Mit der neuen EU-Datenschutz-Grundverordnung (EU-DSGVO) wird in ca. zwei Jahren das europäische Datenschutzrecht in erheblichen Ausmaß vereinheitlicht werden. Neben den gesetzlichen Ausgestaltungen ist natürlich auch immer die Frage nach der Durchsetzung und den zuständigen Aufsichtsbehörden interessant. Daher beleuchten wir die künftige Rolle der Aufsichtsbehörden.
Der Inhalt im Überblick
- Mehr Aufgaben für die Aufsichtsbehörden
- Welche sind die wichtigsten Aufgaben der Datenschutzaufsichtsbehörden nach der EU-DSGVO?
- 1. Überwachung und Durchsetzung (Artikel 57 Abs. 1 lit. a EU-DSGVO)
- 2. Öffentlichkeitsarbeit (Artikel 57 Abs. 1 lit. b EU-DSGVO)
- 3. Aufklärung von Unternehmen zu datenschutzrechtlichen Pflichten (Artikel 57 Abs. 1 lit. d EU-DSGVO)
- 4. Klassifizierung von Datenverarbeitungsprozessen mit oder ohne zwingender Datenschutz-Folgenabschätzung (Artikel 57 Abs. 1 lit. k EU-DSGVO)
- 5. Genehmigung von Standardvertragsklauseln für Datentransfers ins EU-Ausland (Artikel 57 Abs. 1 lit. r EU-DSGVO)
- Wichtige Neuregelung: Welche Aufsichtsbehörde ist zukünftig zuständig? Was ist der „One-Stop-Shop“?
Mehr Aufgaben für die Aufsichtsbehörden
Auf die datenschutzrechtlichen Aufsichtsbehörden kommt künftig mehr Arbeit zu. Die Grundverordnung erweitert deren Aufgabenbereich erheblich. So enthält alleine Artikel 57 EU-DSGVO einen Aufgabenkatalog von 22 unterschiedlichen Einzelaufgaben. Dazu kommen weitere Aufgaben aus unterschiedlichen Artikeln der EU-DSGVO.
Welche sind die wichtigsten Aufgaben der Datenschutzaufsichtsbehörden nach der EU-DSGVO?
1. Überwachung und Durchsetzung (Artikel 57 Abs. 1 lit. a EU-DSGVO)
Hierbei handelt es sich um die Kernaufgabe der Aufsichtsbehörde, die selbstverständlich auch schon derzeit besteht. Jede für die Verarbeitung personenbezogener Daten verantwortliche Stelle – z.B. ein Unternehmen – ist der Aufsicht einer Datenschutzbehörde unterworfen. Diese hat weitgehende Kontroll- und Sanktionsbefugnisse, um Verstößen gegen das Datenschutzrecht zu begegnen.
2. Öffentlichkeitsarbeit (Artikel 57 Abs. 1 lit. b EU-DSGVO)
Neu hinzugekommen ist der Punkt „Öffentlichkeitsarbeit“. Die Aufsichtsbehörden sollen künftig z.B. über Risiken der Datenverarbeitung informieren. Wie genau die Öffentlichkeitsarbeit aussehen wird, bleibt abzuwarten. Unter dem Begriff kann vieles verstanden werden. Ob wir zukünftig Spots im Fernsehen sehen werden, in denen z.B. vor der Veröffentlichung von Kinderfotos auf sozialen Plattformen gewarnt wird?
3. Aufklärung von Unternehmen zu datenschutzrechtlichen Pflichten (Artikel 57 Abs. 1 lit. d EU-DSGVO)
Interessant ist die neue Aufgabe der Aufsichtsbehörden zur Aufklärung von Unternehmen. Es ist nun nicht mehr „nur“ ihre Aufgabe Unternehmen, die personenbezogene Daten verarbeiten, zu überwachen. Vielmehr sollen sie auch Aufklärungsarbeit leisten. Möglicherweise wird die Aufklärungsaufgabe die Aufsichtsbehörden dahingehend beeinflussen, dass bei festgestellten Verstößen zunächst „nur“ eine Aufklärung stattfindet und Sanktionen daher bei einem Erstverstoß ausbleiben. Hierfür würde jedenfalls sprechen, dass ein betroffenes Unternehmen gegenüber einer Sanktion einwenden könnte, die Behörde habe nicht ausreichend aufgeklärt.
4. Klassifizierung von Datenverarbeitungsprozessen mit oder ohne zwingender Datenschutz-Folgenabschätzung (Artikel 57 Abs. 1 lit. k EU-DSGVO)
Der in der Grundverordnung neu eingeführte Begriff der „Datenschutz-Folgenabschätzung“ wird wohl von erheblicher Wichtigkeit sein. Zusammengefasst sieht Artikel 33 EU-DSGVO vor, dass bei Datenverarbeitungen, die mit einem erheblichen Risiko für die Rechte der betroffenen Personen verbunden sind, vorab eine Datenschutz-Folgenabschätzung zu erfolgen hat.
Die Durchführung einer Datenschutz-Folgenabschätzung ist aller Voraussicht nach mit einigem Aufwand für die verantwortliche Stelle verbunden. Welche Datenverarbeitungsprozesse künftig eine Datenschutz-Folgenabschätzung erfordern, ist für Unternehmen daher sehr relevant. (vgl. hierzu auch unseren Beitrag zur EU-DSGVO und Videoüberwachung).
Aufsichtsbehörden werden hier quasi eine „White-List“ und eine „Black-List“ für Datenverarbeitungsprozessen erstellen. Je nach Klassifizierung ist dann entweder zwingend eine Folgenabschätzung durchzuführen oder eben nicht. Je nachdem wie diese Aufgabe in der Praxis gehandhabt wird, kann für Unternehmen insgesamt oder für einzelne Branchen künftig erheblich mehr Aufwand anfallen.
