Die Behörde stellte im Juni 2017 bei einer Vor-Ort-Prüfung fest, dass personenbezogene Daten weiterhin gespeichert wurden, obwohl der Zweck für die weitere Verarbeitung bereits weggefallen war. Kurzum hatte die Behörde dem Unternehmen vorgeworfen, dass etwaige „Löschroutinen“ nicht eingehalten wurden. Daraufhin hatte die Behörde dem Unternehmen empfohlen, das gesamte Archivsystem entsprechend umzustellen und die Anforderung zum Löschen von Daten, die nicht mehr benötigt wurden, alsbald umzustellen. Im März 2019 erfolgte dann die erneute Vor-Ort-Prüfung. Allerdings war die Behörde mit der Umsetzung der Löschvorgaben alles andere als zufrieden. Daten wurden zwar gelöscht, doch wurde die geforderte „Herstellung eines rechtmäßigen Zustands bei der Speicherung personenbezogener Daten“ durch das Unternehmen nicht erfüllt. So der Vorwurf der Berliner Aufsichtsbehörde. Die Konsequenz: ein saftiges Bußgeld.
Unwirksamer Bußgeldbescheid
Und dann hatte die 26. Große Strafkammer des Landgerichts Berlin am 18. Februar 2021 das Verfahren gegen die Deutsche Wohnen eingestellt. Gravierende Mängel im Bußgeldverfahren können nicht „Grundlage der vor Gericht auseinandergetragenen Auseinandersetzungen sein“ schreibt Heise online in ihren News vom 24. Februar 2021. Ohne hier jetzt auf die weiteren Umstände des gesamten Verfahrens einzugehen, war die Reaktion mancher Hausverwalter ein wenig verwunderlich. Ja sogar eine gewisse Schadenfreude und „Gehässigkeit“ war zu spüren. Auch die Deutsche Wohnen hat eine Pressemitteilung veröffentlicht und mitgeteilt, dass der Bußgeldbescheid „unwirksam“ war.
So mancher Unternehmer fühlte sich dann in seiner Meinung bestätigt, dass zum einen Datenschutz sowieso völlig überbewertet wäre und zum anderen es die Behörden noch nicht mal auf die Reihe bringen würden, ihren Job vernünftig zu erledigen.
Zugegeben, bei einem Bußgeld in dieser Höhe und einem formal unrichtigen überstellten Bußgeldbescheid, kratzt man sich da natürlich am Kopf. Ein Einzelfall? Mitnichten! Auch das einst verhängte Bußgeld gegen die 1&1 Telecom GmbH von 9,55 Millionen Euro – das Unternehmen hatte keine ausreichenden technischen und organisatorischen Maßnahmen zum Schutz der Kundendaten ergriffen – wurde durch das Landgericht Bonn auf (nur noch) 900.000 Euro gekürzt. Zwar lag ein Datenschutzverstoß vor, jedoch wäre die Höhe des Bußgeldes unverhältnismäßig. Die Behörde rügte einst, dass das „Authentifizierungsverfahren“ nicht den Vorschriften entsprach. Die Kürzung durch das Landgericht Bonn wird damit begründet, dass es zu keiner „Massenabfrage“ von personenbezogenen Daten kam. Auch ein im Jahr 2019 durch den Datenschutzbeauftragten Hamburg verhängtes Bußgeld in Höhe von 5.000 Euro gegen einen Auftragsverarbeiter, der Versanddienstleistungen erbrachte, wurde nach der Beschwerde des Unternehmens gänzlich zurückgezogen. Die Gründe hierfür sind nicht bekannt.
Der Musterschüler Deutschland in Sachen DSGVO
Also alles halb so schlimm? Im Netz waren dann Überschriften zu finden, wie etwa: „Sind die deutschen Aufsichtsbehörden nicht in der Lage, Verstöße richtig zu ahnden?“ Schießen die Behörden zu schnell zu scharf? Und ist Deutschland – als Musterschüler zur Umsetzung der DSGVO – ein EU-Land, dass sich in puncto Datenschutz vielleicht ein wenig selbst im Weg steht und sich selbst kaputt verwaltet?
