Die Stellung und Aufgaben des Datenschutzbeauftragten (DSB) sind ja bekanntlich in Artt. 38, 39 DSGVO festgelegt. Hierbei fokussiert sich das Gesetz natürlich auf datenschutzspezifische Themen, wie etwa die Aufgabe, den Verantwortlichen oder Auftragsverarbeiter zu beraten oder auch als Anlaufstelle für die Datenschutzbehörde zu agieren.
Eine Rolle als Vertreter des Verantwortlichen oder Auftragsverarbeiters nach außen, insbesondere prozessual, ist dem DSB in der DSGVO eigentlich nicht angedacht. Zumindest wird hierauf nicht eingegangen und eigentlich mag man sogar davon ausgehen, dass der DSB eine solche Vertretung gegenüber Aufsichtsbehörden wegen seiner unabhängigen Stellung (Art. 38 Abs. 3 DSGVO) nicht einnimmt.
In diesem Zusammenhang bin ich bei der Analyse der aktuellen Entscheidung des EDSA in dem Verfahren der irischen Aufsichtsbehörde gegen Twitter auf einen sehr interessanten und meines Erachtens hoch praxisrelevanten Aspekt gestoßen. Die Entscheidung des EDSA ist hier abrufbar und auch ansonsten lesenswert, handelt es sich doch auch um die erste bindende Entscheidung des EDSA in einem Streitbeilegungsverfahren nach Art. 65 DSGVO.
In der Beschreibung des Sachverhalts wird dort auch auf die Frage eingegangen, ob denn Twitter im Rahmen des durch die irische Datenschutzbehörde durchgeführten Verwaltungsverfahrens und der darauf folgenden Einleitung des Verfahrens nach Art. 65 DSGVO beim EDSA zuvor ordentlich angehört und beteiligt wurde. Achtung, es geht hier nicht um die Involvierung des DSB von Twitter an sich, sondern des Unternehmens in dem Verwaltungsverfahren selbst. Das Sekretariat des EDSA fragte hierzu bei der irischen Behörde an:
„On 4 September 2020, the Secretariat contacted the IE SA with additional questions in order to confirm whether TIC has been given the opportunity to exercise its‘ right to be heard regarding all the documents that were submitted to the Board for making its decision. On 8 September 2020, the IE SA confirmed that it was the case and provided the documents to prove it”.
Die “IE SA” ist die irische Behörde. „TIC“ ist die Abkürzung für Twitter.
Das EDSA Sekretariat verweist zuvor als Begründung auf Art. 41 Abs. 2 lit. a der Charta der Grundrechte der Europäischen Union. Danach hat jede Person das Recht, gehört zu werden, bevor ihr gegenüber eine für sie nachteilige individuelle Maßnahme getroffen wird. In der Rechtsprechung des EuGH wird stets die Bedeutung des Rechts auf Anhörung und seinen sehr weiten Geltungsumfang in der Unionsrechtsordnung bekräftigt. Das Recht auf Anhörung garantiert jeder Person die Möglichkeit, im Verwaltungsverfahren, bevor ihr gegenüber eine für ihre Interessen nachteilige Entscheidung erlassen wird, sachdienlich und wirksam ihren Standpunkt vorzutragen (EuGH, Urt. v. 22.11.2012 – C-277/11).
Die irische Datenschutzbehörde hat nach den obigen Ausführungen in der Entscheidung Dokumente an den EDSA geleitet, aus denen sich ergibt, dass das Unternehmen in dem Verwaltungsverfahren ordentlich angehört wurde. Hierzu verweist der Beschluss des EDSA in Fußnote 13 auf folgende Information:
„Amongst the documents sent by IE SA, there were emails from the Global DPO acknowledging receipt of the relevant documents”.
Der DSB von Twitter hat in dem Verfahren relevante Dokumente von der Behörde erhalten und deren Erhalt auch per E-Mail bestätigt.
Das bedeutet, dass der EDSA anscheinend für eine Anhörung in einem Verwaltungsverfahren auch die Kommunikation mit bzw. Adressierung des DSB, quasi als Vertreter des Unternehmens im Verwaltungsverfahren, als ausreichend ansieht.
In Deutschland kennen wir dieses Recht aus § 28 VwVfG. Danach sind es „Verfahrensbeteiligte“ iSv § 13 Abs. 1 und Abs. 2 bzw. deren Vertreter oder Bevollmächtigte (§ 14 VwVfG), denen das Recht auf Anhörung zusteht. Den DSB an sich würde man bei uns wohl nicht als Verfahrensbeteiligten oder Bevollmächtigten ansehen. Zumindest nicht ohne entsprechende Bevollmächtigung und von Sonderkonstellationen einer Anscheins- oder Duldungsvollmacht abgesehen. Würde sich die Ansicht des EDSA (basierend auf der Auslegung europäischen Rechts) durchsetzen, würde dies in der Praxis für Unternehmen bedeuten, dass eine Kommunikation mit der Aufsichtsbehörde intern auf jeden Fall klar strukturiert erfolgen muss. Denn im schlimmsten Fall haben interne Abteilungen wie Legal oder Compliance keine Kenntnis von der Kommunikation mit der Behörde, diese würde aber von einer ordentlichen Anhördung des Unternehmens ausgehen. Klingt für mich insgesamt auch nach einer spannenden Frage zum Verhältnis zwischen DSGVO (bzw. der Charta) und nationalem Verfahrensrecht.