Besuch von der Aufsichtsbehörde

Lese­dau­er 4 Minu­ten

In der Pra­xis kommt ein Besuch von der Auf­sichts­be­hör­de nur sel­ten vor.

Im Regel­fall wen­det sich die Behör­de mit einem Aus­kunfts­ver­lan­gen an ein Unter­neh­men, um den Sach­ver­halt zu einer Beschwer­de zu ermitteln.

Die betrof­fe­nen Unter­neh­men ertei­len in der Mehr­zahl den auf­sichts­be­hörd­li­chen Ver­fah­ren mehr oder weni­ger bereit­wil­lig die gewünsch­ten Auskünfte.

Doch was pas­siert, wenn sich ein Unter­neh­men wei­gert und der Auf­sichts­be­hör­de die erbe­te­nen Aus­künf­te nicht zur Ver­fü­gung stellt?

Für die Beant­wor­tung die­ser Fra­ge kommt es dar­auf an, in wel­chem Sta­di­um sich das von der Auf­sichts­be­hör­de geführ­te Ver­fah­ren befindet.

Im Ermitt­lungs­ver­fah­ren

Für das Prü­fungs- und Ermitt­lungs­ver­fah­ren ent­hält Art. 58 DSGVO die maß­geb­li­chen Befug­nis­se der Aufsichtsbehörde.

Art. 58 Abs. 1 lit. f DSGVO ver­leiht dabei jeder Auf­sichts­be­hör­de das Recht, Zugang zu den Räum­lich­kei­ten ein­schließ­lich aller Daten­ver­ar­bei­tungs­an­la­gen und ‑gerä­te eines Unter­neh­mens zu erhalten.

Der Zugang kann gegen den Wil­len eines Unter­neh­mens erzwun­gen werden.

Zur Erzwin­gung des Zugangs erlässt die Auf­sichts­be­hör­de einen Verwaltungsakt.

Folg­lich gibt die­ser dem Unter­neh­men auf, sei­ne Räum­lich­kei­ten für eine Prü­fung durch die Auf­sichts­be­hör­de zugäng­lich zu machen und die Anwe­sen­heit der Mitarbeiter:innen der Auf­sichts­be­hör­de für die Dau­er der Prü­fung zu dulden.

Art. 58 Abs. 1 lit. f DSGVO gestat­tet einer Auf­sichts­be­hör­de zunächst nur, die Räum­lich­kei­ten eines Unter­neh­mens zu betre­ten und zu besichtigen.

Die­ses Zugangs­recht wird durch Art. 58 Abs. 1 lit. e DSGVO ergänzt.

Danach kann die Auf­sichts­be­hör­de von einem Unter­neh­men den Zugang zu allen per­so­nen­be­zo­ge­nen Daten und Infor­ma­tio­nen, wel­che zur Erfül­lung ihrer Auf­ga­ben not­wen­dig sind, erzwingen.

Kann die Auf­sichts­be­hör­de „ein­fach so“ den Zugang zu den Geschäfts­räu­men eines Unter­neh­mens einfordern?

Die Daten­schutz-Grund­ver­ord­nung knüpft die Aus­übung des Rechts, Zugang zu den Räum­lich­kei­ten eines Unter­neh­mens zu erhal­ten und die IT-Sys­te­me in Augen­schein zu neh­men, nicht an Vor­aus­set­zun­gen, son­dern ver­weist indes­sen auf das natio­na­le Verfahrensrecht.

Fer­ner kon­kre­ti­siert 40 Abs. 5 Satz 1 BDSG die Aus­übung der Zugangsbefugnisse.

Dem­nach muss das Betre­ten der Geschäfts­räu­me und der Zugang zu den IT-Sys­te­men eines Unter­neh­mens zur Auf­ga­ben­er­fül­lung der Auf­sichts­be­hör­de erfolgen.

Zudem darf ein Zugang der Auf­sichts­be­hör­de gemäß § 40 Abs. 5 Satz 3 in Ver­bin­dung mit § 16 Abs. 4 Satz 2 BDSG nur inner­halb der übli­chen Betriebs- und Geschäfts­zei­ten eines Unter­neh­mens stattfinden.

