Aufgaben und Befugnisse der Datenschutzaufsichtsbehörde

Artikel von Dr. Datenschutz·19. Juni 2020

Die datenschutzrechtlichen Aufsichtsbehörden in Deutschland haben eine Vielzahl verschiedener gesetzlich verankerter Aufgaben und Befugnisse, die in diesem Beitrag aufgezeigt werden.

Der Inhalt im Überblick

Europäische und nationale Datenschutzaufsichtsbehörden
Nationale Datenschutzaufsichtsbehörden in Deutschland
- Stellung der nationalen Datenschutzaufsichtsbehörden
Aufgabenkatalog der nationalen Datenschutzaufsichtsbehörden
- Unterteilung der Aufgaben nach Interessensgruppen
- Hauptaufgaben der Datenschutzaufsichtsbehörde
Befugnisse der nationalen Datenschutzaufsichtsbehörden
- Geldbußen zur Durchsetzung von Befugnissen

Europäische und nationale Datenschutzaufsichtsbehörden

Neben den nationalen Datenschutzaufsichtsbehörden gibt es auch den europäischen Datenschutzausschuss, der aus der Artitel-29-Datenschutzgruppe hervorgegangen ist und mit eigener Rechtspersönlichkeit „sui generis“ gem. Art. 68 Abs. 1 DSGVO ausgestattet ist. Mitglied dieses europäischen Datenschutzausschusses ist gem. Art. 68 Abs. 3 DSGVO der Leiter der nationalen Aufsichtsbehörde. Im Falle der Bundesrepublik Deutschland ist der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) gem. § 17 Abs. 1 S. 1 BDSG Teil dieser Ausschusses und vertritt nach dort den Standpunkt aller deutscher Aufsichtsbehörden.

Der europäische Datenschutzausschuss trifft rechtsverbindliche Entscheidungen, deren Umsetzung den nationalen Aufsichtsbehörden obliegt. Er handelt dabei weisungsfrei und unabhängig. Um die einheitliche Umsetzung der datenschutzrechtlichen Vorgaben auf europäischer Ebene zu erreichen, stellt er Leitlinien und Empfehlungen bereit.

Nationale Datenschutzaufsichtsbehörden in Deutschland

Jedes Bundesland hat gem. § 40 BDSG eine Landesdatenschutzbeauftragten, d.h. es gibt insgesamt 16 Landesdatenschutzbeauftragte in Deutschland. Diese sind grundsätzlich sowohl für öffentliche als auch nicht-öffentliche Stellen (d.h. Unternehmen) gleichermaßen zuständig.

Anders verhält es sich in Bayern, wo es zu dem Landesdatenschutzbeauftragten, der für öffentliche Landesstellen zuständig ist, noch die Landesaufsichtsbehörde für nicht öffentliche Stellen (Unternehmen) gibt.

Berücksichtigt man noch den Bundesbeauftragten für Datenschutz und Informationsfreiheit gibt es insgesamt 18 Aufsichtsbehörden in Deutschland (16x Landesdatenschutzbeauftragte, 1x BfDI und 1x BayLDA). Näheres hierzu inklusive Kontaktdaten zu den einzelnen Aufsichtsbehörden haben wir in diesem Artikel dargestellt: Datenschutzbeauftragte von Bund und Ländern

Stellung der nationalen Datenschutzaufsichtsbehörden

Die Stellung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit manifestiert sich in § 18 BDSG, wohingegen sich die Stellung der nationalen Aufsichtsbehörden, also der 16 Landesdatenschutzbeauftragten und des BayLDA, aus Art. 52 DSGVO ergibt. Letztere handeln unabhängig und weisungsfrei, ohne direkte oder indirekte Beeinflussung von außen, um eine einheitliche Anwendung der DSGVO herbeizuführen und deren Umsetzung zu überwachen und die Zusammenarbeit der Aufsichtsbehörden untereinander zu gewährleisten.

Grundsätzlich sind die nationalen Aufsichtsbehörden nur im Hoheitsgebiet ihres Mitgliedsstaates nach Art. 55 Abs. 1 DSGVO. Bei Grenzüberschreitenden Datenverarbeitungen gibt es jedoch die Möglichkeit einer federführende Aufsichtsbehörde gem. Art. 56 DSGVO i.V.m. Art. 60 DSGVO, die von der örtlich zuständigen Aufsichtsbehörde zu unterrichten ist. Als federführende Aufsichtsbehörde kommt die Aufsichtsbehörde (One Stop Shop) in Betracht, in deren Zuständigkeitsbereich sich die Hauptniederlassung oder die einzige Niederlassung des Verantwortlichen befindet.

