Aufsichtsbehörde im Datenschutz
Drohen Ihnen DSGVO Bußgelder?
Aufsichtsbehörde? Informationsfreiheit? Landesbeauftragter? Wir helfen Ihnen einfach & sicher durch den DSGVO-Dschungel!
Datenschutz und Auskunftspflicht
Die datenschutzrechtlichen Regelungen setzen an vielen Stellen Auskunftspflichten der verantwortlichen Stelle und auch des betrieblichen Datenschutzbeauftragten gegenüber Aufsichtsbehörden fest. Die verschärfte europäische Datenschutzgrundverordnung (DSGVO), die im Mai 2018 in Kraft getreten ist, spezifiziert diese Auskunftspflichten weiter. Nicht nur dass Versäumnisse zukünftig mit empfindlich hohen Bußgeldern geahndet werden; ein ordnungsgemäß umgesetzter Datenschutz setzt zudem voraus, dass jederzeit Auskunft erteilt werden kann.
Seit Mai 2018: Verschärfte Sanktionen & konsequente Behörden
Die EU-Datenschutzgrundverordnung erweitert die Aufgabenbereiche der Aufsichtsbehörden nochmals erheblich und verschärft zudem Sanktionen bei Versäumnissen. Mit bis zu 20 Millionen Euro Bußgeld oder einer umsatzabhängigen Bußgeldvariante können sich Unternehmen Fehlleistungen im Datenschutz nicht leisten. Seit dem Inkrafttreten der DSGVO im Mai 2018 wurden in der EU Bußgelder in dreistelliger Millionenhöhe (Euro) verhängt. Und auch wenn die innerdeutschen Bußgelder (noch) nicht ganz so hoch ausgefallen sind: EU-weit ist ein konsequentes Vorgehen der Datenschutzaufsichtsbehörden zu beobachten. Insofern ist die Übertragung der entsprechenden Aufgaben an einen zuverlässigen und fachlich versierten Dienstleister eine optimale Lösung, um den Auskunftspflichten ihren Schrecken im betrieblichen Alltag zu nehmen.
Datenschutz-Auskunft – unsere Leistungen für Sie
Im Internet sind viele Informationen zu finden, aber wenn es um sensible Themen wie Informationsfreiheit vs. Datenschutz geht, sollte auf die Expertise eines Experten vertraut werden. Wir entlasten Sie von Ihrer Auskunftspflicht gegenüber den Aufsichtsbehörden, indem wir diese Pflicht für Sie übernehmen. Als Ihr externer Datenschutzbeauftragter koordinieren wir gerne die Kommunikation mit den Behörden, allen vorweg der Aufsichtsbehörde, für Sie.
Des Weiteren übernehmen wir die Auskunftspflicht gegenüber Betroffenen und versuchen für alle Beteiligten eine optimale Lösung zu finden. Auskunftspflichten müssen also keine Belastung für Ihr Unternehmen und Ihren Betriebsablauf sein.
Auskunftspflicht - an welche Behörde müssen Sie sich wenden?
Wenn es um die Überwachung und Aufsicht der Einhaltung der DSGVO in privatwirtschaftlichen und öffentlich-rechtlichen Unternehmen geht, herrscht viel Verwirrung. Vielen Unternehmen sind Begriffe wie Bundesdatenschutzbeauftragter, Landesdatenschutzbeauftragter und Datenschutzaufsicht, die täglich im Internet präsent sind, zwar geläufig, sie können sie aber nicht genau definieren. Dabei gibt es zwischen den Beauftragten eine klare Unterscheidung:
Dem Bundesdatenschutzbeauftragten obliegt nach der derzeit geltenden Rechtslage die Überwachung öffentlicher Stellen. Er nimmt dabei auch beratend auf politische Entscheidungen Einfluss. Der Bundesdatenschutzbeauftragte ist sowohl Person als auch Behörde.
Der jeweilige Landesdatenschutzbeauftragte, welcher ebenfalls sowohl Person als auch Behörde ist, ist zuständig, wenn es um die Überwachung privatwirtschaftlich organisierter Unternehmen geht. Das folgt aus dem föderalen Prinzip, nach dem verschiedene Kompetenzen zwischen Bund und Ländern aufgeteilt sind.
Bisher mussten sich Unternehmen bei grenzüberschreitenden datenschutzrelevanten Tätigkeiten mit verschiedenen Behörden aus unterschiedlichen europäischen Ländern auseinandersetzen. Diesen unbefriedigenden Zustand beseitigt die DSGVO zumindest teilweise.
