Die Aufsichtsbehörden haben eine Vielzahl verschiedener, in der DSGVO verankerter Aufgaben und Befugnisse, wie die Verhängung von Sanktionen oder die Prüfung von Zertifizierungen. Dieser Beitrag geht hingegen auf die Frage ein, inwieweit auch die Beratung des Verantwortlichen zu den Aufgaben der Datenschutzaufsichtsbehörde gehört.
Der Inhalt im Überblick
Die Beratungsfunktion der Datenschutzaufsichtsbehörde
Im alten Bundesdatenschutzgesetz war die Beratungsfunktion der Datenschutzaufsichtsbehörde gegenüber dem Verantwortlichen und dessen Datenschutzbeauftragten klar in § 38 Abs. 1 BDSG a.F. geregelt, wie in unserem Blog dargelegt. Diese Beratung sollte sogar unter Berücksichtigung der typischen, also praxisorientierten, Bedürfnisse des Verantwortlichen und dessen Datenschutzbeauftragten präventiv und konstruktiv erfolgen, um Datenschutzverstößen vorzubeugen.
Gesetzliche Reglung
Hingegen gibt es in der DSGVO hinsichtlich der Beratung des Verantwortlichen und dessen Datenschutzbeauftragen keine explizite Regelung mehr. Vielmehr wurde in § 40 Abs. 1 BDSG nachweislich die Beratung des Datenschutzbeauftragten und dessen Verantwortlichen gestrichen.
Gesetzlich verankert bleiben noch drei Beratungsleistungen:
- Art. 58 Abs. 3 DSGVO, der der Aufsichtsbehörde sämtliche Genehmigungsbefugnisse und beratende Befugnisse zuschreibt, um in den in Art. 58 Abs. 3 lit. a bis j DSGVO vorgesehenen Bereichen agieren zu können.
- Art. 57 Abs. 1 lit. c DSGVO, der der Aufsichtsbehörde die Beratung des nationalen Parlaments zuschreibt.
- § 40 Abs. 6 S. 1 BDSG, der der Aufsichtsbehörde die Beratung des Datenschutzbeauftragten zuschreibt.
Dementsprechend reagieren die Aufsichtsbehörden zunehmend zurückhaltend, was die Beratung des Verantwortlichen anbelangt. Gerade kurz nach Anwendbarkeit der DSGVO wurde dies offen kommuniziert. Entsprechende Anfragen werden abgelehnt oder es werden Antwortschreiben verfasst, die für den Verantwortlichen faktisch ohne die gewünschte praxisnahe Aussagekraft sind. Begründet wird das u.a. damit, dass keine Verpflichtung zur Beratung eingegangen werden, bzw. keine Wettbewerbsverzerrung durch staatliche Hilfeleistung mittels Beratung erfolgen soll und darüber hinaus keine explizite gesetzliche Befugnis zur Beratung vorläge. Im Hintergrund spielt oft auch die mangelnde Ausstattung sämtlicher Datenschutzbehörden eine Rolle.
Kann der Verantwortliche eine Datenschutzberatung einfordern?
Ebenso wenig wie es keine Befugnis zur Beratung des Verantwortlichen durch die Datenschutzaufsichtsbehörde gibt, besteht auch keinen Rechtsgrund den Verantwortlichen nicht zu beraten.
Rechtsgrund für die Beratung aufgrund systematischer Betrachtung
Eine solche Beratungsbefugnis könnte sich etwa aus der Zusammenschau von anderen Befugnissen ergeben, für deren Erfüllung die Beratung des Verantwortlichen eine notwendige Voraussetzung darstellt. Dies ist etwa bei Art. 58 Abs. 1 lit. d DSGVO der Fall
„Jede Aufsichtsbehörde verfügt über sämtliche folgende Untersuchungsbefugnisse, die es ihr gestatten, den Verantwortlichen […] auf einen vermeintlichen Verstoß gegen diese Verordnung hinzuweisen“.
