Sebastian Karch

Sebastian Karch

– Kann ein Datenschutzverstoß zum Entzug der Gewerbeerlaubnis führen? –

von Rechtsanwalt Sebastian Karch (Kanzlei Michaelis)

Die klare Antwort vorweg: „Ja, das ist theoretisch möglich.“

Datenschutzaufsichtsbehörde darf an Gewerbeamt melden

Das seit Mai letzten Jahres wirksame neue Datenschutzrecht räumt den Datenschutzaufsichtsbehörden diverse Befugnisse ein, im Detail nachzulesen in Art. 58 EU-Datenschutzgrundverordnung (DSGVO) und § 40 Bundesdatenschutzgesetz (BDSG). Demnach können Aufsichtsbehörden etwa die betroffenen Personen über sie betreffende Verstöße gegen Datenschutzvorschriften selbst unterrichten sowie Anzeige bei den für die Verfolgung und Ahndung zuständigen Stellen, z. B. Staatsanwaltschaften oder Ordnungsbehörden, erstatten.

„Schwerwiegende Verstöße“ können die Aufsichtsbehörden den Gewerbeaufsichtsbehörden zur Kenntnis geben. Die Anzeige bei den Gewerbeaufsichtsbehörden soll die Einleitung gewerberechtlicher Maßnahmen ausdrücklich ermöglichen.

Was ist ein „schwerwiegender Verstoß“ im Sinne von § 40 BDSG?

Das neue Gesetz bestimmt zwar nicht, welche Anforderungen genau an einen „schwerwiegenden Verstoß“ zu stellen sind, definiert diesen Begriff also nicht. Aus dem Regelungszusammenhang ergibt sich aber, dass die Befugnis zur Unterrichtung der Gewerbeaufsichtsbehörden dann besteht, wenn Verstöße gegen datenschutzrechtliche Bestimmungen zugleich relevant sind für eine mögliche Gewerbeuntersagung wegen Unzuverlässigkeit nach § 35 Gewerbeordnung (GewO).

Der DSGVO selbst ist in ihrer Bußgeldnorm in Art. 83 Abs. 2 DSGVO zu entnehmen, dass für die Bestimmung der Höhe des Bußgeldbetrages Antworten auf Fragen eine Rolle spielen, wie etwa:

– Wieviele Personen sind vom Datenschutzverstoß betroffen?

– Wurde der Datenschutzverstoß vorsätzlich oder fahrlässig begangen?

– Ist das der erste Datenschutzverstoß oder gab es frühere Verstöße?

– Sind „besondere personenbezogene Daten“ betroffen?

Weiterhin ist der DSGVO selbst zu entnehmen, dass ein Verstoß gegen die Datenschutzgrundsätze aus Art. 5 DSGVO oder gegen das grundsätzliche Verbot zur Verarbeitung „besonderer personenbezogener Daten“, z. B. Gesundheitsdaten, aus Art. 9 Abs. 1 DSGVO als schwerwiegendere Verstöße angesehen werden, als Verstöße gegen z. B. die Bedingungen für die Einwilligung von Kindern aus Art. 8 DSGVO.

Diese Maßstäbe dürften die deutschen Aufsichtsbehörden auch für die Klärung der Frage ansetzen, ob der konkrete Verstoß ein „schwerwiegender Verstoß“ im Sinne von § 40 Absatz 3 Satz 3 BDSG ist, der an die Gewerbeaufsicht gemeldet werden kann.

Wie sich bereits aus dem Wortlaut ergibt („so ist sie befugt“), handelt es sich um eine sogenannte „Kann-Vorschrift“, d.h. dass es im Ermessen der Aufsichtsbehörde liegt, ob tatsächlich eine Meldung an die Gewerbeaufsicht abgegeben wird oder nicht. § 40 Abs.7 BDSG regelt dabei ausdrücklich, dass „die Anwendung der Gewerbeordnung unberührt bleibt.“ Dies bedeutet, dass die Gewerbeordnung auch problemlos neben dem Datenschutzgesetz anwendbar ist. Daraus lässt sich aber auch ableiten, dass eine laufende Zusammenarbeit von Datenschutz- und Gewerbebehörden vom Gesetz nicht vorgeschrieben wird.

Man kann also festhalten, dass die Gefahr durchaus besteht, aber vom konkreten Datenschutzverstoß und dem von der Aufsichtsbehörde ausgeübten Ermessen abhängt, ob diese tatsächlich auch die Gewerbeaufsicht darüber informiert. Von der Grundüberlegung her ist auch klar, dass das Risiko dafür, je nach Schweregrad des Datenschutzverstoßes steigt.

