Zuweilen wenden sich Eingabeführer mit der Behauptung an ein Unternehmen, dieses habe einen Datenschutzverstoß begangen und drohen, dies an die Datenschutzaufsichtsbehörde zu melden (Datenschutzbeschwerde). Gleichzeitig bieten sie einen Deal an, nämlich davon Abstand zu nehmen, wenn das Unternehmen einen Geldbetrag zahlt oder eine andere „Gegenleistung“ an den Eingabeführer erbringt. Soll und kann ein Verantwortlicher auf so ein Angebot eingehen? Wie kann ein Unternehmen das umsetzen und wäre z.B. ein entsprechender Vertrag mit dem Betroffenen überhaupt wirksam?
Der Inhalt im Überblick
Behaupteter Datenschutzverstoß
In der Praxis haben Sie es vielleicht auch schon erlebt. Eine Person erhebt den Vorwurf, ein Unternehmen habe einen Datenschutzverstoß begangen oder verhalte sich datenschutzwidrig. Diese Person kann ein Betroffener oder auch ein Dritter sein (Eingabeführer). In diesem Zusammenhang bietet der Eingabeführer dann an, bei entsprechender „Gegenleistung“ des Unternehmens davon Abstand zu nehmen, den behaupteten Datenschutzverstoß an die zuständige Datenschutzaufsichtsbehörde zu melden.
Liegt eindeutig kein Datenschutzverstoß vor, wird das Unternehmen den Vorwurf zurückweisen. Schwierig wird es jedoch, wenn das Unternehmen feststellt, dass der Vorwurf des Eingabeführers berechtigt oder zumindest nicht eindeutig auszuschließen ist.
Gleiche und ähnliche Situationen werden im Zusammenhang mit – gegebenenfalls missbräuchlichen (Massen-)Abmahnungen angeblicher Datenschutzverstößen und gefordertem Schadenersatz diskutiert. Wir fokussieren uns jedoch in diesem Beitrag nur auf die Frage, ob es dem Verantwortlichen in diesen Situationen möglich ist, die vom Eingabeführer zugesagte „Nichtmeldung“ an die Datenschutzaufsichtsbehörde sicherzustellen.
Datenschutzbeschwerde an die Behörde und mögliche Folgen
Sowohl Betroffene als auch Jedermann kann einer Datenschutzbehörde Informationen über potenzielle Datenschutzverstöße mitteilen. Es handelt sich hierbei um die Ausübung des Betroffenenrechtes auf Beschwerde bei einer Aufsichtsbehörde gem. Art. 77 DSGVO, soweit die informierende Person hinreichend darlegt, dass sich ein Datenschutzverstoß auf ihre eigenen Daten bzw. damit einhergehenden Rechte bezieht.
Soweit der Vorwurf des Eingabeführers berechtigt oder zumindest nicht eindeutig auszuschließen ist, kann die Kenntnis der Datenschutzbehörde ganz erhebliche Konsequenzen haben. Nach Art. 58 DSGVO hat die zuständige Datenschutzbehörde Untersuchungs- (Absatz 1) und Abhilfebefugnisse (Absatz 2). Zu den Abhilfebefugnissen zählt gem. Absatz 2 Buchstabe i )
„… eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls…“
Das Sanktionsrisiko des Verantwortlichen erhöht sich bei solchen Meldungen signifikant, und zwar unabhängig davon, ob man der Ansicht folgt, eine Datenschutzbehörde habe gemeldete Datenschutzverstöße immer zu ahnden oder dieser einen Ermessensspielraum einräumt.
Verständlicher Weise versuchen Verantwortliche dies zu vermeiden und bevorzugen es in solchen Fällen eventuelle Datenschutzverstöße intern „lautlos“ abzustellen und zu erledigen.
Regelung der „Nichtmeldung“
Kann aber nun das „Angebot“ des Eingabeführers auf „Nichtmeldung an die Datenschutzbehörde“ umgesetzt werden, so dass es dem Verantwortlichen Sicherheit gibt?
Betrachten wir zunächst die Situation, dass der Eingabeführer eine „betroffene Person“ im Sinne von Art. 4 Nr. 1 DSGVO ist. Das bedeutet, der Eingabeführer behauptet ein datenschutzrechtswidriges Verhalten des Verantwortlichen beträfe seine eigenen Rechte bzw. Daten. Wie oben bereits dargestellt, stellt dann seine – mögliche – Eingabe bei der Datenschutzbehörde eine Ausübung des Betroffenenrechts nach Art. 77 DSGVO auf Beschwerde bei der Aufsichtsbehörde dar. Anders etwa als das Recht auf Auskunft nach Art. 15 DSGVO, bei welchem ja das Unternehmen Informationen und ggf. Kopien schuldet oder bei Schadensersatzansprüchen eines Betroffenen nach Art. 83 DSGVO, begründet das Recht auf Beschwerde bei der Aufsichtsbehörde keinen Anspruch des Eingabeführers gegen den Verantwortlichen. Damit scheitert die Umsetzung des „Verzichts“ auf die Beschwerde bei der Aufsichtsbehörde als Erlassvertrag und negatives Schuldanerkenntnis (§ 397 BGB) oder als außergerichtlicher Vergleich (§ 779 BGB).
