Aufsichtsbehörden

Alle Mitgliedsstaaten der EU sind durch die DSGVO verpflichtet, Aufsichtsbehörden mit der Überwachung des Datenschutzes zu installieren (Art. 51 DSGVO). Mit Behörden kennt sich Deutschland aus. Und daher gibt es in Deutschland nicht nur eine Aufsichtsbehörde, sondern viele. Neben dem Bundesbeauftragten für den Datenschutz hat jedes Bundesland eine eigene Aufsichtsbehörde, Bayern sogar zwei. Zuständig ist bei Unternehmen die Behörde, in deren Land der Sitz der Gesellschaft liegt, mangels Sitzes der Ort der Hauptniederlassung (§ 40 Abs. 1 BDSG, Art. 4 Nr. 16 DSGVO). Die Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen ist Frau Bettina Gayk, ihre Behörde LDI sitzt in Düsseldorf. Außerdem gibt es für die Religionsgemeinschaften eigene Regeln und eigene Datenschutzbehörden, zudem für die öffentlich-rechtlichen Rundfunkanstalten. Die deutsche Datenschutzkonferenz (DSK) ist aus diesen Aufsichtsbehörden zusammengesetzt, um zu einer möglichst einheitlichen Rechtsanwendung zu gelangen und sich gegenseitig zu unterstützen.

Die Aufgabe der Aufsichtsbehörden für den Datenschutz besteht logischerweise darin, die Einhaltung des Datenschutzes durch (andere) Behörden und private Unternehmen zu überwachen (Art. 51 Abs. 1 DSGVO). Dazu haben die Aufsichtsbehörden des Bundes und der Länder vielfältige Rechte. Sie können von sich aus tätig werden oder reagieren auf Hinweise oder Anzeigen von Bürgern, Unternehmen oder anderen Behörden. Werden Verstöße durch ein Unternehmen (den Verantwortlichen), einen Auftragsverarbeiter (Art. 28 DSGVO) oder gemeinschaftlich Verantwortliche (Art. 26 DSGVO) festgestellt, so reagiert die Aufsichtsbehörde durch verhältnismäßige Sanktionen oder Maßnahmen. Dies können allgemeine Sanktionen (Art. 84 DSGVO), das Verhängen von Bußgeldern (Art. 83 DSGVO, § 41 BDSG) oder sonstige Maßnahmen (Art. 58 Abs. 2 DSGVO). Diese umfassen folgende Abhilfebefugnisse:

  1. einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,
  2. einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,
  3. den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,
  4. den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,
  5. den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person entsprechend zu benachrichtigen,
  6. eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen,
  7. die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung gemäß den Artikeln 16, 17 und 18 und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 17 Absatz 2 und Artikel 19 offengelegt wurden, über solche Maßnahmen anzuordnen,
  8. eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle anzuweisen, eine gemäß den Artikel 42 und 43 erteilte Zertifizierung zu widerrufen, oder die Zertifizierungsstelle anzuweisen, keine Zertifizierung zu erteilen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden,
  9. eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,
  10. die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anzuordnen.

Die Datenschutzbeauftragten der Behörden und Unternehmen haben mit der zuständigen Aufsichtsbehörde zusammen zu arbeiten (Art. 39 Abs. 1 lit. d) DSGVO).

Wenn es zu Datenschutzverletzungen (Datenschutzpannen) kommt, ist gegebenenfalls die Aufsichtsbehörde darüber zu informieren (Art. 33 Abs. 1 DSGVO) und zwar innerhalb von 72 Stunden.

Die Bestellung oder Abberufung eines Datenschutzbeauftragten ist der zuständigen Aufsichtsbehörde zu melden (Art. 37 Abs. 7 DSGVO).

Die Aufsichtsbehörden haben noch weitere Aufgaben, die sich aus der DSGVO und dem BDSG ergeben.