Merke:

1. Aufsichtsbehörden können bei „schwerwiegenden Verstößen“ von sich aus eine Meldung an die Gewerbeaufsicht abgeben.

2. Die Wahrscheinlichkeit für eine Meldung bemisst sich je nach Schweregrad des konkreten Datenschutzverstoßes. Bei besonders groben Verstößen, darf der Gewerbetreibende auch mit dieser Folge rechnen.

Gewerberechtliche Zuverlässigkeitsprüfung, § 35 Abs. 1 GewO

So eine Meldung wäre dann für die Gewerbeaufsicht der Anstoß zur Prüfung der Gewerbeuntersagung wegen Unzuverlässigkeit nach § 35 Abs. 1 GewO.

Wir verlassen an dieser Stelle gedanklich das Datenschutzrecht, welches die Verwirklichung des Art. 8 Grundrechtecharta[1] (GRCh) als Schutzziel hat und begeben uns in das Wirtschaftsverwaltungsrecht, in Form des Gewerberechts, welches andere grundrechtliche Schutzgüter verfolgt, als das Datenschutzrecht, nämlich die durch die Berufsfreiheit garantierte Gewerbefreiheit.

Eine Gewerbeuntersagung würde natürlich die grundgesetzlich eingeräumte Gewerbefreiheit / Gewerbeausübung einschränken. Zweck der Vorschrift ist es, einen Missbrauch der Gewerbefreiheit schnell und wirksam zu verhindern. Bei der Prüfung der Gewerbeuntersagung nach § 35 GewO, prüft die Gewerbeaufsicht daher stets, ob der Gewerbetreibende die erforderliche gewerberechtliche Zuverlässigkeit zur Ausübung seines Gewerbes noch besitzt. Denn sein grundgesetzlich geschütztes Recht auf Gewerbefreiheit kann nicht leichtfertig eingeschränkt werden. Die Interessen der Allgemeinheit müssen im konkreten Einzelfall überwiegen.

Als unzuverlässig ist anzusehen, wer nach dem Gesamtbild seines Verhaltens nicht die Gewähr dafür bietet, das von ihm ausgeübte Gewerbe künftig ordnungsgemäß zu betreiben. Viel konkreter wird die Gesetzesnorm nicht. Denn § 35 Abs. 1 GewO sieht eine nicht näher bestimmte Gewerbebezogenheit des Unzuverlässigkeitskriteriums vor, so dass bei der Auslegung des Begriffs der Unzuverlässigkeit stets das betroffene Gewerbe und der konkrete Schutzzweck der einschlägigen Norm (bspw. § 34d Abs. 1 GewO) einzubeziehen sind.

Zudem kann sich an höchstrichterlich geklärten Einzelfällen der Vergangenheit orientiert werden.

Gründe für Unzuverlässigkeit:

– Missachtung steuerrechtlicher Pflichten: Steuererklärungen werden nicht oder ständig verspätet eingereicht; Zahlungen an das Finanzamt nicht oder ständig verspätet gezahlt;

– Missachtung sozialversicherungspflichtiger Pflichten: Sozialversicherungsbeiträge werden nicht oder ständig verspätet abgeführt;

– die eidesstattliche Versicherung über das Vermögen muss abgegeben werden oder es ergeht Haftbefehl zur Erzwingung der Abgabe der eidesstattlichen Versicherung;

– es fehlen die für die (zuverlässige) Gewerbeausübung notwendigen finanziellen Mittel.

– Begehung von Straftaten oder Ordnungswidrigkeiten, die im Zusammenhang mit einer Gewerbeausübung stehen oder Auswirkung auf eine Gewerbetätigkeit haben könnten;

Datenschutzverstöße können auch strafrechtliche Konsequenzen haben. Straftatbestände als Rechtsfolge für Datenschutzverstöße gibt es im Strafgesetzbuch (StGB), im Telekommunikationsgesetz (TKG) sowie im Zehnten Buch Sozialgesetzbuch (SGB X), aber natürlich auch im neuen Bundesdatenschutzgesetz, wonach gemäß § 42 Abs. 1 BDSG der illegale Datenhandel mit einer Freiheitsstrafe von bis zu drei Jahren geahndet werden kann, wenn personenbezogene Daten gewerbsmäßig, wissentlich und unberechtigt weitergegeben wurden. Daneben gibt es auch die zahlreichen Ordnungswidrigkeitentatbestände des Art. 83 DSGVO, wie z. B. das vorsätzliche oder fahrlässige Versäumnis einen Datenschutzbeauftragten zu bestellen, welches eine bußgeldbewehrte Ordnungswidrigkeit gemäß Art. 83 Abs. 4 DSGVO darstellt.

