Auskunftsersuchen der Datenschutzbehörden - rechtsstaatlich selten einwandfrei
Datenschutzbehörden stellen gerne Fragen. Bisweilen suchen sie sich Unternehmen einer bestimmten Branche aus und übersenden Fragebögen. Fragen der Behörde an das Unternehmen sind auch die übliche Reaktion, wenn sich ein Bürger bei der Datenschutzbehörde über ein Unternehmen beschwert.
Muss ein Unternehmen Fragen der Datenschutzbehörde beantworten?
Nach Art. 58 Abs. 1 lit. a DSGVO und § 40 Abs. 4 Satz 1 BDSG kann die Behörde von Unternehmen Auskünfte verlangen.
Auskunftsverpflichtungen gegenüber einer Behörde sind stets mit einem Grundrechtseingriff verbunden, für den es einer gesetzlichen Ermächtigungsnorm bedarf. Entsprechende Normen finden sich beispielsweise im Gewerbe-, Steuer- und Sozialversicherungsrecht:
- Nach § 29 Abs. 1 GewO sind Gewerbetreibende zu Auskünften verpflichtet:
„Gewerbetreibende … haben den Beauftragten der zuständigen öffentlichen Stelle auf Verlangen die für die Überwachung des Geschäftsbetriebs erforderlichen mündlichen und schriftlichen Auskünfte unentgeltlich zu erteilen.“
- Auskunftsverpflichtungen bestehen nach § 93 Abs. 1 Satz 1 AO auch gegenüber dem Finanzamt:
„Die Beteiligten und andere Personen haben der Finanzbehörde die zur Feststellung eines für die Besteuerung erheblichen Sachverhalts erforderlichen Auskünfte zu erteilen.“
- Nach § 98 Abs. 1 Satz 1 SGB X ist der Arbeitgeber in Angelegenheiten der Sozialversicherung auskunftspflichtig:
„Soweit es in der Sozialversicherung einschließlich der Arbeitslosenversicherung im Einzelfall für die Erbringung von Sozialleistungen erforderlich ist, hat der Arbeitgeber auf Verlangen dem Leistungsträger oder der zuständigen Einzugsstelle Auskunft über die Art und Dauer der Beschäftigung, den Beschäftigungsort und das Arbeitsentgelt zu erteilen.“
Verwaltungszwang bei Verwaltungsakt
All diese Auskunftsverpflichtungen sind mit den Mitteln des Verwaltungszwangs durchsetzbar (zum SGB X vgl. etwa Scholz in Kasseler Kommentar Sozialversicherungsrecht, Stand August 2019, § 98 X, Rz. 15). Die Erzwingbarkeit der Auskünfte ist zugleich die unmittelbare Rechtswirkung, die durch ein behördliches Auskunftsersuchen entsteht. Es handelt sich daher bei den behördlichen Auskunftsersuchen um Verwaltungsakte im Sinne des § 35 Satz 1 VwVfG (Härting/Fliesek/Thiess, "DSGVO: Der Verwaltungsakt wird zum Normalfall" CR 2018, 296 ff.).
Für die Auskunftsverpflichtungen gegenüber dem Finanzamt entschied der Bundesfinanzhof (BFH) im Jahre 2011, dass es sich bei Auskunftsersuchen des Finanzamts um Verwaltungsakte handelt (§ 118 AO), wenn die Finanzbehörde zu erkennen gibt, dass sie von einer erzwingbaren Auskunftsverpflichtung ausgeht:
„Das FG hat ferner dem Vorlage- und Auskunftsverlangen des FA vom 8. März 2005 zu Unrecht die Eigenschaft als Verwaltungsakt (§ 118 AO) abgesprochen. Zwar ist im Umfeld von Außenprüfungen die Grenze zwischen reinen Hilfs- und Vorbereitungsmaßnahmen ohne Regelungscharakter und Verwaltungsakten nicht immer eindeutig. Im Streitfall zeigt aber die mit einer Androhung von Zwangsmitteln verbundene Wiederholung der Aufforderung zu einem späteren Zeitpunkt gerade, dass es sich um ein erzwingbares (Auskunfts-)Verlangen … und damit um einen den Fortgang des Verwaltungsverfahrens regelnden Verwaltungsakt i.S. von § 118 AO handelte.“ (BFH v. 28.9.2011 - VIII R 8/09, OSO Rz. 33)
Gehen die Datenschutzbehörden bei Auskunftsersuchen per Verwaltungsakt vor?
