Zum Inhalt springen Zur Navigation springen
Grenzen der aufsichtsbehördlichen Untersuchungsbefugnis

Grenzen der aufsichtsbehördlichen Untersuchungsbefugnis

Um die Durchsetzung der Anforderungen der DSGVO im Unternehmenskontext überwachen zu können, räumt die Datenschutz-Grundverordnung den Aufsichtsbehörden in Art. 58 DSGVO umfangreiche Befugnisse ein. Dieser Beitrag soll aufzeigen, wo die Grenzen aufsichtsbehördlicher Untersuchungsbefugnisse liegen.

Befugnisse von Amts wegen

Art. 58 DSGVO differenziert hier zwischen:

  • Untersuchungsbefugnissen (Abs. 1),
  • Abhilfebefugnissen (Abs. 2),
  • sowie Genehmigungs- und Beratungsbefugnissen (Abs. 3).

Während Absatz 3 präventiven Charakter aufweist und Absatz 2 voraussetzt, dass bereits ein Datenschutzverstoß vorliegt, können Untersuchungsbefugnisse nach Absatz 3 auch anlassunabhängig ausgeübt werden.

Damit die Behörde gemäß Absatz 1 tätig werden darf, ist weder ein Anfangsverdacht noch das Vorliegen einer Beschwerde i.S.d Art. 77 DSGVO notwendig. Betroffene haben oftmals keine Kenntnis von grundrechtsverletzenden Verarbeitungstätigkeiten. Um dem Schutzzweck der DSGVO größtmöglich Rechnung zu tragen, ist die Behörde daher befugt, Kontrollen auch von Amts wegen auszuüben, um mögliche Verstöße aufzudecken.

Keine Entziehungsmöglichkeit für Verantwortliche und Auftragsverarbeiter

Die Befugnisse der Aufsichtsbehörden treffen hierbei sowohl die verantwortliche Stelle als auch ihre Auftragsverarbeiter. Nach Art. 31 DSGVO sind beide verpflichtet, die Behörde bei der Erfüllung ihrer Aufgaben zu unterstützen. Wegducken geht nicht – zumal ein Verstoß gegen die Mitwirkungspflichten gem. Art. 83 Abs. 4 lit. a DSGVO bußgeldbewehrt ist.

Gestattet sind der Behörde nach Art. 58 Absatz 1 DSGVO unter anderem:

  • von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, zu erhalten (lit. e)
  • sowie Zugang zu den Räumlichkeiten, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten (lit. f)

Einschränkung gegenüber Berufsgeheimnisträgern

Diese weitreichenden Zugangs-, Zutritts- sowie Zugriffsrechte der Aufsichtsbehörden finden jedoch dort ihre Grenzen, wo Verantwortliche und Auftragsverarbeiter durch die Preisgabe der Daten aufgrund von Geheimhaltungspflichten ihrerseits in Interessen- und Pflichtenkollisionen kommen würden.

Der nationale Gesetzgeber hat daher im Fall von Berufsgeheimnisträgern i.S.d. § 203 StGB von der Öffnungsklausel des Art. 90 DSGVO Gebrauch gemacht und die Zugriffsbefugnisse der Behörde durch § 29 Abs. 3 S. 1 BDSG wiederrum ausgeschlossen. Der Gesetzgeber wollte damit erreichen, dass etwa das Mandatsverhältnis sowie das Vertrauen der Öffentlichkeit in die Berufsstände des § 203 Abs. 1 StGB nicht durch Unsicherheiten belastet wird.

Jura at its best!

Das Recht der Behörde, die Einhaltung der Rechte der Betroffen zu prüfen, wird durch das Recht der Betroffenen auf informationelle Selbstbestimmung bezüglich vertraulicher Informationen gegenüber Berufsgeheimnisträgern und deren Schweigepflicht auch gegenüber den Behörden geschützt. Verstanden?

Du, Aufsichtsbehörde, kommst hier nicht rein!

Aufsichtsbehörden dürfen daher weder die Herausgabe derartiger Informationen verlangen, noch sind sie befugt, die Datenverarbeitungsanlagen und -geräte zu durchsuchen. Ausgeschlossen ist damit der Zugang zu Räumlichkeiten, in denen sich Akten oder IT-Systeme befinden, die einer Geheimhaltungspflicht unterliegenden Daten oder Informationen enthalten. Auch der Zugriff auf solche Systeme ist den Behörden untersagt. Dies gilt jedenfalls dann, wenn eine Trennung von nicht geschützten Datensätzen und Informationen nicht möglich ist. Mit der Einbeziehung der Auftragsverarbeiter will der Gesetzgeber zudem vermeiden, dass Auftragsverarbeiter gegenüber ihren Auftraggebern vertragsbrüchig werden, wenn sie vertrauliche Informationen gegenüber der Aufsichtsbehörde offenlegen müssten.

Kein Zugriff durch die Hintertür

Problematisch erscheint hier, dass § 29 Abs. 3 S. 1 BDSG die übrigen Rechte der Aufsichtsbehörden nach Art. 58 DSGVO nicht einschränkt, da sich die Norm lediglich auf die Befugnisse der Buchstaben e und f bezieht. Es besteht daher zumindest abstrakt die Möglichkeit, dass Aufsichtsbehörden versuchen, die Beschränkung durch Auskunftsanordnungen oder andere nach Art. 58 DSGVO zulässige Maßnahmen zu unterlaufen. Um die Geheimhaltungspflicht nicht leer laufen zu lassen, dürfen jedoch sowohl die verantwortliche Stelle als auch ihre Auftragsverarbeiter die Auskunft in einer Weise erteilen, die keine der Geheimhaltung unterliegenden Daten oder Informationen preisgibt.

Pflicht der Aufsichtsbehörde zur Geheimhaltung

Grundsätzlich gelten die Geheimhaltungspflichten der Berufsgeheimnisträger nicht für die Aufsichtsbehörden. Gleichwohl hat der Gesetzgeber das Risiko einer unzulässigen Kenntnisnahme durch die Behörde erkannt. Um einen effektiven Geheimnisschutz zu gewährleisten, hat er die Geheimhaltungspflichten durch § 29 Abs. 3 S. 2 BDSG kurzerhand auf die Aufsichtsbehörden und ihre Mitarbeiter verlängert.

Keine ungeprüfte Auskunft an Behörden

Insgesamt ist dem Gesetzgeber eine risikobewusste Regelung gelungen. Berufsgeheimnisträgern und ihren Auftragsverarbeitern ist dennoch zu raten, Aufsichtsbehörden nicht vorschnell Auskunft oder Zugriff auf sensible Datensätze zu gewähren. Geheimhaltungsverpflichtungen sind stets im Blick zu behalten!

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Zugang zu allen personenbezogenen Daten und Informationen bedeutet aber gerade nicht, dass die Aufsichtsbehörde sich Dubletten (USB Stick etc.) davon ziehen darf, richtig?

    • Zugang bedeutet, dass die Aufsichtsbehörde Einsicht nehmen kann in alle relevanten Unterlagen, Dokumentationen, Verzeichnisse, Datenbanken usw. Davon umfasst sind daher unter Umständen auch Betriebs- oder Geschäftsgeheimnisse oder etwa Unterlagen, die die Sicherheit der Verarbeitung nach Art. 32 DSGVO dokumentieren.
      Ein Herausgabe- oder Beschlagnahmerecht ist hiervon nicht umfasst. Allerdings kann die Aufsichtsbehörde Kopien, Screenshorts, Organigramme o.Ä. anfordern, wenn sie es zur Aufgabenerfüllung für erforderlich hält.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.