berechtigtes interesse 6 1 f dsgvo bundesgerichtshof bgh eugh europäischer gerichtshof privacyshield gericht bußgeld 1&1 risiko

DSGVO-Bußgeld vorbeugend abwehren – geht das und wenn ja, wie?

Die Regelungen der Datenschutz-Grundverordnung (DSGVO) enthalten, wie es bei Gesetzen üblich ist, zahlreiche unbestimmte Rechtsbegriffe und sind auch im Übrigen nicht selbsterklärend. Wann ist eine technische bzw. organisatorische Maßnahme „geeignet“, ein „angemessenes“ Schutzniveau zu gewährleisten? Wann ist eine Maßnahme „erforderlich“?  Handelt es sich bei einer Verarbeitungstätigkeit eines Geschäftspartners um eine Auftragsverarbeitung gemäß Art. 28 DSGVO oder doch um sogenannte gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO oder vielleicht um gar nichts von beiden?

Anhand der häufig gestellten Fragen, die in der FAQ-Liste des BayLDA (Bayerisches Landesamt für Datenschutzaufsicht) veröffentlicht werden, wird deutlich, welche Fragen die Verantwortlichen im Zusammenhang mit der Umsetzung der gesetzlichen Vorgaben quälen.

Im Rahmen der Auslegung der unbestimmten Rechtsbegriffe und der gesetzlichen Voraussetzungen durch die Verantwortlichen und die Aufsichtsbehörden kommt es darüber hinaus häufig zu unterschiedlichen Ergebnissen. Vielfach ist auch die genaue Rechtsauffassung der Aufsicht unbekannt oder einschlägige Urteile bzw. höchstrichterliche Rechtsprechung existiert (noch) nicht. Dies führt einerseits zu einer erheblichen Rechtsunsicherheit oder kann bei falscher Auslegung der unbestimmten Rechtsbegriffe und der gesetzlichen Voraussetzungen zu datenschutzrechtlichen Verstößen führen, die im schlimmsten Fall bußgeldbewehrt sind.

Die möglichen Bußgelder können dabei zum Teil sogar höher ausfallen als der erwartete Jahresgewinn. Dies gilt insbesondere dann, wenn das Unternehmen in einem Wirtschaftssektor mit niedrigen Margen tätig ist.

An dieser Stelle stellt sich die Frage, was die Verantwortlichen in einer Situation tun können, in der durch falsche Auslegung des Gesetzes ein Bußgeld droht.

Die absolut sichere Strategie

Am sichersten ist es natürlich, bei jedem Zweifel auf die entsprechende Verarbeitungstätigkeit zu verzichten. Dies ist zwar einerseits die beste Strategie im Hinblick auf die Risikovermeidung, jedoch andererseits häufig nicht möglich, da die Verarbeitung ein essentiell wichtiger Bestandteil der unternehmerischen Tätigkeit ist. Der Verzicht auf eine Verarbeitungstätigkeit bedeutet häufig auch Umsatzverlust und ist demnach ebenso häufig keine Option.

Die Hochrisiko-Strategie

Sofern die sichere Strategie keine Option bietet, muss ein Unternehmen die Risiken abwägen und bewusst eine Entscheidung treffen, wie viel Risiko eingegangen werden soll. Hoffentlich wird dabei aus einer Risikoabwägung keine Kamikaze-Strategie, bei der die Risiken einfach ausgeblendet werden und letztlich eine möglicherweise rechtswidrige Verarbeitung durchgeführt wird. Denn das wäre ebenfalls eine schlechte Variante und in der Regel auch die teuerste, denn Vorsatz, soweit ein solcher vorliegen und nachgewiesen werden sollte, wirkt sich bußgelderhöhend aus.

Vorbeugende Strategie?

Wenn ein Unternehmen ein Risiko bewusst eingeht und im schlimmsten Fall einen Bußgeldbescheid erhält, kann gegen diesen Bescheid gerichtlich vorgegangen werden. Doch muss ein Unternehmen diese Risiken eingehen und im schlimmsten Fall ein Bußgeld abwarten, um dagegen ggf. gerichtlich vorgehen zu können? Gibt es evtl. eine Möglichkeit, der Rechtsunsicherheit entgegenzuwirken, indem vorbeugend eine gerichtliche Klärung eines Sachverhalts verbindlich herbeigeführt wird?

