VG Leipzig: Kontrollbefugnisse der Aufsichtsbehörden

Die im Datenschutz zuständigen Aufsichtsbehörden müssen sich bei der Geltendmachung eines Auskunftsanspruchs nach § 38 Abs. 3 S. 1 BDSG gegenüber der für die Datenverarbeitung verantwortlichen Stelle nicht auf ein gestuftes Auskunftsverfahren verweisen lassen. Stattdessen können die Aufsichtsbehörden unmittelbar alle aus ihrer Sicht zur Durchführung einer allgemeinen, anlassunabhängigen Prüfung aller Geschäftsprozesse notwendigen Angaben von dem auskunftspflichtigen Unternehmen anfordern, so das VG Leipzig (Beschluss vom 3.12.2012 – 5 L 1308/12).

Inhalt der Entscheidung:

Nach § 38 Abs. 3 BDSG haben die der Kontrolle unterliegenden Stellen sowie die mit deren Leitung beauftragten Personen der Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte unverzüglich zu erteilen. Dabei kann die Aufsichtsbehörde ausweislich der ihr durch § 38 Abs. 1 S. 1 BDSG zugewiesenen Aufgaben nicht nur „dateigebundene Verarbeitungen“ kontrollieren, sondern alle „automatisierten Verarbeitungsprozesse“.

Wird in Ausübung der Befugnisse aus § 38 Abs. 3 S. 1 BDSG von der Aufsichtsbehörde eine „aussagefähige Darstellung aller Geschäftsprozesse“ verlangt, ist damit eine Auflistung des auskunftspflichtigen Unternehmens gemeint, aus der – ohne dass es weiterer Erklärungen bedarf – zu entnehmen ist, wie die Geschäftsprozesse dort ablaufen. Die Anforderung einer solchen „Darstellung aller Geschäftsprozesse“ ist auch hinreichend bestimmt, dies insbesondere dann, wenn die Behörde den Gegenstand ihres Auskunftsanspruchs im Vorfeld – etwa bei einer Vor-Ort-Prüfung oder Besprechung mit dem auskunftspflichtigen Unternehmen – konkretisiert hat.

Auf eine gestufte Geltendmachung eines Auskunftsbegehrens, wonach zunächst nur die grundsätzlichen Datenverarbeitungsschritte abgefragt und erst danach bei entsprechendem Anlass weitere Details erfragt werden, muss sich die Aufsichtsbehörde nicht verweisen lassen. Diese ist gegenüber einer vollständigen Auskunft nicht gleichermaßen Erfolg versprechend. Zum einen ist zweifelhaft, ob schon durch die grobe Beschreibung eines Geschäftsprozesses beurteilt werden kann, ob jedes darin enthaltene Verarbeitungshandeln datenschutzrechtlich relevant ist oder nicht. Zum anderen würde aber jedenfalls ein solches Vorgehen durch die nach jeder Auskunftserteilung wieder notwendig werdenden Abstimmungsprozesse zu einer Verlängerung des Prüfungsverfahrens führen. Etwaige Datenschutzverstöße könnten dann erst mit Verzögerung aufgedeckt bzw. verhindert werden.

Die Geltendmachung einer derart umfänglichen Auskunft ist im konkreten Fall auch verhältnismäßig. Das auskunftsverpflichtete Unternehmen hat die für eine Darstellung aller Geschäftsprozesse notwendigen Angaben ohnehin im Verfahrensverzeichnis nach § 4e BDSG vorzuhalten. Etwaige Versäumnisse des auskunftsverpflichteten Unternehmens begünstigen dieses nicht bei einem behördlichen Auskunftsverlangen. Hinzu kommt, dass bei einem Unternehmen – wie hier – mit einer weitverzweigten Konzernstruktur, welches auf verschiedenen Geschäftsfeldern tätig wird und ein hohes Kundenaufkommen hat, ein erhebliches öffentliches Interesse an einer umfassenden Kontrolle der Einhaltung datenschutzrechtlicher Bestimmungen besteht.

Wird einem Auskunftsbegehren nicht Folge geleistet, liegt regelmäßig auch ein besonderes Vollzugsinteresse vor, welche die Vollziehung des auf Auskunft gerichteten Verwaltungsakts schon vor dem gesetzlichen Ende der aufschiebenden Wirkung (§ 80b Abs. 1 VwGO) erfordern. Ein derartiges Vollzugsinteresse ergibt sich bereits aus § 38 Abs. 3 BDSG, wonach „Auskünfte unverzüglich zu erteilen sind“. Hier kommt die gesetzgeberische Intention zum Ausdruck, den Auskunftsverpflichteten zu einer zügigen Auskunft zu veranlassen, um den Zweck des BDSG, den Schutz des Einzelnen vor einer Beeinträchtigung seines Persönlichkeitsrechts durch Umgang mit seinen personenbezogenen Daten (§ 1 Abs. 1 BDSG), effektiv verwirklichen zu können. Ohne die Anordnung des Sofortvollzugs könnte sich sonst das auskunftsverpflichtete Unternehmen durch Klageerhebung für längere Zeit der Auskunftspflicht entziehen.

Bewertung der Entscheidung und Handlungsempfehlung:

Wer personenbezogene Daten verarbeitet (als Auftragsdatenverarbeiter oder verantwortliche Stelle) und von der zuständigen Aufsichtsbehörde nach § 38 Abs. 3 S. 1 BDSG mit der Bitte um Auskunftserteilung angesprochen wird, tut gut daran, sich unverzüglich mit der Aufsichtsbehörde über die von dort erbetenen Informationen abzustimmen und diese ebenso unverzüglich der Aufsichtsbehörde zugänglich zu machen. Ist dies nicht möglich, sollte – abhängig von den Gründen – ein Weg gesucht werden, wie die Auskünfte in Abstimmung mit der Aufsichtsbehörde sukzessive oder betriebsteilbezogen gestaffelt erteilt werden können. Anderenfalls drohen – wenn die Aufsichtsbehörde hingehalten oder gar getäuscht wird – mit Zwangsgeldern bewehrte, sofort vollziehbare Auskunftsverfügungen oder gar Untersagungsverfügungen nach § 38 Abs. 5 BDSG, welche die betrieblichen Abläufe empfindlich stören können.