Um die Durchsetzung der Anforderungen der DSGVO im Unternehmenskontext überwachen zu können, räumt die Datenschutz-Grundverordnung den Aufsichtsbehörden in Art. 58 DSGVO umfangreiche Befugnisse ein. Dieser Beitrag soll aufzeigen, wo die Grenzen aufsichtsbehördlicher Untersuchungsbefugnisse liegen.
Der Inhalt im Überblick
Befugnisse von Amts wegen
Art. 58 DSGVO differenziert hier zwischen:
- Untersuchungsbefugnissen (Abs. 1),
- Abhilfebefugnissen (Abs. 2),
- sowie Genehmigungs- und Beratungsbefugnissen (Abs. 3).
Während Absatz 3 präventiven Charakter aufweist und Absatz 2 voraussetzt, dass bereits ein Datenschutzverstoß vorliegt, können Untersuchungsbefugnisse nach Absatz 3 auch anlassunabhängig ausgeübt werden.
Damit die Behörde gemäß Absatz 1 tätig werden darf, ist weder ein Anfangsverdacht noch das Vorliegen einer Beschwerde i.S.d Art. 77 DSGVO notwendig. Betroffene haben oftmals keine Kenntnis von grundrechtsverletzenden Verarbeitungstätigkeiten. Um dem Schutzzweck der DSGVO größtmöglich Rechnung zu tragen, ist die Behörde daher befugt, Kontrollen auch von Amts wegen auszuüben, um mögliche Verstöße aufzudecken.
Keine Entziehungsmöglichkeit für Verantwortliche und Auftragsverarbeiter
Die Befugnisse der Aufsichtsbehörden treffen hierbei sowohl die verantwortliche Stelle als auch ihre Auftragsverarbeiter. Nach Art. 31 DSGVO sind beide verpflichtet, die Behörde bei der Erfüllung ihrer Aufgaben zu unterstützen. Wegducken geht nicht – zumal ein Verstoß gegen die Mitwirkungspflichten gem. Art. 83 Abs. 4 lit. a DSGVO bußgeldbewehrt ist.
Gestattet sind der Behörde nach Art. 58 Absatz 1 DSGVO unter anderem:
- von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, zu erhalten (lit. e)
- sowie Zugang zu den Räumlichkeiten, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten (lit. f)
Einschränkung gegenüber Berufsgeheimnisträgern
Diese weitreichenden Zugangs-, Zutritts- sowie Zugriffsrechte der Aufsichtsbehörden finden jedoch dort ihre Grenzen, wo Verantwortliche und Auftragsverarbeiter durch die Preisgabe der Daten aufgrund von Geheimhaltungspflichten ihrerseits in Interessen- und Pflichtenkollisionen kommen würden.
Der nationale Gesetzgeber hat daher im Fall von Berufsgeheimnisträgern i.S.d. § 203 StGB von der Öffnungsklausel des Art. 90 DSGVO Gebrauch gemacht und die Zugriffsbefugnisse der Behörde durch § 29 Abs. 3 S. 1 BDSG wiederrum ausgeschlossen. Der Gesetzgeber wollte damit erreichen, dass etwa das Mandatsverhältnis sowie das Vertrauen der Öffentlichkeit in die Berufsstände des § 203 Abs. 1 StGB nicht durch Unsicherheiten belastet wird.
Jura at its best!
Das Recht der Behörde, die Einhaltung der Rechte der Betroffen zu prüfen, wird durch das Recht der Betroffenen auf informationelle Selbstbestimmung bezüglich vertraulicher Informationen gegenüber Berufsgeheimnisträgern und deren Schweigepflicht auch gegenüber den Behörden geschützt. Verstanden?
Du, Aufsichtsbehörde, kommst hier nicht rein!
Aufsichtsbehörden dürfen daher weder die Herausgabe derartiger Informationen verlangen, noch sind sie befugt, die Datenverarbeitungsanlagen und -geräte zu durchsuchen. Ausgeschlossen ist damit der Zugang zu Räumlichkeiten, in denen sich Akten oder IT-Systeme befinden, die einer Geheimhaltungspflicht unterliegenden Daten oder Informationen enthalten. Auch der Zugriff auf solche Systeme ist den Behörden untersagt. Dies gilt jedenfalls dann, wenn eine Trennung von nicht geschützten Datensätzen und Informationen nicht möglich ist. Mit der Einbeziehung der Auftragsverarbeiter will der Gesetzgeber zudem vermeiden, dass Auftragsverarbeiter gegenüber ihren Auftraggebern vertragsbrüchig werden, wenn sie vertrauliche Informationen gegenüber der Aufsichtsbehörde offenlegen müssten.
Kein Zugriff durch die Hintertür
Problematisch erscheint hier, dass § 29 Abs. 3 S. 1 BDSG die übrigen Rechte der Aufsichtsbehörden nach Art. 58 DSGVO nicht einschränkt, da sich die Norm lediglich auf die Befugnisse der Buchstaben e und f bezieht. Es besteht daher zumindest abstrakt die Möglichkeit, dass Aufsichtsbehörden versuchen, die Beschränkung durch Auskunftsanordnungen oder andere nach Art. 58 DSGVO zulässige Maßnahmen zu unterlaufen. Um die Geheimhaltungspflicht nicht leer laufen zu lassen, dürfen jedoch sowohl die verantwortliche Stelle als auch ihre Auftragsverarbeiter die Auskunft in einer Weise erteilen, die keine der Geheimhaltung unterliegenden Daten oder Informationen preisgibt.
Pflicht der Aufsichtsbehörde zur Geheimhaltung
Grundsätzlich gelten die Geheimhaltungspflichten der Berufsgeheimnisträger nicht für die Aufsichtsbehörden. Gleichwohl hat der Gesetzgeber das Risiko einer unzulässigen Kenntnisnahme durch die Behörde erkannt. Um einen effektiven Geheimnisschutz zu gewährleisten, hat er die Geheimhaltungspflichten durch § 29 Abs. 3 S. 2 BDSG kurzerhand auf die Aufsichtsbehörden und ihre Mitarbeiter verlängert.
Keine ungeprüfte Auskunft an Behörden
Insgesamt ist dem Gesetzgeber eine risikobewusste Regelung gelungen. Berufsgeheimnisträgern und ihren Auftragsverarbeitern ist dennoch zu raten, Aufsichtsbehörden nicht vorschnell Auskunft oder Zugriff auf sensible Datensätze zu gewähren. Geheimhaltungsverpflichtungen sind stets im Blick zu behalten!
Zugang zu allen personenbezogenen Daten und Informationen bedeutet aber gerade nicht, dass die Aufsichtsbehörde sich Dubletten (USB Stick etc.) davon ziehen darf, richtig?
Zugang bedeutet, dass die Aufsichtsbehörde Einsicht nehmen kann in alle relevanten Unterlagen, Dokumentationen, Verzeichnisse, Datenbanken usw. Davon umfasst sind daher unter Umständen auch Betriebs- oder Geschäftsgeheimnisse oder etwa Unterlagen, die die Sicherheit der Verarbeitung nach Art. 32 DSGVO dokumentieren.
Ein Herausgabe- oder Beschlagnahmerecht ist hiervon nicht umfasst. Allerdings kann die Aufsichtsbehörde Kopien, Screenshorts, Organigramme o.Ä. anfordern, wenn sie es zur Aufgabenerfüllung für erforderlich hält.