Rz. 36
Gegenüber den für die Verarbeitung Verantwortlichen hat die Datenschutzaufsicht umfangreiche Befugnisse. Diese sind zu unterscheiden in Untersuchung- und Abhilfebefugnisse und treffen den Verantwortlichen genauso wie einen möglichen Auftragsverarbeiter. So kann die Datenschutzaufsicht den Verantwortlichen anweisen ihr bestimmte Unterlagen vorzulegen oder eine Vor-Ort-Kontrolle durchführen. Kündigt sich die Datenschutzaufsicht bei der Finanzbehörde an, dann erfolgt eine umfangreiche Prüfung. Hierzu gehört dann u. a.
- Zutritt zu allen Räumlichkeiten, auch z. B. Einsicht in Schränke;
- Gespräche mit Mitarbeitern;
- Einsicht in sämtliche dienstlichen Unterlagen, Fertigung von Kopien, evtl. Fotografien;
- Kontrolle der Mitarbeiter-PC in deren Beisein, Prüfung der Ablagen, Speicherorte und E-Mail-Postfächer auf dienstliche Dokumente und Tabellen mit personenbezogenen Daten.
Rz. 37
Die Datenschutzaufsicht kann auch untersuchen, ob die Standorte von Kopierern, Faxgeräten so gewählt sind, dass personenbezogene Daten nicht unzulässigerweise offengelegt werden. Sie kann sich vom Verantwortlichen darstellen lassen, wie Posteingänge behandelt werden, die Reinigung der Büros erfolgt und hierbei der Datenschutz gewahrt wird, wie bei Abwesenheiten der Mitarbeiter verfahren wird, wie Besucherregelungen ausgestaltet sind oder wie die Dienststelle bewacht wird. Daneben kann die Datenschutzaufsicht auch die IT-Systeme des Verantwortlichen untersuchen. Wie ist der Schutz der Systeme ausgestaltet, wer kann worauf zugreifen, wie sind die Regularien zur Datensicherung oder sind die Serverräume ausreichend gesichert. Zusammenfassend hat die Datenschutzaufsicht gegenüber einem Verantwortlichen weitgehende Untersuchungsrechte die teilweise über die Möglichkeiten des FA bei Außenprüfungen hinausgehen.
Rz. 38
Neben diesen Vor-Ort Kontrollen kann die Datenschutzaufsicht gegenüber dem Verantwortlichen vorsorgliche Warnungen aussprechen, wenn dieser eine Datenverarbeitung beabsichtigt, die voraussichtlich einen Verstoß gegen die DSGVO darstellen würde. Es können Verwarnungen ausgesprochen werden, wenn mit der Datenverarbeitung bereits gegen die DSGVO verstoßen wurde. Darüber hinaus können Verantwortliche und Auftragsverarbeiter künftig im Rahmen eines förmlichen Verwaltungsaktes von den Aufsichtsbehörden angewiesen werden, Betroffenenrechten zu entsprechen, Datenverarbeitungen mit der DSGVO in Einklang zu bringen sowie von einem Datenschutzverstoß betroffene Personen entsprechend zu benachrichtigen.