Die Datenschutzgrundverordnung gibt allen Bürgern die Möglichkeit, ohne Angabe von Gründen alle Daten, die von Unternehmen und Organisationen zu ihrer Person gespeichert und genutzt werden einzusehen oder diese löschen zu lassen. Für Handel und Wirtschaft ergibt sich aus diesen neuen Rechten der Kunden und Verbraucher ein ganz erheblicher bürokratischer Mehraufwand. Wenn allerdings die Datenschutzbehörde einen Verstoß gegen die DSGVO anmahnt, ist volle Kooperation oft der beste Weg, den Schaden gering zu halten.
Die Datenschutzgrundverordnung gilt in der EU seit Mai letzten Jahres. Sie bedeutet für Verbraucher und Kunden in der EU eine weltweit beispielhafte Stärkung ihrer Rechte in Bezug auf die Speicherung und Nutzung personengebundener Daten. Jeder Bürger kann bei jedem Unternehmen Einsicht darüber verlangen, welche Daten über die eigene Person gespeichert, wie diese im Unternehmen genutzt und mit welchen anderen Akteuren sie geteilt werden. Für Unternehmen bedeutet die DSGVO allerdings neben einem stark gestiegenen Antragsaufkommen auch die Notwendigkeit, zahlreichen neuen gesetzlichen Vorgaben entsprechen zu müssen.
Die Datenschutzbehörden können bei Verstößen gegen die DSGVO Bußgelder in empfindlicher Höhe verhängen. Wie aber gehen sie beim Verdacht auf einen Verstoß vor und welche Befugnisse haben sie dabei? Das Fachportal Anwalt.de hat hierzu einige nützliche Tipps zusammengestellt, die betroffenen Unternehmen eine grundlegende Orientierung geben und einige Handlungsempfehlungen aufzeigen.
Die ausschlaggebenden Bestimmungen zur Untersuchung von Verstößen gegen die DSGVO sind in Art. 58 Abs. 1 u. Abs.2 der Verordnung festgeschrieben. Sie regeln die Untersuchungs- und Abhilfebefugnisse der Behörden. Diese räumen der zuständigen Datenschutzbehörde etwa ein Recht auf Nachfrage nach Sachverhalten im Rahmen eines Auskunftsersuchens ein. Ferner können sie das Datenschutz- und Datensicherheitsniveau eines Unternehmens überprüfen. Hierzu ist Vertretern der Behörde im Bedarfsfall auch physischer Zugang zu den Geschäftsräumen des Betriebes zu gestatten.
Wird ein Verstoß gegen die DSGVO festgestellt, kann die Behörde hierauf mit verschiedenen Maßnahmen reagieren, die entsprechend des Schweregrades des Verstoßes ausfallen, wobei der Datenschutzbehörde hier auch ein gewisser Ermessensspielraum bleibt. Zunächst wird ein Unternehmen vor einem möglichen Verstoß gegen die DSGVO gewarnt. Wird dieser schließlich faktisch festgestellt, erfolgt eine Verwarnung.
Werden die Umstände, die den Verstoß herbeigeführt haben, nicht abgestellt, kann die Behörde Anweisungen darüber erteilen, wie dies zu bewerkstelligen ist. Schließlich kann auch ein Verarbeitungsverbot für Daten oder deren Berichtigung oder Löschung angeordnet werden.
Zusätzlich zu diesen Schritten, die direkt der Beendigung des Verstoßes dienen, kann die Behörde nach Art. 83 DSGVO ein Bußgeld verhängen.
Kooperation zahlt sich aus
Verstöße gegen die DSGVO können mit hohen Bußgeldern belegt werden, die schnell sechsstellige Beträge erreichen. Grundsätzlich besteht eine Rechenschaftspflicht seitens der Unternehmen. Diese sind gehalten, alle relevanten Daten zeitnah und vollständig der zuständigen Datenschutzbehörde zur Verfügung zu stellen. Geltende Fristen sind stets einzuhalten.
Erfahrungen haben gezeigt, dass sich ein kooperativer bis proaktiver Umgang mit den Datenschutzbehörden auszahlt. Verstöße aus eigenem Antrieb zu melden, bevor es eine andere Partei tut, kann von Vorteil sein. Grundsätzlich aber führt das Zurückhalten von Daten eher zu einem ungünstigeren Ausgang einer Untersuchung.
Ein betroffenes Unternehmen kann gegen ein festgesetztes Bußgeld Widerspruch einlegen, es kann hierzu weitere entlastende Unterlagen beibringen. Die zuständige Behörde kann anschließend den Bescheid zurücknehmen oder ihn an die Staatsanwaltschaft weiterleiten. Diese kann das Verfahren entweder einstellen, oder es an das zuständige Gericht weiterleiten.