Aufgaben und Befugnisse der Datenschutzaufsichtsbehörde

Fachbeitrag

Die datenschutzrechtlichen Aufsichtsbehörden in Deutschland haben eine Vielzahl verschiedener gesetzlich verankerter Aufgaben und Befugnisse, die in diesem Beitrag aufgezeigt werden.

Europäische und nationale Datenschutzaufsichtsbehörden

Neben den nationalen Datenschutzaufsichtsbehörden gibt es auch den europäischen Datenschutzausschuss, der aus der Artitel-29-Datenschutzgruppe hervorgegangen ist und mit eigener Rechtspersönlichkeit „sui generis“ gem. Art. 68 Abs. 1 DSGVO ausgestattet ist. Mitglied dieses europäischen Datenschutzausschusses ist gem. Art. 68 Abs. 3 DSGVO der Leiter der nationalen Aufsichtsbehörde. Im Falle der Bundesrepublik Deutschland ist der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) gem. § 17 Abs. 1 S. 1 BDSG Teil dieser Ausschusses und vertritt nach dort den Standpunkt aller deutscher Aufsichtsbehörden.

Der europäische Datenschutzausschuss trifft rechtsverbindliche Entscheidungen, deren Umsetzung den nationalen Aufsichtsbehörden obliegt. Er handelt dabei weisungsfrei und unabhängig. Um die einheitliche Umsetzung der datenschutzrechtlichen Vorgaben auf europäischer Ebene zu erreichen, stellt er Leitlinien und Empfehlungen bereit.

Nationale Datenschutzaufsichtsbehörden in Deutschland

Jedes Bundesland hat gem. § 40 BDSG eine Landesdatenschutzbeauftragten, d.h. es gibt insgesamt 16 Landesdatenschutzbeauftragte in Deutschland. Diese sind grundsätzlich sowohl für öffentliche als auch nicht-öffentliche Stellen (d.h. Unternehmen) gleichermaßen zuständig.

Anders verhält es sich in Bayern, wo es zu dem Landesdatenschutzbeauftragten, der für öffentliche Landesstellen zuständig ist, noch die Landesaufsichtsbehörde für nicht öffentliche Stellen (Unternehmen) gibt.

Berücksichtigt man noch den Bundesbeauftragten für Datenschutz und Informationsfreiheit gibt es insgesamt 18 Aufsichtsbehörden in Deutschland (16x Landesdatenschutzbeauftragte, 1x BfDI und 1x BayLDA). Näheres hierzu inklusive Kontaktdaten zu den einzelnen Aufsichtsbehörden haben wir in diesem Artikel dargestellt: Datenschutzbeauftragte von Bund und Ländern

Stellung der nationalen Datenschutzaufsichtsbehörden

Die Stellung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit manifestiert sich in § 18 BDSG, wohingegen sich die Stellung der nationalen Aufsichtsbehörden, also der 16 Landesdatenschutzbeauftragten und des BayLDA, aus Art. 52 DSGVO ergibt. Letztere handeln unabhängig und weisungsfrei, ohne direkte oder indirekte Beeinflussung von außen, um eine einheitliche Anwendung der DSGVO herbeizuführen und deren Umsetzung zu überwachen und die Zusammenarbeit der Aufsichtsbehörden untereinander zu gewährleisten.

Grundsätzlich sind die nationalen Aufsichtsbehörden nur im Hoheitsgebiet ihres Mitgliedsstaates nach Art. 55 Abs. 1 DSGVO. Bei Grenzüberschreitenden Datenverarbeitungen gibt es jedoch die Möglichkeit einer federführende Aufsichtsbehörde gem. Art. 56 DSGVO i.V.m. Art. 60 DSGVO, die von der örtlich zuständigen Aufsichtsbehörde zu unterrichten ist. Als federführende Aufsichtsbehörde kommt die Aufsichtsbehörde (One Stop Shop) in Betracht, in deren Zuständigkeitsbereich sich die Hauptniederlassung oder die einzige Niederlassung des Verantwortlichen befindet.

Zu beachten ist jedoch, dass eine Übertragung der Zuständigkeit auf die federführende Aufsichtsbehörde dann nicht in Frage kommt, wenn der Verantwortliche die Daten nach

  • Art. 6 Abs. 1 S. 1 c DSGVO zur Erfüllung einer rechtlichen Verpflichtung erforderlich verarbeitet oder nach
  • Art. 6 Abs. 1 S. 1 e DSGVO zur Erfüllung einer Aufgabe im öffentlichen Interesse erforderlich verarbeitet wird oder in Ausübung öffentlicher Gewalt erfolgt.