Dies setzt voraus, dass Verarbeitungsvorgänge und Rechtsgründe eigenständig durch die Datenschutzaufsichtsbehörde geprüft werden, um ggf. einen Verstoß gegen die DSGVO feststellen zu können. Stellt die Behörde diesen fest, gibt Sie dem Verantwortliche einen Hinweis. Dieser Hinweis enthält zwangsläufig die Bewertung der vermeintlichen Rechtsgrundlage für die Datenverarbeitung und somit eine uneigenständige Beratungsleistung.
Selbst wenn man hieraus keine Beratungspflicht der Datenschutzaufsichtsbehörden gegenüber dem Verantwortlichen im Allgemeinen begründet, so gibt es doch eine Hintertür, für eine Beratung durch die Datenschutzaufsichtsbehörde.
Kann der Datenschutzbeauftragte eine Beratung einfordern?
Die Stellung des Datenschutzbeauftragten ist hinsichtlich der Stellung gegenüber der Datenschutzaufsichtsbehörde eine andere als die des Verantwortlichen, obwohl er für den Verantwortlichen tätigt wird. Denn grundsätzlich wird eine Zusammenarbeit des Datenschutzbeauftragten mit den Aufsichtsbehörden in Art. 39 DSGVO geregelt. Zu unterscheiden ist hierbei die Zusammenarbeit nach Art. 39 Abs. 1 lit. d DSGVO und die Tätigkeit des Datenschutzbeauftragten als Anlaufstelle der Datenschutzaufsichtsbehörde aus Art. 39 Abs. 1 lit. e DSGVO.
Proaktive Zusammenarbeit mit der Datenschutzaufsichtsbehörde
In § 4g Abs. 1 S. 1 BDSG a.F. war damals vorgesehen, dass der Datenschutzbeauftragte sich nur in Zweifelsfällen an die Aufsichtsbehörde wenden konnte.
Das gilt heute so nicht mehr. Vielmehr liegt die Zusammenarbeit nach Art. 39 Abs. 1 lit. d DSGVO im Ermessen des Datenschutzbeauftragten und ist weit zu verstehen. Sie ist nicht auf Zweifelsfälle beschränkt und ist als umfassende, allgemeine und proaktive Zusammenarbeit seitens des Datenschutzbeauftragten zu verstehen.
Nachdem die Zusammenarbeit im Ermessen des Datenschutzbeauftragten steht, besteht auch keine Pflicht hierzu. Das heißt, der Datenschutzbeauftragte ist nicht verpflichtet ein Vorgehen des Verantwortlichen, welches er als unzulässig betrachtet, bei der Datenschutzaufsichtsbehörde zu melden. Lediglich bei strafrechtlich relevanten Vorgängen, dürfte der Datenschutzbeauftragte verpflichtet sein, die Datenschutzaufsichtsbehörde zu konsultieren.
Jedenfalls kann der Datenschutzbeauftragte die für ihn kostenlose Beratung nach Art. 57 Abs. 1 i.V.m. Abs. 3 DSGVO in Anspruch nehmen.
Rechtsgrund für die Beratung des Datenschutzbeauftragten
Wie oben dargestellt, gibt es keine explizite Beratungsfunktion der Datenschutzaufsichtsbehörde gegenüber dem Verantwortlichen. Jedoch kann der Verantwortliche über die Hintertür des Datenschutzbeauftragten, dem nach Art. 39 DSGVO i.V.m. § 40 Abs. 6 S. 1 BDSG gegenüber der Datenschutzaufsichtsbehörde eine Beratung zusteht, eine Beratung erreichen, indem der Datenschutzbeauftragte die Anfrage in seinem Namen stellt.
Update: Im Saarland können für komplexe Beratungsanfragen durch den Datenschutzbeauftragten nach einer Änderung des allgemeinen Gebührenverzeichnis nun eine Verwaltungsgebühr von 100-10.000 € anfallen.
Beratung des Verantwortlichen als Ziel für die Zukunft
Letztendlich sollten sich die Datenschutzaufsichtsbehörden jedoch gegenüber der Beratung der Verantwortlichen nicht verschlossen zeigen und diese auch im eigenen Interesse, unabhängig von einer Verankerung im Gesetz, anbieten. Dies würde weder zu Wettbewerbsverzerrungen führen, noch ist eine Befangenheit der Behörde zu befürchten. Vielmehr wird durch die Beratung Rechtssicherheit und eine zügige Umsetzung eines gleichhohen Datenschutzniveaus erreicht.