Die o.g. Fälle sollen aber nicht darüber hinwegtäuschen, dass die Behörden richtigerweise ein entsprechendes Bußgeld verhängt haben. Beim Beispiel 1&1 stellte das Landgericht nämlich fest, dass „erhebliche“ Mängel beim Authentifizierungsverfahren vorlagen. Und ob die Deutsche Wohnen wirklich ohne Bußgeld davonkommt, wird sich zeigen. Denn die Behörde kann immer noch Einspruch einlegen. Und wenn man bedenkt, dass die DSGVO mit einer zweijährigen Übergangsphase für Unternehmen vom Inkrafttreten bis zur Geltung genügend Spielraum bot, um die Vorschriften und Anforderungen aufzunehmen und umzusetzen, dann sind eigentlich noch viel zu wenig Bußgelder verhängt worden.
Seit knapp drei Jahren gilt nun die DSGVO. Und Aufsichtsbehörden lernen – so wie Unternehmen eben auch – genauso jeden Tag ein Stück dazu. Aufsichtsbehörden sind auch keine Gerichte. Sie überwachen, beraten und unterstützen. Und würde es die Aufsichtsbehörden nicht geben, so würden wir wohl weitaus größere Probleme haben, als uns darüber zu wundern, dass Bußgelder in Millionenhöhe an Unternehmen verhängt werden, die mit Daten so sorglos umgehen und dabei trotzdem Millionen Gewinne erzielen.
Steigende Eingaben von Beschwerden
Es brodelt aber unter dem Deckel. Wenn man die Tätigkeitsberichte der jeweiligen Aufsichtsbehörden liest, stellt man fest, dass sehr viele Betroffene sich an diese Stellen wenden und Beschwerden über Unternehmen einreichen. Diese haben dann die Aufgabe, die Beschwerden aufzunehmen und bei Angemessenheit entsprechend nachzugehen. Allein in Baden-Württemberg gingen nach Aussage des Datenschutzbeauftragten des Landes, Dr. Stefan Brink, im Jahr 2020 ca. 4.800 Beschwerden ein. Tendenz steigend!
Seit knapp drei Jahren ist auch festzustellen, dass viele Eigentümer und Mieter sich an Aufsichtsbehörden wenden und dort entweder eine Beschwerde einreichen oder die Behörde bitten, eine Überprüfung der Hausverwaltung vorzunehmen. Die Behörde nennt dieses „Eingabe“. Die Gründe sind recht unterschiedlich. Letztendlich sind es aber meistens unzufriedene Kunden. Aber sind die Vorwürfe haltbar oder entsprechen sie den Tatsachen? So ganz unrecht hat so mancher Beschwerdeführer nämlich nicht. Datenschutz kann jede natürliche Person (Betroffener) von jedem Unternehmen logischerweise erwarten und auch verlangen. Dann tritt eben die Aufsichtsbehörde auf den Plan und wird sozusagen für den Betroffenen tätig.
Und dann wird der Sachverhalt, der vom Betroffenen (Beschwerdeführer) eingegeben wurde, dem Verwalter (Verantwortlichen) vorgehalten. Dieser hat dann in der Regel zwei bis drei Wochen Zeit, eine entsprechende Stellungnahme zu den Vorwürfen zu verfassen und zu übersenden.
Was ist zu tun?
Keine Panik! Die Behörden versuchen nur einen Sachverhalt, der ihnen von einem Betroffenen aus seiner Sicht mitgeteilt wurde, darzustellen und geben Ihnen die Möglichkeit zur entsprechenden Gegendarstellung (Anhörung). Also alles ganz normal.
Lesen Sie das Anschreiben genau durch. Erfassen Sie, welcher Vorwurf gemacht wird.
Eruieren Sie in Ihrem Unternehmen ganz genau, inwieweit die Daten des Betroffenen verarbeitet wurden. Machen Sie sich ein Bild darüber, ob der Vorwurf haltbar ist oder gänzlich aus der Luft gegriffen wurde. Entsprechen die Vorwürfe einer typischen Verarbeitung in ihrer Hausverwaltung? Möglicherweise hat der Betroffene die Situation ganz anders erklärt, als es tatsächlich war. Oft schreiben die Sachbearbeiter ihre Kontaktdaten dazu. Meistens ist auch eine Durchwahl der Telefonnummer angegeben. Die Erfahrung zeigt, dass in der Behörde auch nur Menschen sitzen, die manchen Sachverhalt ganz anders sehen, als Sie aus dem Schreiben interpretieren. Ein klärendes Gespräch bringt viel mehr, als eine Stellungnahme zu verfassen, die möglicherweise weit über das Ziel hinausschießt.
Nehmen Sie das Schreiben unbedingt ernst.