Zu beachten ist jedoch, dass eine Übertragung der Zuständigkeit auf die federführende Aufsichtsbehörde dann nicht in Frage kommt, wenn der Verantwortliche die Daten nach

Art. 6 Abs. 1 S. 1 c DSGVO zur Erfüllung einer rechtlichen Verpflichtung erforderlich verarbeitet oder nach
Art. 6 Abs. 1 S. 1 e DSGVO zur Erfüllung einer Aufgabe im öffentlichen Interesse erforderlich verarbeitet wird oder in Ausübung öffentlicher Gewalt erfolgt.

Aufgabenkatalog der nationalen Datenschutzaufsichtsbehörden

Ein umfangreicher Aufgabenkatalog, den die deutschen Datenschutzaufsichtsbehörden in ihrem jeweiligen Hoheitsgebiet zwingend zu erfüllen haben, findet sich in Art. 57 DSGVO. Daneben existiert

noch der Verweis aus Art. 57 Abs. 1 lit. v DSGVO „der jede sonstige Aufgabe im Zusammenhang mit personenbezogenen Daten“ als Aufgabe miteinbezieht
sowie die Öffnungsklauseln für die Mitgliedsstaaten für Aufgabenzuweisungen aufgrund nationaler Gesetze.

Mit diesen gesetzlichen Regelungen hat die DSGVO die Aufgaben der Datenschutzaufsichtsbehörde ausgeweitet.

Unterteilung der Aufgaben nach Interessensgruppen

Die Aufgaben, die die Datenschutzaufsichtsbehörde nach der DSGVO und den Erwägungsgründen EG 123 sowie EG 132 wahrnehmen muss, bestehen gegenüber verschiedenen Interessensgruppen

der Öffentlichkeit
nationalen Parlamenten, Regierungen, Behörden inkl. anderer Aufsichtsbehörden
den Betroffenen
den Auftragsverarbeitern
den Verantwortlichen

Hauptaufgaben der Datenschutzaufsichtsbehörde

Zu den elementaren Aufgaben der Datenschutzaufsichtsbehörde zählen

die Bearbeitung von Anfragen und Beschwerden der Betroffenen in Art. 57 Abs. 1 lit. e, f DSGVO
die Untersuchung über die Durchführung der DSGVO (Art. 57 Abs. 1 lit h DSGVO) anzustellen
die Durchführung der DSGVO zu überwachen und durchzusetzen
die Verantwortlichen für die Verpflichtungen aus der DSGVO zu sensibilisieren.

Zu den weiteren Aufgaben zählen unter anderem

die Black- und Whitelisten für die Datenschutz-Folgenabschätzung
die Prüfung von Zertifizierungen und deren Erteilung
die Festlegung von Kriterien für den internationalen Datenverkehr
die Festlegung von Standardvertragsklauseln

Befugnisse der nationalen Datenschutzaufsichtsbehörden

Um diese Aufgaben erfüllen zu können und das Ziel, die Schaffung eines gleichwertigen Datenschutzniveaus innerhalb der EU mittels eines einheitlichen Vollzugsrahmens zu erreichen (s. EG 123, EG 129) , behält sie zum einen die Entwicklungen der Informations-/Kommunikationstechnologie in der Unternehmenspraxis im Auge und wird in Art. 58 DSGVO mit einem umfangreichen Befugniskatalog ausgestattet, um die Überwachung und Durchsetzung der DSGVO zu erreichen. Die Befugnisse lassen sich in folgende Kategorien unterteilen:

Untersuchungsbefugnisse Art. 58 Abs. 1 DSGVO (mit und ohne Anlass)
Abhilfebefugnisse Art. 58 Abs. 2 DSGVO
Genehmigungsbefugnisse und beratende Befugnisse Art. 58 Abs. 3 DSGVO

Geldbußen zur Durchsetzung von Befugnissen

Daneben gibt es noch die Möglichkeit der Geldbußen nach Art. 83 DSGVO. Insbesondere verdeutlicht Art. 83 Abs. 2 DSGVO i.V.m. Art. 58 Abs. 2 DSGVO, dass die Aufsichtsbehörde ihre Befugnisse mittels verhängter Geldbußen nachhaltig durchsetzen kann. Es steht der Datenschutzaufsichtsbehörde frei, die Geldbuße anstelle einer Abhilfemaßnahme oder zusätzlich hierzu, zu verhängen. Die Geldbuße soll vor allem wirksam, verhältnismäßig und abschreckend sein, wie sich aus dem DSK: Modell zur Berechnung von DSGVO Bußgeldern ergibt.

