In der Praxis kommt ein Besuch von der Aufsichtsbehörde nur selten vor.
Im Regelfall wendet sich die Behörde mit einem Auskunftsverlangen an ein Unternehmen, um den Sachverhalt zu einer Beschwerde zu ermitteln.
Die betroffenen Unternehmen erteilen in der Mehrzahl den aufsichtsbehördlichen Verfahren mehr oder weniger bereitwillig die gewünschten Auskünfte.
Doch was passiert, wenn sich ein Unternehmen weigert und der Aufsichtsbehörde die erbetenen Auskünfte nicht zur Verfügung stellt?
Für die Beantwortung dieser Frage kommt es darauf an, in welchem Stadium sich das von der Aufsichtsbehörde geführte Verfahren befindet.
Im Ermittlungsverfahren
Für das Prüfungs- und Ermittlungsverfahren enthält Art. 58 DSGVO die maßgeblichen Befugnisse der Aufsichtsbehörde.
Art. 58 Abs. 1 lit. f DSGVO verleiht dabei jeder Aufsichtsbehörde das Recht, Zugang zu den Räumlichkeiten einschließlich aller Datenverarbeitungsanlagen und ‑geräte eines Unternehmens zu erhalten.
Der Zugang kann gegen den Willen eines Unternehmens erzwungen werden.
Zur Erzwingung des Zugangs erlässt die Aufsichtsbehörde einen Verwaltungsakt.
Folglich gibt dieser dem Unternehmen auf, seine Räumlichkeiten für eine Prüfung durch die Aufsichtsbehörde zugänglich zu machen und die Anwesenheit der Mitarbeiter:innen der Aufsichtsbehörde für die Dauer der Prüfung zu dulden.
Art. 58 Abs. 1 lit. f DSGVO gestattet einer Aufsichtsbehörde zunächst nur, die Räumlichkeiten eines Unternehmens zu betreten und zu besichtigen.
Dieses Zugangsrecht wird durch Art. 58 Abs. 1 lit. e DSGVO ergänzt.
Danach kann die Aufsichtsbehörde von einem Unternehmen den Zugang zu allen personenbezogenen Daten und Informationen, welche zur Erfüllung ihrer Aufgaben notwendig sind, erzwingen.
Kann die Aufsichtsbehörde „einfach so“ den Zugang zu den Geschäftsräumen eines Unternehmens einfordern?
Die Datenschutz-Grundverordnung knüpft die Ausübung des Rechts, Zugang zu den Räumlichkeiten eines Unternehmens zu erhalten und die IT-Systeme in Augenschein zu nehmen, nicht an Voraussetzungen, sondern verweist indessen auf das nationale Verfahrensrecht.
Ferner konkretisiert 40 Abs. 5 Satz 1 BDSG die Ausübung der Zugangsbefugnisse.
Demnach muss das Betreten der Geschäftsräume und der Zugang zu den IT-Systemen eines Unternehmens zur Aufgabenerfüllung der Aufsichtsbehörde erfolgen.
Zudem darf ein Zugang der Aufsichtsbehörde gemäß § 40 Abs. 5 Satz 3 in Verbindung mit § 16 Abs. 4 Satz 2 BDSG nur innerhalb der üblichen Betriebs- und Geschäftszeiten eines Unternehmens stattfinden.
Dem im Verfassungsrecht verankerten Grundsatz der Verhältnismäßigkeit entsprechend sind die Untersuchungsbefugnisse einer Aufsichtsbehörde somit weiter einzuschränken.
Das Zugangsrecht besteht also dann, wenn die Aufsichtsbehörde keine anderen Mittel hat, um die gewünschten Informationen zu erhalten.
Der zwangsweise Zugang einer Aufsichtsbehörde zu den Räumlichkeiten eines Unternehmens ist demnach die Ausnahme.
Unterdessen erreicht eine Aufsichtsbehörde in der Regel ihr Ziel, indem sie sich mit einem Auskunftsersuchen direkt an das Unternehmen wendet.
Im Bußgeldverfahren
Ermittelt eine Aufsichtsbehörde jedoch wegen einer Ordnungswidrigkeit, die gemäß Art. 83 DSGVO bußgeldbewehrt ist, gelten für das Verfahren die Vorgaben des Gesetzes über Ordnungswidrigkeiten (OWiG) und der Strafprozessordnung (StPO).
Hat die Aufsichtsbehörde bereits ein Bußgeldverfahren eingeleitet, richten sich ihre Befugnisse gemäß § 46 Abs. 1 OWiG grundsätzlich nach der StPO.
Im Bußgeldverfahren hat die Aufsichtsbehörde gemäß §§ 102 ff. StPO das Recht, die Räume der Betroffenen zu durchsuchen.
Anders als der (erzwungene) Zugang im Verwaltungsverfahren muss die Durchsuchung im Bußgeldverfahren wohingegen gemäß § 105 Abs. 1 StPO grundsätzlich richterlich angeordnet werden.
Ein Fall aus der Praxis
Der zwangsweise Zugang einer Aufsichtsbehörde zu den Geschäftsräumen eines Unternehmens ist jedoch nicht bloß Theorie.
Das durfte beispielsweise die AOK Baden-Württemberg kürzlich leidvoll erfahren.
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI Baden-Württemberg) hatte gegen die AOK Baden-Württemberg mit Bescheid vom 25.06.2020 eine Geldbuße in Höhe von 1,24 Millionen Euro verhängt (siehe Pressemitteilung des LfDI Baden-Württemberg und unseren Blogbeitrag).
Grund hierfür war ein Verstoß gegen Art. 32 DSGVO.
Unternehmen sind hier aufgefordert, geeignete technische und organisatorische Maßnahmen zum Schutz von personenbezogenen Daten zu treffen.
Bei der Bemessung der Geldbuße, so die Pressemitteilung, hat der LfDI Baden-Württemberg die „konstruktive Kooperation“ der AOK Baden-Württemberg besonders berücksichtigt.
Wie nunmehr bekannt geworden ist, durchsuchte der LfDI Baden-Württemberg die Geschäftsräume der AOK-Bezirksdirektion in Stuttgart-Böblingen und beschlagnahmte offenbar Unterlagen und Datenträger.
Der Beitrag zeigt, dass eine zögerliche oder unterbliebene Zusammenarbeit mit der Aufsichtsbehörde unangenehme Folgen haben kann.
Jedes Unternehmen ist bei einem Kontakt mit der Aufsichtsbehörde gut beraten, bei der Sachverhaltsaufklärung mitzuwirken.
Im Zweifel ist anwaltliche Hilfe geboten.
Also lassen Sie sich gut beraten.