Demzufolge können Datenschutzverstöße generell auch dazu geeignet sein, um eine gewerberechtliche Unzuverlässigkeit festzustellen.

Konkrete Tatsachen müssen vorliegen

Die Gewerbeaufsicht hat also eine Prognose dahingehend abzugeben, ob der Gewerbetreibende keine Gewähr (mehr) für eine ordnungsgemäße Ausübung des von ihm betriebenen Gewerbes bietet. Ein Anfangsverdacht reicht dafür schon aus.

Wenn nun eine Aufsichtsbehörde ein Bußgeld wegen eines „schwerwiegenden Datenschutzverstoßes“ verhängt und dieses der Gewerbeaufsicht meldet, so liegen ganz konkrete Tatsachen vor und es spricht theoretisch nichts dagegen, dass die Gewerbeaufsicht im konkreten Einzelfall auch noch zusätzlich die Unzuverlässigkeit des Gewerbetreibenden aufgrund seines „schwerwiegenden“ Datenschutzverstoßes feststellt.

Untersagung erforderlich zum Schutz der Allgemeinheit

In der weiteren Prüfung der Gewerbeaufsicht, prüft diese, ob die Gewerbeuntersagung auch dem Schutz der Allgemeinheit dient. Denn nur, wenn der Gewerbetreibende durch sein Verhalten die Allgemeinheit gefährdet, überwiegt das Behördeninteresse an der Gewerbeuntersagung gegenüber dem Grundrecht des Gewerbetreibenden auf Ausübung seines Gewerbes. Der Grundsatz der Verhältnismäßigkeit ist dabei von der Behörde natürlich zu beachten. Das bedeutet, dass es von allen Umständen des konkreten Einzelfalles abhängt, ob tatsächlich der Verstoß gegen den Datenschutz zum Entzug der Gewerbeerlaubnis führen kann. Theoretisch ist dies aber ohne weiteres möglich, wenn ein Gewerbetreibender die Grundrechte seiner Kunden oder anderer betroffener Personen auf Schutz der sie betreffenden Daten in großem Maße und / oder zum wiederholten Male missachtet und diese damit willentlich schädigt.

Merke:

Wenn schon die Datenschutzaufsichtsbehörde einen oder mehrere „schwerwiegende Verstöße“ festgestellt hat, welche zwangsläufig die Missachtung der Persönlichkeitsrechte von betroffenen Personen beinhalten, so spricht vieles dafür, dass auch eine Gewerbeaufsicht zu dem Ergebnis gelangt, dass dem Gewerbetreibenden zum Schutze der Allgemeinheit die Gewerbeerlaubnis aufgrund Unzuverlässigkeit entzogen gehört.

 

Besserung zu erwarten?

Letzter Hoffnungsschimmer wäre dann nur noch die Eigenverpflichtung zur Besserung. Wenn der Gewerbetreibende nachweislich größere Summen Geldmittel in die Hand nimmt, um seine Datenschutzverstöße in den Griff zu bekommen, könnte es sein, dass die Behörde noch einmal Milde vor Recht walten lässt. Das wäre aber nur als allerletzter Strohhalm anzusehen und kein Pferd, auf das man bei diesem Thema setzen sollte. Dafür steht nicht weniger als „Alles“ auf dem Spiel.

Fazit:

Gewerbetreibende müssen den Datenschutz ernst nehmen und im eigenen Betrieb umsetzen. Dies gehört zur Ausübung eines ordentlichen Gewerbes zweifelsohne dazu. Datenschutzverstöße können nicht nur Bußgelder der Datenschutzaufsichtsbehörden und eventuell Schadenersatzklagen von betroffenen Personen zur Folge haben. Im schlimmsten Fall ermittelt auch noch die Gewerbeaufsicht und entzieht am Ende die Gewerbeerlaubnis wegen Unzuverlässigkeit, weil „schwerwiegende Datenschutzverstöße“ vorliegen. Zugegebenermaßen stellt dies ein Worst-Case-Szenario dar, was nur bei besonders krassen Datenschutzverstößen zu erwarten ist. Aber nichtsdestotrotz sieht der Gesetzgeber dies ausdrücklich vor und ist daher für alle Gewerbetreibenden, die regelmäßig personenbezogene und besondere personenbezogene Daten verarbeiten, für den eigenen „Realitätscheck“ in Sachen Datenschutzkonformität im Hinterkopf zu behalten.

[1] Art. 8 Abs. 1 GRCh: „Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“