaltes nach unserer Erfahrung jedoch üblicherweise, um Fehler in der Kommunikation mit der Datenschutz-Aufsichtsbehörde zu vermeiden.

Bei den Datenschutz-Aufsichtsbehörden arbeiten Menschen, die ihre Fälle mit begrenzten Ressourcen bearbeiten müssen. Dies sollten Sie bei der Entscheidung über die Reaktion auf das Schreiben an die Aufsichtsbehörde berücksichtigen:

  • Ist der Fall eindeutig, kann es Sinn machen, zuvor versäumte Maßnahmen gegenüber dem Beschwerdeführer nachzuholen und sowohl hierzu als auch zu den weiteren veranlassten Maßnahmen zur Gewährleistung der zukünftigen Vermeidung entsprechender Datenschutzverstöße gegenüber der Aufsichtsbehörde Stellung zu nehmen.
  • Sind die maßgeblichen datenschutzrechtlichen Fragen dagegen nicht abschließend geklärt und soll eine Klärung dieser Fragen trotz der hiermit verbundenen Risiken erfolgen, kann es Sinn machen, die eigene Rechtsposition offensiv zu vertreten.
  • Sollen Weiterungen dagegen trotz noch nicht abschließend geklärter datenschutzrechtlicher Aspekte nach Möglichkeit vermieden werden, kann es Sinn machen, zur eigenen Rechtsposition Stellung zu nehmen und Änderungen an der bisherigen Gestaltung anzubieten.

Sofern Änderungen an den Gestaltungen und Rechtstexten erforderlich sind, wird hierfür Zeit benötigt. Dies sollten Sie wegen der laufenden Frist für die Stellungnahme gegenüber der Aufsichtsbehörde unbedingt mit einplanen, damit in der Stellungnahme gegebenenfalls auf bereits erfolgte Änderungen verwiesen werden kann.

Und auch für die Antwort gegenüber der Aufsichtsbehörde gilt: Die Antwort sollte in jedem Fall in einem höflichen Ton erfolgen. Dies gilt insbesondere für den Fall, dass die Beschwerde des Beschwerdeführers berechtigt ist. Wenn bei den Mitarbeitenden in der Aufsichtsbehörde der Eindruck entsteht, dass die Angelegenheit nicht ernst genommen wird, drohen Weiterungen. Bitte beachten Sie insoweit, dass die Position der Datenschutz-Aufsichtsbehörden inzwischen deutlich gestärkt worden ist und dass den Datenschützern dies auch durchaus bewusst ist. Letzten Endes arbeiten in den Datenschutz-Aufsichtsbehörden jedoch Menschen, die Fälle bearbeiten und abschließen müssen. In Fällen, in denen ein Datenschutzverstoßes unzweifelhaft vorliegt, empfiehlt sich nach meiner Erfahrung in aller Regel eine professionelle Kommunikation mit Fokus auf mögliche Lösungen.

Was wir für Sie tun können

Gern unterstützen wir Sie, wenn Sie als Online-Händler Post von einer Datenschutz-Aufsichtsbehörde erhalten haben.

Die „richtige“ Reaktion auf ein solches Schreiben hängt von verschiedenen Faktoren ab. Gern erörtern wir mit Ihnen die Rechtslage und die Möglichkeiten für das weitere Vorgehen. Selbstverständlich erhalten Sie von uns in diesem Zusammenhang auch konkrete Empfehlungen.

Ihre Ansprechpartner: Rechtsanwalt Andreas Kempcke

Anrufen Kontakt