Für den Verantwortlichen von wesentlicher datenschutzrechtlicher Bedeutung ist in der täglichen Praxis die Beratungsfunktion der Datenschutzaufsichtsbehörde. Nicht nur die Höhe der möglichen Geldbußen auch das Verlangen vieler, sich rechtstreu zu verhalten, veranlasst Verantwortliche Hilfe bei den Behörden hinsichtlich der Behandlung gewisser Sachverhalten zu erlangen. Inwieweit die Beratung des Verantwortlichen in der Tat zu den Befugnissen der Datenschutzaufsichtsbehörde zählt, wird in einem nachfolgenden Artikel behandelt.

- Artikel-29-Datenschutzgruppe
  Meldung von Datenschutzverletzung: EDSA aktualisiert LeitlinienFachbeitrag·13. April 2023
- Europäischer Datenschutzausschuss: Aufgaben & OrganisationFachbeitrag·1. November 2022
- Verarbeitest du noch oder anonymisierst du schon?Fachbeitrag·13. August 2019
Mehr zum Thema
- Bayerischer Landesbeauftragter für den Datenschutz
  BayLDA: Good-Practice-Checkliste für KI-ToolsNews·7. Februar 2024
- Unzulässiger Einsatz von Mailchimp und die FolgenNews·30. März 2021
- Rechtsgrundlage für die Weitergabe von Kontaktdaten im B2B-BereichFachbeitrag·2. Mai 2019
Mehr zum Thema
- Bußgeld
  DSGVO-Bußgeld: Haften Unternehmen für Mitarbeiter?Urteil·16. April 2024
- Top 5 DSGVO-Bußgelder im März 2024News·3. April 2024
- Top 5 DSGVO-Bußgelder im Februar 2024News·4. März 2024
Mehr zum Thema
- Bußgeldverfahren
  DSGVO-Bußgeld: Haften Unternehmen für Mitarbeiter?Urteil·16. April 2024
- Top 5 DSGVO-Bußgelder im Juni 2022News·4. Juli 2022
- Top 5 DSGVO-Bußgelder im Februar 2022News·2. März 2022
Mehr zum Thema
- Europäischer Datenschutzausschuss
  EDSA Leitlinien zur Berechnung von DSGVO-BußgeldernFachbeitrag·23. Mai 2022
- Die neuen Standardvertragsklauseln: Eine BestandsaufnahmeFachbeitrag·24. November 2021
- EDPB: Guidelines zu Privacy by Design und Privacy by DefaultFachbeitrag·21. November 2019
Mehr zum Thema
- Landesdatenschutzbeauftragter
  Frauenpower: Specht-Riemenschneider wird neue BfDINews·18. April 2024
- Verhaltensregel zur Auftragsverarbeitung – „Trusted Data Processor“Fachbeitrag·16. August 2023
- Erste Überwachungsstelle für Verhaltensregeln akkreditiertNews·14. September 2022
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.

Die „spezifischen Aufsichtsbehörden“ (vgl. § 18 Abs. 1 Satz 4 BDSG) z.B. bei den öffentlich-rechtlichen Rundfunkanstalten oder den Kirchen haben Sie wohl vergessen ?

Prof. Dr. Armin Herb am 30. Juni 2020, 10:42 Uhr

Antworten
- Aufgrund deren Spezialität und um den Rahmen des Blogbeitrags nicht zu sprengen, wurden diese vom Autor bewusst weggelassen. Die eigene Aufsicht der Kirchen hatten wir bspw. bereits in einem Artikel und im Podcast zu Datenschutz in der Kirche angeschnitten.
  
  Dr. Datenschutz am 2. Juli 2020, 17:10 Uhr
  
  Antworten
[Gelöscht. Off-Topic.]

Dr. Herb am 12. Juli 2022, 14:14 Uhr

Antworten