Die Praxis der Aufsichtsbehörden bei den Auskunftsersuchen ist uneinheitlich. Soweit uns bekannt, übersendet bislang keine der Behörden ihre Fragen routinemäßig per förmlichem Verwaltungsakt.
Ohne Rechtsbehelfsbelehrung: Ein Auskunftsersuchen mit einer Rechtsbehelfsbelehrung (§ 37 Abs. 6 VwVfG) haben wir bislang nicht gesehen. Achtzehn Monate nach Inkrafttreten der DSGVO gehört dies zu den gravierenden Unzulänglichkeiten der behördlichen Aufsichtspraxis.
Lange Klagefrist: Das Fehlen einer Rechtsbehelfsbelehrung bedeutet naturgemäß nicht, dass es sich bei einem Auskunftsersuchen nicht um einen Verwaltungsakt handelt. Die Frist für eine Anfechtungsklage verlängert sich indes auf ein Jahr (§ 58 Abs. 2 VwGO). Weshalb die Aufsichtsbehörden das Risiko sich verlängernder Klagefristen hinnehmen und von Rechtsbehelfsbelehrungen absehen, ist nicht nachvollziehbar.
Drohung mit VA: Zum Teil versuchen die Aufsichtsbehörden, die Förmlichkeiten des Verwaltungsrechts dadurch zu umschiffen, dass sie ihren Auskunftsersuchen einen Nachsatz beifügen. In diesem Nachsatz heißt es dann, dass zwar keine Antwortpflicht bestehe, man jedoch für den Fall der Nichtbeantwortung einen Verwaltungsakt erlassen werde, der zur Beantwortung verpflichtet. Der Nachsatz ist zwar inhaltlich zutreffend, führt jedoch regelmäßig zu Verwirrung bei den betroffenen Unternehmen. Eine transparente, leicht nachvollziehbare Verwaltungspraxis sieht anders aus.
Wie gehen die Datenschutzbehörden mit Auskunftsverweigerungsrechten um?
40 Abs. 4 Satz 3 BDSG verpflichtet die Aufsichtsbehörden zur Belehrung über das Auskunftsverweigerungsrecht gemäß § 40 Abs. 4 Satz 2 BDSG (vgl. Härting/Konrad, "Warum Schweigen Gold sein kann: Auskunftsersuchen der Datenschutzbehörden", CRonline Blog v. 16.9.2019). Dieser Verpflichtung kommen die Behörden in ihren Auskunftsersuchen auch in aller Regel nach.
Perplexe Wirkung: Der Hinweis auf das Auskunftsverweigerungsrecht trägt zur weiteren Verwirrung bei, wenn die Behörden zugleich – per Nachsatz – auf die (ohnehin) fehlende Auskunftsverpflichtung hinweisen und für den Fall der Nichtbeantwortung den Erlass eines förmlichen Auskunftsbescheids in Aussicht stellen. Wie soll Otto Normalunternehmer derartig widersprüchliche Hinweise verstehen?
Welche Bedeutung hat die Kooperationsverpflichtung nach Art. 31 DSGVO?
Zur Verwirrung trägt weiterhin bei, dass die Datenschutzbehörden in ihren Auskunftsersuchen vielfach auf Art. 31 DSGVO hinweisen:
„Der Verantwortliche und der Auftragsverarbeiter und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.“
Keine Eingriffsnorm: Art. 31 DSGVO ist keine Eingriffsnorm, aus der sich konkrete Handlungspflichten der Verantwortlichen und Auftragsverarbeiter ableiten lassen. Die Kommentarliteratur ist sich weitgehend einig, dass sich aus Art. 31 DSGVO jedenfalls keine Befugnisse der Datenschutzbehörden ableiten lassen, die über Art. 58 Abs. 1 DSGVO hinausgehen (vgl. nur Martini in Paal/Pauly, DSGVO, 2. Aufl. 2018, Art. 31 Rz. 23 ff. m.w.N.).