5. Genehmigung von Standardvertragsklauseln für Datentransfers ins EU-Ausland (Artikel 57 Abs. 1 lit. r EU-DSGVO)
Ein Transfer von personenbezogenen Daten ins EU-Ausland ist nach der derzeitigen Rechtslage eine recht komplizierte Angelegenheit. Im Fokus der öffentlichen Wahrnehmung steht hier häufig nur die Übermittlung in die USA (Stichwort: „Safe-Harbor / EU-US Privacy Shield“), aber auch die Datenübermittlung in viele andere nicht-europäische Staaten bedarf einer besonderen rechtlichen Grundlage.
Auch nach der EU-DSGVO wird ein rechtsicherer Datentransfer ins EU-Ausland nicht zwangsläufig leichter, aber in formaler Hinsicht wird es Verbesserungen geben: Als Rechtsgrundlage für einen rechtmäßigen Datentransfer können z.B. sog. Standardvertragsklauseln dienen. Mit der Anwendbarkeit der Verordnung werden auch die Aufsichtsbehörden selbst solche Klauseln prüfen. Somit kann für Unternehmen schnell(er) Rechtsicherheit über die Rechtsgrundlage erlangt werden.
Wichtige Neuregelung: Welche Aufsichtsbehörde ist zukünftig zuständig? Was ist der „One-Stop-Shop“?
Last but not least – Eine wichtige Neuregelung zur Zuständigkeit: Die wechselnde Zuständigkeit von unterschiedlichen Aufsichtsbehörden ist in der Praxis ein erhebliches Problem. So ist es derzeit so, dass dasselbe Unternehmen hinsichtlich datenschutzrechtlicher Fragestellungen der Aufsicht von gleich mehreren Behörden unterliegen kann. Dies insbesondere dann, wenn ein Unternehmen in mehreren europäischen Ländern tätig ist.
Der europäische Gesetzgeber hat dieses Problem erkannt und in der EU-DSGVO das sog. „One-Stop-Shop“-Prinzip verankert. Artikel 56 Abs. 1 EU-DSGVO sieht vor, dass in der Regel die Aufsichtsbehörde in deren Zuständigkeitsbereich der Sitz oder Hauptsitz eines Unternehmens liegt für das Unternehmen zuständig ist. Der Vorteil: Unternehmen haben einen Ansprechpartner und sehen sich nicht der Rechtsunsicherheit ausgesetzt, die durch abweichende Meinungen unterschiedlicher Behörden entstehen kann. Näheres dazu finden Sie in unserem Beitrag: Datenschutz-Grundverordnung und der One-Stop-Shop.
Bleibt abzuwarten, wie die Behörden diese Aufgaben mit den bisherigen (knappen) Mitteln bewältigen werden. Auch eine Aufstockung dieser Mittel wird der Herausforderung kaum gerecht werden können. Ich hoffe, dass teure TV Werbesports nicht zu den ersten Maßnahmen zählen werden. Insgesamt bewirkt die Ausweitung der Zuständigkeiten und Aufgabenfelder ohne entsprechenden Zuwachs an Personal und Geldern eine Aufweichung der Behörde – man macht den Tiger zahnlos, indem man ihn mehr rennen lässt. Dass z.B. eine Aufklärung anstelle einer Abmahnung/Sanktion treten wird, beim Erstverstoß, wirkt wie ein Freifahrtschein es doch drauf ankommen zu lassen. Man kann also jahrelang gegen alle Vorschriften verstoßen, bis sich die Aufsichtsbehörde mal meldet und freundlich ein 20-Seiten Prospekt zum Thema Datenschutz einwirft, bevor man evtl. ein Einsehen hat… Demokratie-Bürokratismus der nur ausgenutzt werden wird. Die Behörde müsste quasi proaktiv an bald 4 Mio Unternehmen + sämtliche Behörden (vermutlich auch zehntausende Stellen) die Aufklärung verschicken, um diese quasi vorwegzunehmen. Was mit Sicherheit wieder an den Geldmitteln scheitern wird.
Die Frage nach der finanziellen Ausstattung der Aufsichtsbehörden wird sich angesichts der Fülle an neuen Aufgaben tatsächlich stellen. Die Gesetzeskonformität muss naturgemäß auch entsprechend überwacht werden (können).
Hinsichtlich der Frage, ob zukünftig Werbespots zum Thema Datenschutz ausgestrahlt werden oder wie Aufsichtsbehörden mit dem Spannungsfeld „Aufsicht“ einerseits und „Beratung“ andererseits umgehen, sei kurz darauf hingewiesen, dass wir selbstverständlich hierzu keine validen Aussagen treffen können. Da gerade erst eine Einigung auf die jetzige Fassung der DSGVO erzielt werden konnte, ist es natürlich schwer abzuschätzen, wie die nun konkret formulierten Aufgaben der Aufsichtsbehörden praktisch umgesetzt werden. Die von Ihnen aufgegriffenen Punkte sind daher eher als Illustration für eine denkbare Umsetzung zu verstehen.
Hallo, vielen Dank für Ihre interessanten Infos zur DSGVO. Über die Aufsichtsbehörden für den Datenschutz habe ich schon jede Menge gelesen, aber noch nie eine Adresse gesehen, wo diese namentlich genannt werden als Ansprechpartner. Suchbegriffe nach den Aufsichtsbehörden gehen regelmäßig ins Leere. Warum?
Beste Grüße von Catweazle am 29.03.2018
Hier finden Sie die Links zu den Websites inkl. Telefonnummer: Datenschutzbeauftragte von Bund und Ländern