Aufsichtsbehörde im Datenschutz
Drohen Ihnen DSGVO Bußgelder?
Das Rundum-sorglos-Paket von datenschutzexperte.de schützt Sie vor Risiken.
Wir freuen uns auf Ihre Anfrage!
Telefon:
Öffnungszeiten:
Mo. - Fr.: 09:00 - 18:00 Uhr
Die datenschutzrechtlichen Regelungen setzen an vielen Stellen Auskunftspflichten der verantwortlichen Stelle und auch des betrieblichen Datenschutzbeauftragten gegenüber Aufsichtsbehörden fest. Die verschäfte europäische Datenschutzgrundverordnung, die im Mai 2018 in Kraft getreten ist, spezifiziert diese Auskunftspflichten weiter. Nicht nur dass Versäumnisse zukünftig mit empfindlich hohen Bußgeldern geahndet werden; ein ordnungsgemäß umgesetzter Datenschutz setzt zudem voraus, dass jederzeit Auskunft erteilt werden kann.
Datenschutz und Auskunftsplicht – darum geht es
Seit Mai 2018: Verschärfte Sanktionen & konsequente Behörden
Die EU-Datenschutzgrundverordnung erweitert die Aufgabenbereiche der Aufsichtsbehörden nochmals erheblich und verschärft zudem Sanktionen bei Versäumnissen. Mit bis zu 20 Millionen Euro Bußgeld, beziehungsweise einer umsatzabhängigen Bußgeldvariante, können sich Unternehmen Fehlleistungen in diesen Bereich nicht leisten. Innerhalb des ersten Jahres nach Inkrafttreten der DSGVO im Mai 2018 wurden in der EU Bußgelder in Höhe von 56 Millionen Euro verhängt. Dabei ist der überwältigende Großteil dieser Gesamtsumme auf das 50-Millionen-Euro-Bußgeld der französischen Datenschutzbehörde CNIL gegen Google zurückzuführen. Und auch wenn die übrigen Bußgelder nicht ganz so hoch ausfallen: EU-weit ist ein konsequentes Vorgehen der Datenschutzaufsichtsbehörden zu beobachten.
Insofern ist die Übertragung der entsprechenden Aufgaben an einen zuverlässigen und fachlich versierten Dienstleister eine optimale Lösung, um den Auskunftspflichten ihren Schrecken im betrieblichen Alltag zu nehmen.
Datenschutz-Auskunft – unsere Leistungen für Sie
Wir entlasten Sie von Ihrer Auskunftspflicht gegenüber den Aufsichtsbehörden, indem wir diese Pflicht für Sie übernehmen. Als Ihr externer Datenschutzbeauftragter koordinieren wir die gerne die Kommunikation mit den Behörden für Sie. Unser Leistungspakete Medium enthält pro Vertragsjahr bereits zehn Stunden für diesen Tätigkeitsbereich, das Paket Premium sogar 20. Weitere Stunden können im Rahmen von zusätzlichen Stundenpaketen hinzugebucht werden. Des Weiteren übernehmen wir die Auskunftspflicht gegenüber Betroffenen und versuchen für alle Beteiligten eine optimale Lösung zu finden. Auskunftspflichten müssen also keine Belastung für Ihr Unternehmen und Ihren Betriebsablauf sein.
Aufsicht über den Datenschutz
Wenn es um die Überwachung und Aufsicht der Einhaltung der DSGVO in privatwirtschaftlichen und öffentlich-rechtlichen Unternehmen geht, herrscht viel Verwirrung. Vielen Unternehmen sind Begriffe wie Bundesdatenschutzbeauftragter, Landesdatenschutzbeauftragte und Datenschutzaufsicht zwar geläufig, sie können sie aber nicht genau definieren. Nach der derzeit geltenden Rechtslage obliegt dem Bundesdatenschutzbeauftragten die Überwachung öffentlicher Stellen. Er nimmt dabei auch beratend auf politische Entscheidungen Einfluss. Der Bundesdatenschutzbeauftragte ist sowohl Person als auch Behörde. Wenn es um die Überwachung privatwirtschaftlich organisierter Unternehmen geht, ist der jeweilige Landesdatenschutzbeauftragte, welcher auch sowohl Person als Behörde ist, zuständig. Das folgt aus dem föderalen Prinzip, nach dem verschiedene Kompetenzen zwischen Bund und Ländern aufgeteilt sind.
