Aufgaben und Befugnisse der Datenschutzaufsichtsbehörde

Die Datenschutzaufsichtsbehörden in Deutschland haben eine Vielzahl gesetzlich festgelegter Aufgaben und Befugnisse, um zum einen die verantwortlichen Stellen bei der Umsetzung datenschutzkonformer Datenverarbeitung zu unterstützen und zum anderen Datenschutzverstöße zu sanktionieren sowie betroffenen Personen bei der Durchsetzung der Rechte zu unterstützen.

‍

Nationale und europäische Datenschutzaufsichtsbehörden

Neben den nationalen Datenschutzaufsichtsbehörden der Länder und des Bundes gibt es einen europäischen Datenschutzausschuss. Dieser Ausschuss unterstützt die nationalen Behörden bei der harmonischen Anwendung des europäischen Datenschutzrechts mittels Leitlinien und Empfehlungen. Darüber hinaus sind die Behörden unabhängig und weisungsfrei. Mitglieder des Ausschusses sind Vertreter der nationalen Behörden, für Deutschland ist dies der Bundesdatenschutzbeauftragte für Datenschutz und die Informationsfreiheit (kurz „BfDI“) gem. § 17 Abs. 1 S. 1 BDSG.

In Deutschland gibt es derzeit 18 Datenschutzaufsichtsbehörden. In jedem Bundesland gibt es eine Aufsichtsbehörde gem. § 40 BDSG, mit Ausnahme von Bayern, dort gibt es eine für den öffentlichen und den nicht-öffentlichen Bereich (bspw. für Unternehmen oder Vereine). Zusätzlich den zuvor erwähnten Bundesdatenschutzbeauftragten.

‍

Die Aufgaben der nationalen Datenschutzaufsichtsbehörden

In Art. 57 DSGVO befindet sich ein Katalog an Aufgaben, die die nationalen Datenschutzaufsichtsbehörden zu erfüllen haben. Die Aufgaben hat sie gegenüber verschiedenen Interessengruppen zu erfüllen. Dazu zählen u.a.:

• die Öffentlichkeit,
• die nationalen Parlamente, Regierungen, Behörden inkl. anderer Aufsichtsbehörden,
• die betroffenen Personen,
• die Auftragsverarbeiter und
• die verantwortlichen Stellen.

Die Erfüllung der Aufgaben hat gem. Art. 57 Abs. 3 DSGVO für die Betroffenen und ggf. für beratungswillige Personen (bspw. Datenschutzbeauftragte) unentgeltlich zu erfolgen. Bei offenkundig unbegründeten oder exzessiven Anfragen kann die Behörde eine angemessene Verwaltungsgebühr verlangen oder Tätigkeiten einschränken.

Zu den Hauptaufgaben der Landesdatenschutzaufsichtsbehörden zählen u.a.:

• die Bearbeitung von Anfragen und Beschwerden der Betroffenen in Art. 57 Abs. 1 lit. e), f) DSGVO,
• die Untersuchung über die Durchführung der DSGVO (Art. 57 Abs. 1 lit. h) DSGVO) anzustellen,
• die Durchführung der DSGVO zu überwachen und durchzusetzen und
• die verantwortlichen Stellen für die Verpflichtungen aus der DSGVO zu sensibilisieren.

Die beratenden Tätigkeiten der Landesdatenschutzbehörden gestaltet sich vielfältig. So haben sie die Landesregierungen, Behörden und anderer öffentlichen Stellen, bei datenschutzrechtlichen Fragen zu beraten und können bei der Einführung neuer Verwaltungsverfahren begleitend mitwirken. Aber auch nicht-öffentliche verantwortliche Stellen (bspw. Unternehmen oder Vereine) können sich an ihre zuständige Aufsichtsbehörde wenden, wenn sie Beratung benötigen. Grundsätzlich wird empfohlen sich durch eine Behörde beraten zu lassen, wenn eine geplante Datenverarbeitung offene Fragen hinterlässt. So können im Nachgang teure Sanktionen vermieden werden. In bestimmten Situationen sind verantwortliche Stellen gar verpflichtet eine Behörde vor Beginn einer Datenverarbeitung zu konsultieren. Dies ist bspw. dann der Fall, wenn nach Anfertigung einer Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO die Erkenntnis gereift ist, dass trotz ergriffener Maßnahmen zur Risikominimierung ein weiterhin hohes Risiko bei der Datenverarbeitung besteht (siehe Art. 36 DSGVO).