Irreführung: Auskunftsverpflichtungen, die sich nicht aus Art. 58 Abs. 1 lit. a DSGVO ableiten lassen, können sich auch nicht aus Art. 31 DSGVO ergeben. Daher sind die verbreiteten (vagen) Hinweise der Aufsichtsbehörden auf Art. 31 DSGVO irreführend. Wenn die Behörden die Adressaten ihrer Auskunftsersuchen zutreffend über ihre Rechte und Pflichten informieren möchten, muss Art. 31 DSGVO unerwähnt bleiben.
Welche Bedeutung hat die Rechenschaftsverpflichtung nach Art. 5 Abs. 2 DSGVO?
Zum Teil wird die Rechenschaftsverpflichtung nach Art. 5 Abs. 2 DSGVO so verstanden, dass Datenverarbeiter verpflichtet seien, gegenüber der zuständigen Aufsichtsbehörde die Rechtmäßigkeit der Datenverarbeitung nach Art. 5 Abs. 1 DSGVO nachzuweisen. Hieraus wird von den Behörden gelegentlich abgeleitet, dass Unternehmen nach Art. 5 Abs. 2 DSGVO verpflichtet seien, entsprechende Fragen der Aufsichtsbehörden zu beantworten. Art. 5 Abs. 2 DSGVO lautet:
„Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“
Irrelevanz: Die Norm regelt materiellrechtliche Pflichten des Verantwortlichen. Sie erweitert weder die Befugnisse der Aufsichtsbehörden nach Art. 58 Abs. 1 DSGVO noch ist Art. 5 Abs. 2 DSGVO überhaupt irgendeine Regelung zu derartigen Eingriffsbefugnissen zu entnehmen. Somit ist Art. 5 Abs. 2 DSGVO für Auskunftsersuchen der Datenschutzbehörden in jeder Hinsicht irrelevant.
Die einzigen Rechtsgrundlagen für diese Ersuchen sind:
- Anweisung alle Informationen bereitzustellen nach Art. 58 Abs. 1 lit. a DSGVO und
- Verlangen nach Auskunftserteilung nach § 40 Abs. 4 Satz 1 BDSG.
Gibt es Grenzen der Auskunftsverpflichtung?
Nicht jede Frage, die eine Behörde in einem Auskunftsersuchen stellt, muss auch beantwortet werden. Keine Antwortpflicht besteht insbesondere bei unbestimmten und unverhältnismäßigen Fragen sowie bei Fragen, die sich nicht auf Tatsachen beziehen.
Bestimmtheitsgebot: Ein Verwaltungsakt muss nach § 37 Abs. 1 VwVfG inhaltlich hinreichend bestimmt sein. Dies gilt auch für behördliche Auskunftsersuchen. Die Fragen der Behörde müssen somit so präzise formuliert sein, dass der Adressat erkennen kann, welche Informationen von ihm verlangt werden. Gegen das Bestimmtheitsgebot kann es daher verstoßen, wenn ein Beschwerdeführer sehr pauschale Vorwürfe gegen ein Unternehmen erhebt und die Behörde das Unternehmen lediglich – ebenso pauschal – auffordert, zu diesen Vorwürfen Stellung zu nehmen. In einem solchen Fall sollte die Behörde jedenfalls vor einer Beantwortung der Frage um Präzisierung gebeten werden.
