In der Praxis kommt es selten vor, dass Aufsichtsbehörden bei ihren Untersuchungen Zwangsmaßnahmen anwenden. Im Regelfall wendet sich die Behörde mit einem Auskunftsverlangen an ein Unternehmen, um den Sachverhalt zu einer Beschwerde zu ermitteln. Die betroffenen Unternehmen erteilen in der großen Mehrzahl der aufsichtsbehördlichen Verfahren mehr oder weniger bereitwillig die gewünschten Auskünfte.
Doch was passiert, wenn sich ein Unternehmen weigert, der Aufsichtsbehörde die erbetenen Auskünfte zu erteilen? Für die Beantwortung dieser Frage kommt es darauf an, in welchem Stadium sich das von der Aufsichtsbehörde geführte Verfahren befindet.
Im Ermittlungsverfahren
Für das Prüfungs- und Ermittlungsverfahren enthält Art. 58 DSGVO die maßgeblichen Befugnisse der Aufsichtsbehörde.
Art. 58 Abs. 1 lit. f DSGVO verleiht jeder Aufsichtsbehörde das Recht, Zugang zu den Räumlichkeiten einschließlich aller Datenverarbeitungsanlagen und -geräte eines Unternehmens zu erhalten. Der Zugang kann gegen den Willen eines Unternehmens erzwungen werden. Zur Erzwingung des Zugangs erlässt die Aufsichtsbehörde einen Verwaltungsakt. Dieser gibt dem Unternehmen auf, seine Räumlichkeiten für eine Prüfung durch die Aufsichtsbehörde zugänglich zu machen und die Anwesenheit der Mitarbeiter der Aufsichtsbehörde für die Dauer der Prüfung zu dulden.
Art. 58 Abs. 1 lit. f DSGVO gestattet einer Aufsichtsbehörde zunächst nur, die Räumlichkeiten eines Unternehmens zu betreten und zu besichtigen. Dieses Zugangsrecht wird durch Art. 58 Abs. 1 lit. e DSGVO ergänzt. Danach kann die Aufsichtsbehörde von einem Unternehmen den Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, erzwingen.
Kann die Aufsichtsbehörde „einfach so“ den Zugang zu den Geschäftsräumen eines Unternehmens erzwingen?
Die Datenschutz-Grundverordnung knüpft die Ausübung des Rechts, Zugang zu den Räumlichkeiten eines Unternehmens zu erhalten und die IT-Systeme in Augenschein zu nehmen, nicht an Voraussetzungen, sondern verweist insoweit auf das nationale Verfahrensrecht.
- 40 Abs. 5 Satz 1 BDSG konkretisiert die Ausübung der Zugangsbefugnisse. Danach muss das Betreten der Geschäftsräume und der Zugang zu den IT-Systemen eines Unternehmens zur Aufgabenerfüllung der Aufsichtsbehörde erfolgen. Zudem darf ein Zugang der Aufsichtsbehörde gemäß § 40 Abs. 5 Satz 3 in Verbindung mit § 16 Abs. 4 Satz 2 BDSG nur innerhalb der üblichen Betriebs- und Geschäftszeiten eines Unternehmens stattfinden.
Nach dem im Verfassungsrecht verankerten Grundsatz der Verhältnismäßigkeit sind die Untersuchungsbefugnisse einer Aufsichtsbehörde weiter einzuschränken. Das Zugangsrecht besteht danach nur dann, wenn die Aufsichtsbehörde keine anderen Mittel hat, um die gewünschten Informationen zu erhalten. Der zwangsweise Zugang einer Aufsichtsbehörde zu den Räumlichkeiten eines Unternehmens ist demnach die Ausnahme. In der Regel wird eine Aufsichtsbehörde ihr Ziel erreichen, indem sie sich mit einem Auskunftsersuchen an ein Unternehmen wendet.
Im Bußgeldverfahren
Ermittelt eine Aufsichtsbehörde wegen einer Ordnungswidrigkeit, die gemäß Art. 83 DSGVO bußgeldbewehrt ist, gelten für das Verfahren die Vorgaben des Gesetzes über Ordnungswidrigkeiten (OWiG) und der Strafprozessordnung (StPO). Hat die Aufsichtsbehörde ein Bußgeldverfahren eingeleitet, richten sich ihre Befugnisse gemäß § 46 Abs. 1 OWiG grundsätzlich nach der StPO. Im Bußgeldverfahren hat die Aufsichtsbehörde gemäß §§ 102 ff. StPO das Recht, die Räume des Betroffenen zu durchsuchen. Anders als der (erzwungene) Zugang im Verwaltungsverfahren muss die Durchsuchung im Bußgeldverfahren gemäß § 105 Abs. 1 StPO grundsätzlich durch einen Richter angeordnet werden.
Aktueller Fall aus der Praxis
Der zwangsweise Zugang einer Aufsichtsbehörde zu den Geschäftsräumen eines Unternehmens ist nicht bloß Theorie. Das durfte die AOK Baden-Württemberg kürzlich leidvoll erfahren.
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI Baden-Württemberg) hatte gegen die AOK Baden-Württemberg mit Bescheid vom 25.06.2020 eine Geldbuße in Höhe von 1,24 Millionen Euro verhängt (siehe Pressemitteilung des LfDI Baden-Württemberg und unseren Blogbeitrag). Grund hierfür war ein Verstoß gegen Art. 32 DSGVO. Danach sind Unternehmen aufgefordert, geeignete technische und organisatorische Maßnahmen zum Schutz von personenbezogenen Daten zu treffen. Bei der Bemessung der Geldbuße, so die Pressemitteilung, hat der LfDI Baden-Württemberg die „konstruktive Kooperation“ der AOK Baden-Württemberg besonders berücksichtigt.
Möglicherweise war die Kooperationsbereitschaft der AOK Baden-Württemberg jedoch nicht so ausgeprägt wie in der Pressemitteilung angegeben. Wie nunmehr bekannt geworden ist, durchsuchte der LfDI Baden-Württemberg die Geschäftsräume der AOK-Bezirksdirektion in Stuttgart-Böblingen. Dabei beschlagnahmte er offenbar Unterlagen und Datenträger.
Der Beitrag zeigt, dass eine zögerliche oder unterbliebene Zusammenarbeit mit der Aufsichtsbehörde unangenehme Folgen haben kann. Jedes Unternehmen ist bei einem Kontakt mit der Aufsichtsbehörde daher gut beraten, bei der Sachverhaltsaufklärung mitzuwirken. Im Zweifel ist anwaltliche Hilfe angezeigt.