Dies gilt umso mehr, als das die Beratung deshalb angefragt wird, weil Rechtsbegriffe unbestimmt sind, Unklarheit über deren Auslegung besteht und der datenschutzrechtlich sensibilisierte Verantwortliche sich von vornherein gesetzeskonform verhalten will. Dieses Verhalten sollte in einem Rechtsstaat unterstützt werden, schafft es doch für alle Beteiligten Rechtsklarheit. Le/tztendlich wird bei gleicher Handhabung über alle 16 Datenschutzaufsichtsbehörden hinweg auch Gerechtigkeit unter Berücksichtigung des Gleichbehandlungsgrundsatzes in Art. 3 Abs. 1 GG erreicht und damit auch einer Wettbewerbsverzerrung entgegengewirkt.
Im Übrigen bleibt es der Datenschutzaufsichtsbehörde unbenommen, eine einmal geäußerte Rechtsmeinung zu revidieren. Man darf wohl in einem Rechtsstaat davon ausgehen, dass diese Änderung der Rechtsauffassung nicht willkürlich erfolgt, sondern aufgrund einer beobachteten Markt- und Rechtsentwicklung, aus der heraus sich unter Berücksichtigung des Gesetzeszweckes, nämlich dem Erreichen eines einheitlichen Datenschutzniveaus, eine Notwendigkeit für die Änderung der Rechtsauffassung ergibt. Diese Änderung der Rechtsauffassung kann für die Zukunft auf vielfältige Weise, z. B. Aufsätze, Handlungsanweisungen etc. eingeleitet werden.
Personelle Kapazitäten, die die Datenschutzbehörde von der „zeitaufwendigen“ Beratung abhalten, sollten auch nicht als Argument angeführt werden. Alles was an Beratung nicht geleistet wird, muss hinterher bei der Überwachung in doppelter und dreifacher Weise aufgewendet werden. Es sei denn, eine flächendeckende Einhaltung des Gesetzes ist nicht intendiert.
Aus all diesen Gründen sollte weiterhin eine Beratungsleistung der Datenschutzaufsichtsbehörden angeboten werden. Immerhin ist im eingangs verwiesenen Fall das BayLDA zu einer ähnlichen Schlussfolgerung gekommen und auch das neueröffnete Bildungszentrum des LfDI Baden-Württemberg ist ein sehr positives Signal.
Das mit der Befangenheit bewerte ich anders als im Artikel dargestellt.
Ich habe selbst schon erlebt, wie eine Aufsichtsbehörde nach einer Beschwerde wegen unzulässiger Datenverarbeitung (noch unter BDSG a.F.) auf meine Beschwerde hin nicht mit einer Prüfung reagiert hat, sondern so, wie ich es von einem Anwalt oder Fürsprecher der verantwortlichen Stelle erwartet hätte.
Wie bitte soll es auch funktionieren, wenn eine Behörde eine Beratungsabteilung und eine Prüf- und Bußgeldabteilung hat, der Verantwortliche sich auf die Beratung verlässt und er dann von der anderen Abteilung ein Bußgeld bekommt? Oder soll die Bußgeldabteilung ein Auge zudrücken, wenn eine (falsche / überholte) Beratung vorausgegangen ist? Gibt es Amtshaftung für falsche Beratung?
Für die Behörde bestünde auch die Möglichkeit eine Warnung nach Art. 58 Abs. 2 lit b DSGVO auszusprechen, wenn diese feststellt, dass der Verantwortliche sich noch auf eine Beratung beruft, die nach der jetzigen Auffassung der Behörde überholt scheint. Ob es einen Amtshaftungsanspruch für Falschberatung gibt, lässt sich so pauschal nicht sagen. Sollte die Aussage schriftlich ggf. in Form eines Bescheides vorhanden sein, dürfte ein Abrücken der Behörde aus heiterem Himmel durchaus haftungsrechtlich relevant werden, wenn der Verantwortlich sich auf die Rechtsauffassung verlassen hat und mit Bußgeld sanktioniert wurde.