Datenschutzaufsichtsbehörden und ihre Aufgaben und Befugnisse

Datenschutzaufsichtsbehörden und ihre Aufgaben und Befugnisse

In wahrscheinlich jedem unserer Blog-Beiträge wird sie erwähnt: die Datenschutzaufsichtsbehörde bzw. die Datenschutzbeauftragten. Bisher haben wir aber noch nicht die Datenschutzaufsichtsbehörden und ihre Aufgaben und Befugnisse im ausführlicheren Stil erläutert. Dies ändert sich mit diesem Beitrag.

Datenschutzaufsichtsbehörden in der EU

Die EU selbst hat einen Datenschutzbeauftragten. Dieser berät die Datenschutzaufsichtsbehörden der EU-Mitgliedsstaaten: Gemäß Art. 51 Abs. 1 DSGVO i. V. m. ErwG. 117 S. 2 hat jeder EU-Mitgliedsstaat mindestens einen Datenschutzbeauftragten zu benennen. Gefördert wird die Zusammenarbeit zwischen den Datenschutzaufsichtsbehörden der Mitgliedsstaaten durch den Europäischen Datenschutzausschuss. Mit Blick auf Deutschland existiert eine umfangreiche Hierarchie mit verschiedenen Verantwortlichkeiten.

Datenschutzaufsichtsbehörden Deutschlands

In Deutschland gibt es

1)    jeweils eine Datenschutzaufsichtsbehörde für jedes Bundesland; in Bayern gibt es sogar zwei Aufsichtsbehörden: eine für den öffentlichen und eine für den privaten Sektor,

2)    vier Datenschutzbeauftragte für den Religionsbereich und

3)    die Rundfunkdatenschutzbeauftragten sowie

4)    den Bundesbeauftragten, der auch als Vertreter für alle deutschen Datenschutzbeauftragten agiert.

Hier finden Interessenten die Links zu den einzelnen Aufsichtsbehörden.

Aufgaben einer Datenschutzaufsichtsbehörde nach Art. 57 DSGVO

Die Aufgaben der Datenschutzaufsichtsbehörden sind vielseitig. Demnach sind sie gemäß Art. 57 Abs. 1 DSGVO – stark zusammengefasst –

1)    dafür verantwortlich, die Bürger zum Datenschutzrecht zu informieren und sie bei der Ausübung ihrer Rechte zu unterstützen.

2)    Sie müssen die Einhaltung der DSGVO überwachen und durchsetzen,

3)    mit anderen Datenschutzaufsichtsbehörden diesbezüglich zusammenarbeiten und

4)    dafür sorgen, dass jegliche Einrichtungen die Vorschriften der DSGVO einhalten.

5)    Des Weiteren müssen sie jeglichen datenschutzrechtlichen Beschwerden nachgehen,

6)    Bereiche der Industrie, Gesetzgebung etc. im Auge behalten, sofern diese einen Einfluss auf den Datenschutz und der Verarbeitung personenbezogener Daten haben könnten.

7)    Sie müssen auch datenschutzrechtliche Verträge und Garantien festlegen und autorisieren sowie

8)    die Ausarbeitung von Regelungen und Zertifizierungen zum Datenschutz und zur Datensicherheit fördern, bestätigen und überwachen.

9)    Die Datenschutzaufsichtsbehörden müssen mit dem Datenschutzausschuss zusammenarbeiten und ihren Beitrag leisten und auch

10)  jegliche Datenschutzverstöße dokumentieren.

11)  Fallen anderen Aufgaben zum Datenschutz an, müssen die Datenschutzaufsichtsbehörden auch diese bearbeiten.

Befugnisse einer Datenschutzaufsichtsbehörde nach Art. 58 DSGVO

Aus den Aufgaben der Datenschutzaufsichtsbehörden ergeben sich die Befugnisse nach Art. 58 DSGVO.

Untersuchungsbefugnisse nach Art. 58 Abs. 1 DSGVO

Um ihre Aufgaben vollumfänglich erfüllen zu können, hat eine Datenschutzaufsichtsbehörde u. a. die Befugnis, Verantwortliche im Bezug zur Verarbeitung personenbezogener Daten zu überprüfen, was – zusammengefasst – beinhaltet, dass sie

1)    verlangen darf, entsprechende Informationen von einem Verantwortlichen zu erhalten,

2)    Überprüfungen – auch vor Ort – bei einem Verantwortlichen durchführen sowie

3)    auf einen vermeintlichen Verstoß hinweisen darf.