Dem im Ver­fas­sungs­recht ver­an­ker­ten Grund­satz der Ver­hält­nis­mä­ßig­keit ent­spre­chend sind die Unter­su­chungs­be­fug­nis­se einer Auf­sichts­be­hör­de somit wei­ter einzuschränken.

Das Zugangs­recht besteht also dann, wenn die Auf­sichts­be­hör­de kei­ne ande­ren Mit­tel hat, um die gewünsch­ten Infor­ma­tio­nen zu erhalten.

Der zwangs­wei­se Zugang einer Auf­sichts­be­hör­de zu den Räum­lich­kei­ten eines Unter­neh­mens ist dem­nach die Ausnahme. 

Unter­des­sen erreicht eine Auf­sichts­be­hör­de in der Regel ihr Ziel, indem sie sich mit einem Aus­kunfts­er­su­chen direkt an das Unter­neh­men wendet.

Im Buß­geld­ver­fah­ren

Ermit­telt eine Auf­sichts­be­hör­de jedoch wegen einer Ord­nungs­wid­rig­keit, die gemäß Art. 83 DSGVO buß­geld­be­wehrt ist, gel­ten für das Ver­fah­ren die Vor­ga­ben des Geset­zes über Ord­nungs­wid­rig­kei­ten (OWiG) und der Straf­pro­zess­ord­nung (StPO).

Hat die Auf­sichts­be­hör­de bereits ein Buß­geld­ver­fah­ren ein­ge­lei­tet, rich­ten sich ihre Befug­nis­se gemäß § 46 Abs. 1 OWiG grund­sätz­lich nach der StPO.

Im Buß­geld­ver­fah­ren hat die Auf­sichts­be­hör­de gemäß §§ 102 ff. StPO das Recht, die Räu­me der Betrof­fe­nen zu durchsuchen.

Anders als der (erzwun­ge­ne) Zugang im Ver­wal­tungs­ver­fah­ren muss die Durch­su­chung im Buß­geld­ver­fah­ren wohin­ge­gen gemäß § 105 Abs. 1 StPO grund­sätz­lich rich­ter­lich ange­ord­net werden.

Ein Fall aus der Praxis

Der zwangs­wei­se Zugang einer Auf­sichts­be­hör­de zu den Geschäfts­räu­men eines Unter­neh­mens ist jedoch nicht bloß Theorie.

Das durf­te bei­spiels­wei­se die AOK Baden-Würt­tem­berg kürz­lich leid­voll erfahren.

Der Lan­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg (LfDI Baden-Würt­tem­berg) hat­te gegen die AOK Baden-Würt­tem­berg mit Bescheid vom 25.06.2020 eine Geld­bu­ße in Höhe von 1,24 Mil­lio­nen Euro ver­hängt (sie­he Pres­se­mit­tei­lung des LfDI Baden-Würt­tem­berg und unse­ren Blogbeitrag).

Grund hier­für war ein Ver­stoß gegen Art. 32 DSGVO. 

Unter­neh­men sind hier auf­ge­for­dert, geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zum Schutz von per­so­nen­be­zo­ge­nen Daten zu treffen.

Bei der Bemes­sung der Geld­bu­ße, so die Pres­se­mit­tei­lung, hat der LfDI Baden-Würt­tem­berg die „kon­struk­ti­ve Koope­ra­ti­on“ der AOK Baden-Würt­tem­berg beson­ders berücksichtigt.

Wie nun­mehr bekannt gewor­den ist, durch­such­te der LfDI Baden-Würt­tem­berg die Geschäfts­räu­me der AOK-Bezirks­di­rek­ti­on in Stutt­gart-Böb­lin­gen und beschlag­nahm­te offen­bar Unter­la­gen und Datenträger.

Der Bei­trag zeigt, dass eine zöger­li­che oder unter­blie­be­ne Zusam­men­ar­beit mit der Auf­sichts­be­hör­de unan­ge­neh­me Fol­gen haben kann.

Jedes Unter­neh­men ist bei einem Kon­takt mit der Auf­sichts­be­hör­de gut bera­ten, bei der Sach­ver­halts­auf­klä­rung mitzuwirken.

Im Zwei­fel ist anwalt­li­che Hil­fe geboten.

Also las­sen Sie sich gut beraten.