Aufgabenkatalog der nationalen Datenschutzaufsichtsbehörden

Ein umfangreicher Aufgabenkatalog, den die deutschen Datenschutzaufsichtsbehörden in ihrem jeweiligen Hoheitsgebiet zwingend zu erfüllen haben, findet sich in Art. 57 DSGVO. Daneben existiert

  • noch der Verweis aus Art. 57 Abs. 1 lit. v DSGVO „der jede sonstige Aufgabe im Zusammenhang mit personenbezogenen Daten“ als Aufgabe miteinbezieht
  • sowie die Öffnungsklauseln für die Mitgliedsstaaten für Aufgabenzuweisungen aufgrund nationaler Gesetze.

Mit diesen gesetzlichen Regelungen hat die DSGVO die Aufgaben der Datenschutzaufsichtsbehörde ausgeweitet.

Unterteilung der Aufgaben nach Interessensgruppen

Die Aufgaben, die die Datenschutzaufsichtsbehörde nach der DSGVO und den Erwägungsgründen EG 123 sowie EG 132 wahrnehmen muss, bestehen gegenüber verschiedenen Interessensgruppen

  • der Öffentlichkeit
  • nationalen Parlamenten, Regierungen, Behörden inkl. anderer Aufsichtsbehörden
  • den Betroffenen
  • den Auftragsverarbeitern
  • den Verantwortlichen

Hauptaufgaben der Datenschutzaufsichtsbehörde

Zu den elementaren Aufgaben der Datenschutzaufsichtsbehörde zählen

  • die Bearbeitung von Anfragen und Beschwerden der Betroffenen in Art. 57 Abs. 1 lit. e, f DSGVO
  • die Untersuchung über die Durchführung der DSGVO (Art. 57 Abs. 1 lit h DSGVO) anzustellen
  • die Durchführung der DSGVO zu überwachen und durchzusetzen
  • die Verantwortlichen für die Verpflichtungen aus der DSGVO zu sensibilisieren.

Zu den weiteren Aufgaben zählen unter anderem

  • die Black- und Whitelisten für die Datenschutz-Folgenabschätzung
  • die Prüfung von Zertifizierungen und deren Erteilung
  • die Festlegung von Kriterien für den internationalen Datenverkehr
  • die Festlegung von Standardvertragsklauseln

Befugnisse der nationalen Datenschutzaufsichtsbehörden

Um diese Aufgaben erfüllen zu können und das Ziel, die Schaffung eines gleichwertigen Datenschutzniveaus innerhalb der EU mittels eines einheitlichen Vollzugsrahmens zu erreichen (s. EG 123, EG 129) , behält sie zum einen die Entwicklungen der Informations-/Kommunikationstechnologie in der Unternehmenspraxis im Auge und wird in Art. 58 DSGVO mit einem umfangreichen Befugniskatalog ausgestattet, um die Überwachung und Durchsetzung der DSGVO zu erreichen. Die Befugnisse lassen sich in folgende Kategorien unterteilen:

  • Untersuchungsbefugnisse Art. 58 Abs. 1 DSGVO (mit und ohne Anlass)
  • Abhilfebefugnisse Art. 58 Abs. 2 DSGVO
  • Genehmigungsbefugnisse und beratende Befugnisse Art. 58 Abs. 3 DSGVO

Geldbußen zur Durchsetzung von Befugnissen

Daneben gibt es noch die Möglichkeit der Geldbußen nach Art. 83 DSGVO.  Insbesondere verdeutlicht Art. 83 Abs. 2 DSGVO i.V.m. Art. 58 Abs. 2 DSGVO, dass die Aufsichtsbehörde ihre Befugnisse mittels verhängter Geldbußen nachhaltig durchsetzen kann. Es steht der Datenschutzaufsichtsbehörde frei, die Geldbuße anstelle einer Abhilfemaßnahme oder zusätzlich hierzu, zu verhängen. Die Geldbuße soll vor allem wirksam, verhältnismäßig und abschreckend sein, wie sich aus dem DSK: Modell zur Berechnung von DSGVO Bußgeldern ergibt.

Für den Verantwortlichen von wesentlicher datenschutzrechtlicher Bedeutung ist in der täglichen Praxis die Beratungsfunktion der Datenschutzaufsichtsbehörde. Nicht nur die Höhe der möglichen Geldbußen auch das Verlangen vieler, sich rechtstreu zu verhalten, veranlasst Verantwortliche Hilfe bei den Behörden hinsichtlich der Behandlung gewisser Sachverhalten zu erlangen. Inwieweit die Beratung des Verantwortlichen in der Tat zu den Befugnissen der Datenschutzaufsichtsbehörde zählt, wird in einem nachfolgenden Artikel behandelt.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

  1. Die „spezifischen Aufsichtsbehörden“ (vgl. § 18 Abs. 1 Satz 4 BDSG) z.B. bei den öffentlich-rechtlichen Rundfunkanstalten oder den Kirchen haben Sie wohl vergessen ?

    • Aufgrund deren Spezialität und um den Rahmen des Blogbeitrags nicht zu sprengen, wurden diese vom Autor bewusst weggelassen. Die eigene Aufsicht der Kirchen hatten wir bspw. bereits in einem Artikel und im Podcast zu Datenschutz in der Kirche angeschnitten.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.