Geschrieben am 02.11.2017 von:
Kürzlich hat die Datenschutzkonferenz eine erste Orientierungshilfe zur Auslegung der kommenden Datenschutzgrundverordnung (DS-GVO) veröffentlicht. Unter anderem beschäftigt sich das Gremium darin mit den Befugnissen der Datenschutzaufsichtsbehörden.
Orientierungshilfe nicht verbindlich
Die Datenschutzkonferenz besteht aus der Bundesbeauftragten für den Datenschutz, den jeweiligen Landesdatenschutzbeauftragten und dem Präsidenten des Bayrischen Landesamtes für Datenschutzaufsicht. Das Gremium befasst sich mit aktuellen Themen zum Datenschutz und damit natürlich auch mit der im Mai 2018 wirksam werdenden DS-GVO.
Ein für die Datenschutzkonferenz naturgemäß besonders wichtiges Thema sind die Befugnisse der Datenschutzaufsichtsbehörden. In den nun veröffentlichten Leitlinien befasst sich das Gremium umfassend mit dieser Thematik, betont aber auch, dass die Auslegung der DS-GVO nur eine Orientierungshilfe darstellt und nicht verbindlich ist. Im Zweifel hätte die Auslegung des Europäischen Gerichtshofs Vorrang.
Untersuchungs- und Abhilfebefugnisse
Unabhängig von der Orientierungshilfe der Datenschutzkonferenz und der genauen Auslegung der DS-GVO sind die Befugnisse der Datenschutzaufsichtsbehörden bereits relativ klar in der neuen Verordnung geregelt.
In Art. 58 DS-GVO sind die sogenannten Untersuchungs- und Abhilfebefugnisse geregelt.
Zur Untersuchung von datenschutzrechtlich relevanten Vorgängen dürfen die Aufsichtsbehörden demnach verlangen, dass ihnen alle zur Erfüllung ihrer Aufgaben notwendigen Informationen zur Verfügung gestellt werden. Außerdem dürfen sie Datenschutzüberprüfungen durchführen, Zertifizierungen überprüfen und Hinweise auf vermeintliche Verstöße mitteilen. Schließlich dürfen sie zur Durchführung ihrer Untersuchungsbefugnisse auch Zugang zu Geschäftsräumen verlangen.
Im Rahmen ihrer Abhilfebefugnisse dürfen sie die verantwortlichen Stellen und Auftragsdatenverarbeiter warnen, verwarnen und anweisen, den Rechten der betroffenen Personen zu entsprechen, bestimmte Verarbeitungsvorgänge rechtlich korrekt auszugestalten oder Verstöße gegen das Datenschutzrecht an die betroffenen Personen zu melden. Außerdem dürfen sie Beschränkungen oder Verbote verhängen, Berichtigungen oder Löschungen anordnen, Zertifizierungen widerrufen oder Datenübermittlungen aussetzen.
Geldbußen
Die Aufsichtsbehörden sind auch für die Geldbußen zuständig, wobei sich die Höhe nach Art. 83 DS-GVO richtet. Es können bis zu 10.000.000,00 EUR oder 20.000.000,00 EUR bzw. 2 % oder 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres eines Unternehmens verhängt werden. Bei der Bemessung der Geldbuße muss berücksichtigt werden, dass sie wirksam, abschreckend und verhältnismäßig sein muss. Dabei können die Art, Schwere und Dauer des Verstoßes, die Art der Daten, die Zusammenarbeit mit den Aufsichtsbehörden, die Meldungen an die Aufsichtsbehörden, der Grad der Verantwortung, der Stand der technischen und organisatorischen Maßnahmen und finanzielle Vorteile für die verantwortliche Stelle berücksichtigt werden.
Durchsetzung der Befugnisse
Damit die Aufsichtsbehörden ihre Befugnisse auch tatsächlich durchsetzen können, stehen ihnen sämtliche denkbaren Rechtsbehelfe des Unionsrechts und der Mitgliedsstaaten zur Verfügung. Weigert sich eine verantwortliche Stelle also, den Anweisungen der Behörde Folge zu leisten, kann ein Gericht entsprechende Anordnungen treffen oder Urteile fällen, die dann durch einen Gerichtsvollzieher vollstreckt werden können.