‍

Die Befugnisse der nationalen Datenschutzaufsichtsbehörden

Die DSGVO stellt den Aufsichtsbehörden einen umfassenden Katalog von Untersuchungs- und Abhilfebefugnissen zur Verfügung, um die Einhaltung datenschutzrechtlicher Bestimmungen durchzusetzen.

Die Befugnisse lassen sich in folgende Kategorien unterteilen:

• Untersuchungsbefugnisse, nach Art. 58 Abs. 1 DSGVO (mit und ohne Anlass).
• Abhilfebefugnisse, nach Art. 58 Abs. 2 DSGVO.
• Genehmigungsbefugnisse und beratende Befugnisse, nach Art. 58 Abs. 3 DSGVO.

Bei den Befugnissen treffen den verantwortlichen Stellen oder Auftragsverarbeitern in der Regel bestimmte Mitwirkungspflichten. Insbesondere die Informationsbereitstellung ist ein zentraler Aspekt der Mitwirkungspflichten. Eine fachkundige Unterstützung der verantwortlichen Stelle oder des Auftragsverarbeiters ist hier unerlässlich. Anordnungen der Behörden können grundsätzlich mit Zwangsmitteln, wie Zwangsgeldern, durchgesetzt werden.

Neben diesen verwaltungsrechtlichen Maßnahmen können Verstöße auch mit hohen Geldbußen gem. Art. 83 DSGVO sanktioniert werden.  Es steht der Datenschutzaufsichtsbehörde frei, die Geldbuße anstelle einer Abhilfemaßnahme oder zusätzlich hierzu, zu verhängen. Die Geldbuße soll vor allem wirksam, verhältnismäßig und abschreckend sein. Datenschutzverstöße sind keine „Kavaliersdelikte“ und die Geldbußen können sich Geschäftsschädigend auswirken. Das maximale Bußgeld kann nach Art. 83 Abs. 5 DSGVO von bis zu 20 Mio. EUR oder 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs einer verantwortlichen Stelle betragen. Das bisher höchste Bußgeld von rund 746 Mio. EUR wurde 2021 gegen eine Gesellschaft des Internetkonzerns Amazon verhängt. Durch eingelegte Rechtsmittel ist dieses Bußgeld bisher noch nicht rechtskräftig.

‍

Zusammenfassung

Die Landesdatenschutzbehörden haben den Auftrag, die Einhaltung der datenschutzrechtlichen Vorschriften in ihrem Bundesland zu kontrollieren, die Verantwortlichen zu beraten und ein Fehlverhalten entsprechend zu sanktionieren. Es ist Verantwortlichen zu empfehlen die beratende Unterstützung der Aufsichtsbehörden in Anspruch zu nehmen, wenn die Anforderungen die eigenen Kompetenzen übersteigen. Nach Art. 36 DSGVO sind Sie unter bestimmten Voraussetzungen verpflichtet sich beraten zu lassen.

Weitere Informationen finden Sie nachfolgend unter:

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder; Kurpapier Nr. 2 Aufsichtsbefugnisse/ Sanktionen, Stand: 17.12.2018; abrufbar unter: https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_2.pdf.

Dr. Datenschutz; Landesdatenschutzbeauftragter: Aufgaben und Kompetenzen, Stand: 07.06.2022; abrufbar unter: https://www.dr-datenschutz.de/landesdatenschutzbeauftragter-aufgaben-und-kompetenzen