Zulässigkeit von Deals
Zudem ist fraglich, – wie immer auch rechtlich eingeordnet und umgesetzt – ob private, abweichende Regelungen hierzu überhaupt zulässig sind, also Art. 77 DSGVO dispositiv ist. Eine ausdrückliche Regelung hierzu enthält weder die DSGVO noch das BDSG. Auch höchstrichterliche Entscheidungen fehlen hierzu bisher. Ein allgemeiner Verzicht, erscheint im Hinblick auf die Bedeutung der Vorschrift zur Unterstützung Betroffener und Gewährleistung der Einhaltung der DSGVO unwirksam. Angesichts der Ausgestaltung als Recht und der allgemeinen Freiheit zur Regelung eigener Angelegenheiten (Privatautonomie) muss dies nicht automatisch auch für eine einzelne konkrete Datenschutzverletzung gelten. Diskutiert wurde dies in ähnlicher Weise bei der Frage, ob ein Verzicht eines Betroffenen auf angemessene technische und organisatorische Maßnahmen wirksam möglich ist. Hier werden unterschiedliche Auffassungen vertreten (bejahend z.B. OLG Düsseldorf, Urteil vom 28.10.2021 – 16 U 275/20, Rdz. 73; nein mit Ausnahmen: DSK-Beschluss vom 24.11.2021).
Festzuhalten bleibt hier, dass es für Unternehmen unsicher bleibt, ob ein „Verzicht“ auf eine Beschwerde bei der Aufsichtsbehörde überhaupt möglich ist.
Handelt es sich bei dem Eingabeführer nicht um einen Betroffenen, so ist zwar Art. 77 DSGVO nicht einschlägig, Mitteilungen kann – wie oben schon erwähnt – jedoch jedermann an die Datenschutzbehörde machen. Hier gilt analog, dass ein Verzicht nicht als Erlassvertrag und negatives Schuldanerkenntnis (§ 397 BGB) oder als außergerichtlicher Vergleich (§ 779 BGB) umgesetzt werden kann.
Denkbar wäre eine Unterlassungsverpflichtung mit Vertragsstrafe bezogen auf den konkret behaupteten Datenschutzverstoß. Hier stellt sich aber ebenfalls die Frage der Wirksamkeit. So könnte ein solcher Vertrag als sittenwidrig angesehen werden. Dabei mag je nach den Umständen auch ein erpresserischer Aspekt eine Rolle spielen.
Auch hier gibt es also kein rechtlich sicheres Modell zur Umsetzung der Verpflichtung des Eingabeführers auf „Nichtmeldung“.
Keine Sicherheit vor Datenschutzbeschwerde
Unterstellen wir einmal es wäre möglich wirksame Vereinbarungen mit dem Eingabeführer zu treffen, so bleibt dennoch die Frage, ob ein Unternehmen sich dann sicher fühlen könnte. Sofern der Eingabeführer die Vereinbarung unterlaufen wollte, könne er einen Dritten veranlassen die Informationen bei der Datenschutzbehörde zu platzieren oder eine anonyme Meldung vornehmen. Ein Nachweis für die Verwirkung einer Vertragsstrafe wäre ggf. schwierig.
Im Falle der Erlangung der Informationen sähe sich die Datenschutzbehörde je nach den Umständen veranlasst der Meldung nachzugehen, da ihr nun einmal bestimmte „Verdachtsmomente“ vorliegen. Gegebenenfalls gibt es auch noch mögliche weitere Betroffene oder Dritte, welche ebenfalls Meldungen bei der Datenschutzbehörde vornehmen können oder bereits vorgenommen haben. In den Fällen mehrerer Eingabeführer müssten dann mehrere „Gegenleistungen“ erbracht werden. Auch aufgrund dieser Erwägungen ist der Sicherheitsgewinn für Unternehmen durch Vereinbarungen zur „Nichtmeldung“ zweifelhaft.
Für Unternehmen gibt es keine sichere Möglichkeit Absprachen mit Eingabeführern zu einem Verzicht auf das Recht auf Beschwerde bei der Aufsichtsbehörde nach Art. 77 DSGVO oder über die Nichtmeldung eines Datenschutzverstoßes bei der Aufsichtsbehörde zu treffen. Umso wichtiger ist die Einhaltung datenschutzrechtlicher Vorgaben und die zügige Beseitigung von Datenschutzproblemen