Die Antwort auf diese Frage lautet grundsätzlich „nein“, denn das Ordnungswidrigkeitenrecht kennt keinen vorbeugenden Rechtsschutz. In der Regel stehen Klageoptionen erst dann zur Verfügung, wenn ein bereits existierender Bußgeldbescheid angegriffen werden soll. Doch wie es in der Juristerei oft der Fall ist, gibt es selten Regeln ohne eine Ausnahme. So auch hier. Abhilfe schafft die sogenannte „Damokles-Rechtsprechung“ des Bundesverwaltungsgerichts (BVerwG). Das Bundesverwaltungsgericht stellt in seiner Rechtsprechung Voraussetzungen auf, unter denen verwaltungsgerichtlicher Rechtsschutz zur vorbeugenden Abwehr von Bußgeldern im Wege einer (vorbeugenden) verwaltungsgerichtlichen Klage in Anspruch genommen werden kann.

So kann vorbeugender Rechtsschutz dann beansprucht werden, wenn eine behördliche Sanktionierung aufgrund von verwaltungsrechtlichen Zweifelfragen droht. Dies könnte im Bereich des Datenschutzrechts im Hinblick auf die möglichen Sanktionen aufgrund der zahlreichen Zweifelsfragen in diesem Rechtsgebiet der Fall sein.

Welche Voraussetzungen im Einzelnen zu erfüllen wären, um eine vorbeugende Klage zur gerichtlichen Klärung der Rechtsunsicherheiten erheben zu können und welche Klageart die statthafte Klageart in diesem Zusammenhang wäre, untersucht der Vorstandsvorsitzende der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD)  Prof. Dr. Rolf Schwartmann zusammen mit Lucia Burkhardt im Gutachten „Vorbeugender verwaltungsgerichtlicher Rechtsschutz zur Abwehr drohender Bußgeldverfahren im Datenschutzrecht“, welches im Auftrag der Freenet AG verfasst wurde.

Das Gutachten kann bei der GDD unter diesem Link abgerufen werden.

In ihrem Gutachten stellen die Autor*innen fest, dass es je nach Klageziel bzw. Klagebegehren zwei Klageoptionen für Verantwortliche gibt. Zu einem wäre das die vorbeugende Feststellungsklage sowie die vorbeugende Unterlassungsklage.

Mit Hilfe der Feststellungsklage kann gem. § 43 VwGO (Verwaltungsgerichtsordnung) die Feststellung des Bestehens bzw. Nichtbestehens eines Rechtsverhältnisses begehrt werden. Soweit der Verwaltungsrechtsweg eröffnet ist, ein feststellungsfähiges Rechtsverhältnis, ein Feststellungsinteresse bejaht wird und Feststellungsklage gegenüber anderen Klagearten (z.B. der Anfechtungsklage) nicht subsidiär und begründet ist, stellt das Gericht im Erfolgsfall entsprechend dem Klageantrag fest, dass ein Rechtsverhältnis besteht oder nicht besteht.

Dabei ist bei der vorbeugenden Feststellungsklage zu beachten, dass der Feststellungsantrag nicht darauf gerichtet sein darf, festzustellen, dass die Aufsichtsbehörde zur Verhängung eines Bußgeldes nicht berechtigt sei. Der Feststellungsantrag kann jedoch zulässigerweise auf Rechtsfragen bezüglich der dem Bußgeldtatbestand zugrunde liegenden verwaltungsrechtlichen Pflichten gerichtet sein (hierzu vgl. das oben zitierte Gutachten auf S. 113 mit weiteren Nachweisen zu Rechtsprechung des Bundesverwaltungsgerichts).