Auch wenn die Behörde eine „freiwillige“ Auskunft fordert, sollten Sie dem unbedingt nachkommen. Beziehen Sie unbedingt den Datenschutzbeauftragten (DSB) mit ein und informieren Sie diesen zeitnah. Er ist in der Regel professionell im Umgang mit Anschreiben von Aufsichtsbehörden. Haben Sie keinen DSB, dann holen Sie sich kompetente Hilfe. Je nach Vorwurf kann es sogar notwendig sein, einen Fachanwalt für Datenschutzrecht zu beauftragen. Dieser nimmt dann unter Umständen eine Akteneinsicht vor.
Treffen Sie – je nach Vorwurf – entsprechende Maßnahmen
Ist der Vorwurf beispielsweise eine Datenpanne, sollten Sie dringend entsprechende Maßnahmen ergreifen und sofort prüfen, ob das Datenleck nach wie vor besteht. Möglicherweise haben Sie einen Prozess, der schon seit Jahren etabliert ist, aber nach gültigem Datenschutz eine Datenschutzverletzung darstellt. Hier müssen Sie zwingend reagieren und gegebenenfalls den Prozess der Verarbeitung sofort einstellen.
Reicht die von der Behörde angebotene Frist? Eventuell muss man eine Fristverlängerung beantragen. Manchmal kann es sein, dass der Chef im Urlaub ist oder andere Personen, die in die Verarbeitung eingebunden waren, nicht erreichbar sind. Dann kann eine angesetzte Frist der Behörde durchaus verlängert werden. In der Regel gewähren Behörden weitere zwei Wochen Fristverlängerung.
Seien Sie ehrlich zu sich selbst
Wenn Sie merken, dass in Ihrer Verwaltung ein Fehler gemacht wurde, sollten Sie diesen auch für sich eingestehen. Ausreden helfen in der Regel nichts. Fahrlässigkeit ist immer noch anders zu bewerten als Vorsatz. Aber beziehen Sie sich nicht auf Dinge, die nichts mit dem Vorwurf zu tun haben. Konzentrieren Sie sich nur auf den Vorwurf. Teilen Sie nichts mit, was mit der Sache an sich nichts zu tun hat. Hier ist Fingerspitzengefühl gegenüber der Kommunikation mit der Behörde unbedingt notwendig.
Das Wichtigste aber ist: Helfen Sie mit, den Sachverhalt aufzuklären. Seien Sie so kooperativ wie möglich. Zeigen Sie, dass Sie die Sache unbedingt geklärt haben wollen und es sich nur um ein einmaliges Ereignis handelt. Signalisieren Sie der Behörde, dass sie aus diesem Fehler lernen wollen. Und setzen Sie dieses Lernen auch unbedingt um. Denn würde derselbe Fehler (nur eben später) sich wieder ereignen, wäre die Behörde wohl sicher gnadenloser.
Fazit
Die Mitarbeiter der Behörden sind genauso freundlich, genauso lustig, genauso schlecht gelaunt, genauso aufmerksam, genauso gelangweilt und noch viel mehr, wie Sie als Unternehmer, aber auch es als Betroffener, sind. Denken Sie stets daran, dass die Behörde meist immer nur durch eine Eingabe eines Betroffenen auf Ihr Unternehmen aufmerksam gemacht wird. Und oft sind es die Emotionen, die die Beschwerde entsprechend ausfallen lassen. Datenschutz bietet hier eine große Angriffsfläche und ist (leider) auch für viele ein wunderbares Instrument geworden, um seine Unzufriedenheit gegenüber den Leistungen von Unternehmen auszudrücken. Das ist hüben wie drüben genauso. Die Aufsichtsbehörden sind keine Institution, die Bußgelder verhängen wollen. Sie müssen! Und das ist der Unterschied. Denn Datenschutz ist ein Grundrecht. Sie als Unternehmer sind ebenso ein Betroffener, wie Ihre Mieter, Ihre Eigentümer, Ihre Mitarbeiter, Ihre Kunden und wie die Mitarbeiter in den Aufsichtsbehörden.
Datenschutz ist nicht kompliziert, nur unbequem. Wir müssen lernen, unsere Arbeit derart anzupassen, dass wir die Rechte und Freiheiten von unseren Mitmenschen (Betroffenen) achten. Wer dieses nicht tut, darf auch nicht verwundert sein, wenn die Behörde ein Bußgeld verhängt. Und ein Bußgeld ist alles andere als eine „lange Nase“ seitens der Behörde an den Verwalter. Das Bußgeld wird verhängt, weil es die Behörde verhängen muss. So ist das Gesetz.
Reinhold Okon