Erforderlichkeit zur Aufgabenerfüllung: Ebenso wie § 29 Abs. 1 GewO, § 93 Abs. 1 Satz 1 AO und § 98 Abs. 1 Satz 1 SGB X beschränkt sich auch die Auskunftsverpflichtung nach Art. 58 Abs. 1 lit. a DSGVO auf Informationen, die für die Erfüllung der behördlichen Aufgaben „erforderlich“ sind. Die Behörde darf nicht ohne Weiteres „ins Blaue hinein“ Ermittlungen führen und in diesem Zusammenhang ohne klares Ziel Auskunftsersuchen an Unternehmen verschicken:
„Nach ständiger Rechtsprechung des BFH muss für Nachforschungen sowohl nach unbekannten Steuerpflichtigen als auch nach bisher unbekannten steuerlichen Sachverhalten ein hinreichender Anlass bestehen. Ein solcher liegt vor, wenn aufgrund konkreter Anhaltspunkte (z.B. wegen der Besonderheit des Objektes oder der Höhe des Wertes) oder aufgrund allgemeiner Erfahrung (auch konkreter Erfahrungen für bestimmte Gebiete) die Möglichkeit einer Steuerverkürzung in Betracht kommt und daher eine Anordnung bestimmter Art angezeigt ist. Ermittlungen "ins Blaue hinein", Rasterfahndungen, Ausforschungsdurchsuchungen oder ähnliche Ermittlungsmaßnahmen sind unzulässig. Für ein berechtigtes Auskunftsverlangen ist aber ausreichend, dass die Steuerfahndung im Rahmen einer Prognoseentscheidung im Wege vorweggenommener Beweiswürdigung nach pflichtgemäßem Ermessen zu dem Ergebnis gelangt, dass die Auskunft zu steuererheblichen Tatsachen zu führen vermag.“ (BFH v. 16.5.2013 - II R 15/12, OSO Rz. 53)
Verhältnismäßigkeit: Mit der Begrenzung der Auskunftspflicht auf Informationen, die für die Erfüllung der behördlichen Aufgaben „erforderlich“ sind, trägt Art. 58 Abs. 1 lit. a DSGVO dem Verhältnismäßigkeitsgrundsatz Rechnung. Aus dem Verhältnismäßigkeitsgrundsatz kann sich daher auch im Einzelfall ergeben, dass die Beantwortung von Fragen unzumutbar ist, da sie einen Aufwand erfordern würde, der außer Verhältnis zu dem konkreten Untersuchungszweck steht.
Tatsachen: Die Auskunftspflicht nach Art. 58 Abs. 1 lit. a DSGVO bezieht sich auf die Datenverarbeitungsprozesse im Unternehmen und somit auf Tatsachen. Die rechtliche Würdigung dieser Tatsachen ist dagegen eine Aufgabe, die die Behörde selbst erledigen kann und muss. Dies wird gelegentlich übersehen, wenn Behörden beispielsweise nach einer Begründung fragen, weshalb eine Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO die Verarbeitung personenbezogener Daten rechtfertigen soll. Die Anwendung des Art. 6 Abs. 1 Satz 1 lit. f DSGVO ist eine Rechtsfrage, zu deren Klärung die Behörde zwar mit den Datenverarbeitungsprozessen im Unternehmen vertraut gemacht werden muss, für die die Rechtsauffassung des Unternehmens jedoch ohne Belang ist.
Fazit
- Auskunftsersuchen gehören zum Alltagsgeschäft der Datenschutzbehörden. Daher ist es verwunderlich, dass die Ersuchen nach wie vor nicht als förmliche Verwaltungsakte erlassen werden.
- Rechtsgrundlage für die Auskunftsersuchen ist Art. 58 Abs. 1 lit. a DSGVO sowie § 40 Abs. 4 Satz 1 BDSG. Ohne Belang sind Art. 31 DSGVO und die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO).
- Nicht jede Frage, die eine Behörde stellt, muss (und sollte) beantwortet werden. Unter den Voraussetzungen des § 40 Abs. 4 Satz 2 BDSG (Selbstbelastung) besteht ein Auskunftsverweigerungsrecht. Zudem besteht keine Antwortpflicht bei unbestimmten und unverhältnismäßigen Fragen sowie bei Fragen, die nicht auf Tatsachen, sondern auf rechtliche Wertungen abzielen.
(Diesen Beitrag habe ich gemeinsam mit meinem Kollegen Lasse Konrad verfasst: https://www.haerting.de/team/lasse-konrad. Der Beitrag ist der fünfte Teil der Beitragsreihe zur “DSGVO im Rechtsstaat”)