Mitwirkungspflichten und Sanktionsmittel bei Datenschutzprüfungen
RA und Fachanwalt für IT-Recht Dr. Jens Bücking, Stuttgart
Durch die BDSG-Novelle 2009 haben die Datenschutzaufsichtsbehörden – neben Erweiterungen in ihrer Zuständigkeit – ein schärferes Sanktionsinstrumentarium an die Hand bekommen.
Spiegelbildlich besteht auf Seiten der betroffenen Unternehmen eine Duldungs- und Kooperationspflicht. Wird nicht Zutritt zu Geschäftsräumen, Einsicht in relevante Unterlagen und personenbezogene Daten sowie DV-Programme gewährt, können bei festgestellten Schutzlücken und Verstößen – neben Nachbesserungen in den Verfahren zur Datenverarbeitung und der Anordnungsbefugnis zur Verbesserung der technisch-organisatorischen Maßnahmen (TOM-Katalog) – insbesondere auch erhöhte Zwangsgelder verhängt werden.
Wird gegen Anordnungen verstoßen und bleibt auch das Zwangsgeld fruchtlos, kann die Aufsichtsbehörde die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten sogar gänzlich untersagen.
Gegenüber der bis zum 01.09.2009 geltenden Rechtslage wurden die Zwangsgelder massiv ausgeweitet – mit bis zu 300.000,- EUR für jeden Einzelfall und der zusätzlichen Möglichkeit einer Gewinnabschöpfung. Schärfstes Mittel bleibt jedoch die Befugnis zur Untersagung von bestimmten Verfahren zur Datenverarbeitung, die angesichts der Abhängigkeit von Unternehmen in Bezug auf die Verfügbarkeit ihrer betriebskritischen Daten eine zumindest vorübergehende Einstellung des Geschäftsbetriebes zur Folge haben kann.
Inzwischen liegen hinreichende Erfahrungen mit der Anwendung der neuen Vorschriften in der Beratungspraxis vor: In der Regel erhalten die Unternehmen eine schriftliche Voranfrage mit einem entsprechenden Katalog von Prüffragen, die innerhalb einer bestimmten Frist zu beantworten sind. Auf die Beantwortung dieses Kataloges sollte mit Blick auf die skizzierten Sanktionsmittel höchste Sorgfalt verwendet werden.