Zum Inhalt springen Zur Navigation springen
DSGVO: Aufsichtsbefugnisse und Sanktionen der Aufsichtsbehörden

DSGVO: Aufsichtsbefugnisse und Sanktionen der Aufsichtsbehörden

Die unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) bietet der Öffentlichkeit auch eine erste Orientierungshilfe zu den Aufsichtsbefugnissen und Sanktionen der Aufsichtsbehörden im Rahmen der DSGVO. Die Aufsichtsbehörden äußern sich darin selbst zu ihren Aufsichts- und Abhilfebefugnissen, insbesondere der Bußgelder. Diese stellen wir für Sie daher in diesem Fachartikel näher dar.

Hintergrund

In dieser Woche hatten wir bereits darüber berichtet, dass die Datenschutzkonferenz seit Juli 2017 Auslegungshilfen zur Datenschutz-Grundverordnung (DSGVO), die unter den deutschen Aufsichtsbehörden abgestimmte einheitliche Sichtweisen zu verschiedenen Kernthemen der DSGVO enthalten, veröffentlicht. Die entsprechenden Kurzpapiere finden Sie hier.

Die unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz) ist ein Gremium, das sich mit aktuellen Datenschutzthemen in Deutschland befasst. Dieses Gremium besteht aus der Bundesdatenschutzbeauftragten, den Landesdatenschutzbeauftragten der Bundesländer sowie dem Präsidenten des Bayerischen Landesamtes für Datenschutzaufsicht.

Zu beachten ist dabei, dass die Kurzpapiere unter den Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung durch den Europäischen Datenschutzausschuss gestellt wurden.

Untersuchungs- und Abhilfebefugnisse

Die DSGVO bietet den Aufsichtsbehörden umfassende Untersuchungs- und Abhilfebefugnisse, um die datenschutzrechtlichen Vorgaben gegebenenfalls durchsetzen zu können. Viele Unternehmen fürchten dabei insbesondere die drohenden Geldbußen.

Warnungen

Aufsichtsbehörden können etwa nach Art. 58 DSGVO gegenüber Verantwortlichen und Auftragsverarbeitern Warnungen aussprechen, sofern Datenverarbeitungen beabsichtigt werden, die voraussichtlich einen Verstoß gegen datenschutzrechtliche Bestimmungen darstellen.

Anweisungen

Die Aufsichtsbehörden können den Verantwortlichen und Auftragsverarbeiter im Rahmen eines förmlichen Verwaltungsverfahren auch anweisen, den Rechten eines Betroffenen zu entsprechen.

Anordnung der Aussetzung der Übermittlung

Auch die Aussetzung einer Datenübermittlung kann von den Aufsichtsbehörden angeordnet werden, wenn sich der Empfänger in einem Drittland befindet oder es sich um eine internationale Organisation handelt. Dabei kann die Behörde auch weitere Beschränkungen und Verbote der Datenverarbeitung oder aber auch Berichtigungen oder Löschungen bestimmter Daten sowie eine Einschränkung der jeweiligen Datenverarbeitung anordnen.

Widerruf von Zertifizierungen

Selbst Zertifizierungen können von den Aufsichtsbehörden widerrufen werden. Die Aufsichtsbehörde kann den Widerruf selbst vornehmen oder die Zertifizierungsstelle anweisen, erteilte Zertifizierungen zu widerrufen oder neue Zertifizierungen nicht zu erteilen.

Hohe Bußgelder drohen

Für die meisten Verantwortlichen ist die Frage interessant, inwieweit die Aufsichtsbehörden (mitunter empfindliche) Geldbußen verhängen können.

Geldbußen von bis zu 10.000.000 € oder 20.000.000 € bzw. 2 % oder 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres führen bereits heute bei vielen Unternehmen zu enormen Unsicherheiten, zumal bei der Bemessung von Bußgeldern der Gesamtumsatz der Unternehmensgruppe (Mutter- und Tochtergesellschaften) zu Grunde gelegt wird. Darüber hinaus richtet sich die maximale Obergrenze für Bußgelder nach dem jeweils höheren Betrag und bereits ein Datenschutzverstoß eines Beschäftigten oder eines extern Beauftragten ist ausreichend.

Für die Bemessung der Geldbußen ist entscheidend, dass diese insbesondere wirksam und verhältnismäßig, aber auch abschreckend ist.

Nach Art. 83 Abs. 2 Satz 2 DSGVO können bei der Verhängung und Höhe einer Geldbuße beispielsweise folgende Aspekte Bedeutung erlangen:

  • Art, Schwere und Dauer des Verstoßes
  • die Art der Daten
  • die Zusammenarbeit mit den Aufsichtsbehörden
  • Meldung an die Aufsichtsbehörde
  • Grad der Verantwortung
  • Stand der technischen und organisatorischen Maßnahmen / Sicherheit der Verarbeitung, wie etwa interne Organisation, Ausgestaltung der Strukturen, Arbeitsprozesse und Kontrollmechanismen sowie datenschutzbezogene Vorkehrungen
  • Finanzielle Vorteile

Mitwirkungspflicht und weitere Konsequenzen

Sowohl die Verantwortlichen als auch die Auftragsverarbeiter können Mitwirkungspflichten treffen. So können diese zum Beispiel angewiesen werden, Informationen bereitzustellen.

Die Aufsichtsbehörden sind in der Lage, ihre Anordnungen auch mit Zwangsmitteln, beispielsweise eines Zwangsgeldes, durchzusetzen. Bestehen Zweifel an der Rechtmäßigkeit einer Anordnung, kann eine verwaltungsgerichtliche Klärung herbeigeführt werden.

Leitlinien des Europäischen Datenschutzausschusses

Möglich ist schließlich, dass der Europäische Datenschutzausschuss noch Leitlinien für die Anwendung von Maßnahmen der Aufsichtsbehörden und die Festsetzung der Bußgelder erlässt. Dies wäre aus unserer Sicht zu begrüßen, da in der Praxis hier teils erhebliche Unsicherheiten bestehen.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • wie sieht es eigentlich mit datenueberhebung durch den landesdatenschutzbeauftragten selbst aus? wenn der zb im rahmen seiner untersuchung blindwuetig daten sammelt zb?

      • wenn der landesdatenschutzbeauftragte einem (vermuteten) verstoss nachgeht und ermittlungen anstellt, zeugen befragt usw. kann es doch durchaus vorkommen, dass er dabei mehr mehr daten erhebt, als für die ermittlung notwendig; oder dass der landesdatenschutzbeauftragte sogar (z.b. aus politischem kalkül) gezielt unbeteiligte anschreibt

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.