Meldung des Datenschutzbeauftragten bei der zuständigen Aufsichtsbehörde
Art. 37 Abs. 7 DSGVO sieht die Mitteilung der Kontaktdaten Ihres DSB an die zuständige Aufsichtsbehörde Ihres Bundeslandes vor. Damit Sie den Überblick behalten, haben wir die Aufsichtsbehörden der Länder sowie die einzelnen Landesdatenschutzbeauftragten übersichtlich für Sie zusammengefasst. Darüber hinaus finden Sie Informationen, wo Sie den von Ihnen bestellten Datenschutzbeauftragten schriftlich bei der Behörde melden können.
One-Stop-Shop für grenzüber-schreitende Datenverarbeitung
Die zuständige Aufsichtsbehörde wird bei grenzüberschreiten-den Datenverarbeitungen vielfach nach dem sogenannten One-Stop-Shop bestimmt. Da im datenschutzrechtlichen Alltag die Datenschutzbeauftragten von Unternehmen bisher immer damit zu kämpfen hatten, dass sie mit den Rechtsauffassungen unterschiedlicher europäischer Datenschutzaufsichtsbehörden konfrontiert wurden, schafft die DSGVO hier Abhilfe. In Art. 56 Abs. 6 DSGVO wird insoweit festgelegt, dass bei grenzüberschreitender Datenverarbeitung unter bestimmten Umständen eine federführende Aufsichtsbehörde für die Überwachung des Unternehmens zuständig ist. Für die Unternehmen kann dies eine große Erleichterung bringen, da bei grenzüberschreitenden Datentransfers nur noch ein Ansprechpartner für die Beurteilung der datenschutzrechtlichen Konformität zuständig sein wird.
Art. 56 Abs. 1 DSGVO bestimmt den Anwendungsbereich der Vorschrift. Sie kommt dann zur Anwendung,
- wenn eine grenzüberschreitende Datenverarbeitung vorliegt und
- wenn anhand der Hauptniederlassung des Unternehmens eine federführende Aufsichtsbehörde festgestellt werden kann und
- ein Verantwortlicher zuständig ist.
Probleme mit der zukünftigen "einen Aufsichtsbehörde"?
Zwar klingt nach der entsprechenden Gesetzesfassung das One-Stop-Shop Prinzip logisch, es könnte allerdings in der Praxis zu Problemen führen. Beispielsweise dann, wenn Hauptverwaltung und Hauptniederlassung auseinanderfallen. In diesen Fällen erfolgen Datenverarbeitungen durch andere Niederlassungen des Unternehmens. Ein Verantwortlicher ist nicht erkennbar. Es ist nicht ganz klar, wie man bei dieser Konstellation zu einer Aufsichtsbehörde gelangen will, da in der Summe viele Verarbeitungsvorgänge vorliegen, deren Beurteilung nach Gesetzeslage unterschiedlichen Aufsichtsbehörden unterfallen würden.
Ebenso problematisch kann die Bewertung mehrerer selbstständiger Niederlassungen sein. Es ist unklar, ob die Bewertung der datenschutzrechtlichen Belange einer Aufsichtsbehörde, mit Bezug zur Hauptniederlassung, übertragen werden kann, wenn Mittel und Zweck der Datenverarbeitung in den selbständigen Niederlassungen bestimmt werden.
Auch bei Konzernen ist nicht sicher, ob das Prinzip der einen Aufsichtsbehörde durchgehalten werden kann. Selbständige Unternehmen eines Konzernverbundes dürften Einzelunternehmen im Sinne der DSGVO sein. Dabei stellt nach dem Gesetzeswortlaut jedes Einzelunternehmen eine eigene verantwortliche Stelle dar. Daher dürfte sich eine Anwendung des One-Stop-Shop Prinzips auf Konzerne verbieten. Es wird sich in der Praxis zeigen, wie eventuell auch Gerichte diese Problematik beurteilen werden.
Es gibt weiterhin keine "eine Aufsichtsbehörde"
Eine einheitliche datenschutzrechtliche Überwachungsbehörde bleibt in der täglichen Datenschutzpraxis weiterhin nur ein Wunschtraum, sowohl in Deutschland als auch in Europa. Die Rechtslage über die Zuständigkeit der entsprechenden Aufsichtsbehörde ist auch mit der DSGVO relativ unübersichtlich. Unternehmen sollten sich hier von Experten beraten lassen und jeweils im Einzelfall prüfen, welche Behörde tatsächlich zuständig ist. Da die DSGVO gleichzeitig die Aufgaben der entsprechenden Behörden ausweitet, kommt in diesem Bereich einiges auf die Unternehmen zu.