Beispiel 1:

Ein Unternehmen erbringt eine Dienstleistung und ist sich nicht sicher, ob diese Dienstleistung eine Auftragsverarbeitung gemäß Art. 28 DSGVO darstellt. In diesem Fall könnte die vorbeugende Feststellungsklage diese Fragestellung klären. Das Gericht würde aber nicht feststellen, ob die datenschutzrechtliche Aufsichtsbehörde berechtigt wäre, im Falle eines Datenschutzverstoßes ein Bußgeld zu verhängen und erst recht keine Aussage darüber treffen, wie hoch, das Bußgeld ausfallen würde. Eine vorbeugende „Kostenfeststellung“ ist also nicht möglich.

Die vorbeugende Unterlassungsklage ist in der Verwaltungsgerichtsordnung dagegen nicht ausdrücklich geregelt. Sie stellt aber einen Fall der allgemeinen Leistungsklage dar, die in der VwGO z.B. in §§ 43 Abs. 2, 111113 Abs. 4 VwGO erwähnt und gewohnheitsrechtlich anerkannt ist. Sie ist statthaft, wenn als Klageziel Unterlassen einer drohenden Beeinträchtigung begehrt wird, die nicht im Erlass eines Verwaltungsakts besteht. Die vorbeugende Unterlassungsklage kann sich z.B. auch auf das Unterlassen einer drohenden Sanktionierung beziehen.

Beispiel 2:

Bei der vorbeugenden Unterlassungsklage würde das Unternehmen einen Vollstreckungstitel gegenüber der datenschutzrechtlichen Aufsichtsbehörde erwirken, der es der Behörde untersagt (sie zur Unterlassung verpflichtet) in einem konkreten Fall das Unternehmen zu sanktionieren. In Anlehnung an das obige Beispiel würde sich das Unternehmen für eine der beiden Optionen entscheiden, beispielsweise dafür, dass die durchgeführte Verarbeitung eine Auftragsverarbeitung darstellt. Sofern das Verwaltungsgericht dieser Auffassung folgt, würde der zuständigen Aufsichtsbehörde untersagt, Sanktionen gemäß Art. 58 DSGVO zu verhängen.

In ihrem Gutachten bescheinigen die Autor*innen der vorbeugenden Unterlassungsklage insgesamt jedoch „höchst unsichere“ Erfolgsaussichten im Vergleich zur vorbeugenden Feststellungsklage (hierzu vgl. S. 100 des Gutachtens).

Fazit

Zusammenfassend kann festgestellt werden, dass im Fall bestehender Rechtsunsicherheit über eine datenschutzrechtliche Regelung und drohenden Sanktionen seitens der Aufsichtsbehörden der vorbeugende Rechtsschutz in Form entweder einer vorbeugenden Feststellungs- oder einer vorbeugenden Unterlassungsklage Abhilfe schaffen kann.

Es ist jedoch zu beachten, dass das Ergebnis einer solchen vorbeugenden Klage darin bestehen kann, dass das angerufene Gericht eine Entscheidung trifft, die zwar für mehr Rechtssicherheit sorgt, im Endeffekt für die Kläger*innen aber auch nachteilig sein kann. Dies wäre beispielsweise dann der Fall, wenn die Klage als unbegründet abgewiesen wird, weil das Gericht der Begründung der Kläger*innen nicht folgt und feststellt, dass die Rechtsauffassung der Klagenden nichtzutreffend wäre. Ob die verklagte Aufsichtsbehörde den Fall dann zum Anlass nimmt, das klagende Unternehmen genauer unter die Lupe zu nehmen?

Verantwortliche, die den vorbeugenden Rechtsschutz als eine Option sehen, um für mehr Rechtssicherheit zu sorgen im Rahmen ihrer Datenschutz-Compliance, können übrigens auf die Klagemuster zurückgreifen, die im oben zitierten Gutachten von Verfasser*innen angeboten werden (hierzu vgl. S. 108 ff. des Gutachtens).

Haben Sie Prozesse in Ihrem Unternehmen, bei denen Sie sich bzgl. ihrer Rechtskonformität unsicher sind? Kontaktieren Sie uns, wir helfen Ihnen gerne – auch ohne vorbeugende Klagen.


Diesen Beitrag teilen

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.