Abhilfebefugnisse nach Art. 58 Abs. 2 DSGVO

Weiterführend verfügt eine Datenschutzaufsichtsbehörde über Abhilfebefugnisse. So darf sie

1)    einen Verantwortlichen warnen, sofern eine geplante Verarbeitung voraussichtlich gegen das Datenschutzrecht verstoßen wird oder auch

2)    verwarnen, wenn ein Verantwortlicher schon gegen die DSGVO verstoßen hat.

3)    Daraus folgend hat eine Datenschutzaufsichtsbehörde auch die Befugnis, einen Verantwortlichen anzuweisen, seine Verarbeitungsvorgänge in Einklang mit dem Datenschutzrecht zu bringen

4)    oder einen Verantwortlichen sogar anzuweisen, eine Verarbeitungstätigkeit einzuschränken oder diese gar zu verbieten – dies umfasst auch die Übermittlung von personenbezogenen Daten in ein Drittland oder an eine internationale Organisation.

5)    Sie darf eine Zertifizierung widerrufen bzw. eine Zertifizierungsstelle anweisen, eine Zertifizierung zu widerrufen oder sie nicht zu erteilen.

6)    Im Bezug zu den betroffenen Personen kann eine Datenschutzaufsichtsbehörde einen Verantwortlichen anweisen, den Anträgen betroffener Personen, die Gebrauch von ihren Rechten machen, nachzukommen; dies umfasst auch die Benachrichtigung der Betroffenen bei einer Datenschutzverletzung oder die Berichtigung, Löschung, Einschränkung gemäß Artt. 16 – 18 DSGVO und die betroffenen Personen folglich auch darüber zu informieren.

7)    Sie darf auch das machen, wovon in den Medien am meisten gesprochen wird: Bußgelder verhängen.

Genehmigungsbefugnisse nach Art. 58 Abs. 3 DSGVO

Hinzukommen aber auch ihre Beratungsbefugnisse, nach denen die Datenschutzaufsichtsbehörde

1)    Verantwortliche zu einer geplanten Verarbeitungstätigkeit beraten und diese Tätigkeit gegebenenfalls dann auch genehmigen darf.

2)    Stellungnahmen abgeben sowie

3)    Entwürfe von Verhaltensregeln billigen kann.

4)    Es steht der Aufsichtsbehörde auch zu, Zertifizierungsstellen zu akkreditieren oder

5)    Zertifizierungen erteilen und

6)    Kriterien für Zertifizierungen zu billigen.

7)    Hinzukommt, dass sie ebenfalls Standarddatenschutzklauseln festlegen,

8)    Vertragsklauseln,

9)    Verwaltungsvereinbarungen sowie

10    verbindliche interne Vorschriften genehmigen darf.

Fazit

Leider erfahren wir noch immer oft genug, dass Einrichtungen jeder Art, sogar staatliche, die DSGVO selbst nach über zwei Jahren Anwendbarkeit nicht ernst nehmen. Die Abgabenordnung oder das Steuergesetzbuch werden schließlich für gewöhnlich auch befolgt. Die Frage ist nun, warum dies nicht auch mit der DSGVO so ist. Auch diese Verordnung ist zu beachten und ernst zu nehmen. Denn hier drohen sonst – wie oben erwähnt – Bußgelder, Schadenersatzansprüche betroffener Personen oder Abmahnungen der Konkurrenz. Eventuell geht mit einem Datenschutzverstoß auch ein Verstoß gegen ein anderes Gesetz einher.

Wir empfehlen daher jeder Einrichtung – egal, ob Arztpraxis, Behörde, schulische Einrichtung, Verein, Unternehmen o. A. – die Verarbeitung im Einklang mit der DSGVO vorzunehmen, die entsprechende Dokumentation dafür zu erstellen und alles zu dokumentieren. Wir helfen Ihnen gern dabei und beraten Sie. Kontaktieren Sie uns am besten noch heute für ein unverbindliches Angebot.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.