Rz. 13
Die Befugnisse der Aufsichtsbehörden regelt die DSGVO in Art. 58. Sie gliedern sich grob in Untersuchungs-, Abhilfe-, Genehmigungs- und Beratungsbefugnisse.
Rz. 14
Die Untersuchungsbefugnisse umfassen unter anderem das Recht den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, der Aufsichtsbehörde alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind (Art. 58 Abs. 1 li. a) DSGVO). Hinzu kommt das Recht, Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen (Art. 58 Abs. 1 li. b) DSGVO). Der Aufsichtsbehörde ist Zugang zu allen personenbezogenen Daten und Informationen (Art. 58 Abs. 1 li. e) DSGVO), zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen und -geräte (Art. 58 Abs. 1 li. f) DSGVO) durch den Verantwortlichen und/oder den Auftragsverarbeiter zu gewähren, soweit dies zur Erfüllung der Aufgaben der Aufsichtsbehörde notwendig ist. § 40 Abs. 3 BDSG-Neu verpflichtet den Verantwortlichen und den Auftragsverarbeiter zur Zusammenarbeit mit der Aufsichtsbehörde und ordnet – in Anlehnung an die bisherigen Regelung des § 38 BDSG – an, dass auf Verlangen Auskunft zu erteilen ist. Davon ausgenommen sind Fragen, deren Beantwortung den Befragten selbst oder einen der in § 383 Abs. 1 Nr. 1 bis 3 ZPO bezeichneten Angehörigen der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde. Der Auskunftspflichtige ist darauf durch die Aufsichtsbehörde hinzuweisen (Auskunftsverweigerungsrecht). Die Aufsichtsbehörden sind nach Art. 40 Abs. 3 BDSG-Neu zudem befugt, zur Erfüllung ihrer Aufgaben jederzeit Grundstücke und Geschäftsräume zu betreten. Gem. § 29 Abs. 3 BDSG-Neu gelten die Untersuchungsbefugnisse der Aufsichtsbehörde aus Art. 58 Abs. 1 DSGVO und § 40 Abs. 3 und 4 BDSG-Neu nicht gegenüber Geheimnisträgern, soweit dadurch die Geheimhaltungspflicht verletzt würde. Nach Ansicht des Gesetzgebers käme es ohne eine Einschränkung der Befugnisse der Aufsichtsbehörden ansonsten zu einer Kollision mit Pflichten des Geheimnisträgers, die gerade bei den freien Berufen zugunsten der berufsrechtlichen Schweigepflicht und des Vertrauens des Mandanten/Patienten und der Öffentlichkeit in den Berufsstand aufzulösen ist. Um zu vermeiden, dass Untersuchungsbefugnisse mittelbar gegenüber Auftragsverarbeitern, die für Geheimnisträger tätig werden, durchgesetzt werden, werden auch diese von der Bereichsausnahme umfasst.
Rz. 15
Die in Art. 58 Abs. 2 DSGVO beschriebenen Abhilfebefugnisse der Aufsichtsbehörde umfassen u.a.
▪ |
das Recht, Warnungen und Verwarnungen hinsichtlich etwaiger Datenschutzverstöße auszusprechen |
▪ |
konkrete Anweisungen gegenüber dem Verantwortlichen oder dem Auftragsverarbeiter in Bezug auf eine bestimmte von der Aufsicht für erforderlich gehaltene Verhaltensweise zu erteilen. |
▪ |
die Befugnis, eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen |
▪ |
die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung anzuordnen und |
▪ |
zusätzlich zu oder anstelle der vorgenannten Maßnahmen eine Geldbuße gemäß Art. 83 DSGVO zu verhängen. |
Nach § 40 Abs. 4 S. 3 BDSG-Neu ist die Aufsichtsbehörde zudem berechtigt, die Abberufung des Datenschutzbeauftragten zu verlangen, wenn er die zur Erfüllung ihrer oder seiner Aufgaben erforderliche Fachkunde nicht besitzt oder im Fall des Artikels 38 Abs. 6 DSVGO ein schwerwiegender Interessenkonflikt vorliegt.
Rz. 16
Die Genehmigungs- und Beratungsbefugnisse nach Art. 58 Abs. 3 DSGVO erstrecken sich u.a. auf
▪ |
die Datenschutz-Folgenabschätzung, |
▪ |
die Stellungnahme und Billigung von Verhaltensregeln und Zertifizierungen und |
▪ |
die Festlegung von Standarddatenschutzklauseln. |
Rz. 17
§ 40 Abs. 2 BDSG-Neu schafft die für die im Rahmen der Erfüllung der Aufsichtsbefugnisse erfolgende Verarbeitung durch die Aufsichtsbehörde erforderlichen Rechtsgrundlagen.