Bisher mussten sich Unternehmen bei grenzüberschreitenden datenschutzrelevanten Tätigkeiten mit verschiedenen Behörden aus unterschiedlichen europäischen Ländern auseinandersetzen. Diesen unbefriedigenden Zustand beseitigt die DSGVO zumindest teilweise.
Meldung des Datenschutzbeauftragten bei der zuständigen Aufsichtsbehörde
Art. 37 Abs. 7 DSGVO sieht die Mitteilung der Kontaktdaten Ihres DSB an die zuständige Aufsichtsbehörde Ihres Bundeslandes vor. Damit Sie den Überblick behalten, haben wir die Aufsichtsbehörden der Länder sowie die einzelnen Landesdatenschutzbeauftragten übersichtlich für Sie zusammengefasst. Darüber hinaus finden Sie Informationen, wo Sie den von Ihnen bestellten Datenschutzbeauftragten bei der Behörde melden können.
One-Stop-Shop in der DSGVO
Die zuständige Aufsichtsbehörde wird bei grenzüberschreitenden Datenverarbeitungen vielfach nach dem sogenannten One-Stop-Shop bestimmt. Da im datenschutzrechtlichen Alltag die Datenschutzbeauftragten von Unternehmen bisher immer damit zu kämpfen hatten, dass sie mit den Rechtsauffassungen unterschiedlicher europäischer Datenschutzaufsichtsbehörden konfrontiert wurden, schafft die DSGVO hier Abhilfe. In Art. 56 Abs. 6 DSGVO wird insoweit festgelegt, dass bei grenzüberschreitender Datenverarbeitung unter bestimmten Umständen eine federführende Aufsichtsbehörde für die Überwachung des Unternehmens zuständig ist. Für die Unternehmen kann dies eine große Erleichterung bringen, da bei grenzüberschreitenden Datentransfers nur noch ein Ansprechpartner für die Beurteilung der datenschutzrechtlichen Konformität zuständig sein wird.
Art. 56 Abs. 1 DSGVO bestimmt den Anwendungsbereich der Vorschrift. Sie kommt dann zur Anwendung,
- wenn eine grenzüberschreitende Datenverarbeitung vorliegt und
- wenn anhand der Hauptniederlassung des Unternehmens eine federführende Aufsichtsbehörde festgestellt werden kann und
- ein Verantwortlicher zuständig ist.
Probleme mit der zukünftigen einen Aufsichtsbehörde?
Zwar klingt nach der entsprechenden Gesetzesfassung das One-Stop-Shop Prinzip logisch, es könnte allerdings in der Praxis zu Problemen führen. Beispielsweise dann, wenn Hauptverwaltung und Hauptniederlassung auseinanderfallen. In diesen Fällen erfolgen Datenverarbeitungen durch andere Niederlassungen des Unternehmens. Ein Verantwortlicher ist nicht erkennbar. Es ist nicht ganz klar, wie man bei dieser Konstellation zu einer Aufsichtsbehörde gelangen will, da in der Summe viele Verarbeitungsvorgänge vorliegen, deren Beurteilung nach Gesetzeslage unterschiedlichen Aufsichtsbehörden unterfallen würden.
Ebenso problematisch kann die Bewertung mehrerer selbstständiger Niederlassungen sein. Es ist unklar, ob die Bewertung der datenschutzrechtlichen Belange einer Aufsichtsbehörde, mit Bezug zur Hauptniederlassung, übertragen werden kann, wenn Mittel und Zweck der Datenverarbeitung in den selbständigen Niederlassungen bestimmt werden.
Auch bei Konzernen ist nicht sicher, ob das Prinzip der einen Aufsichtsbehörde durchgehalten werden kann. Selbständige Unternehmen eines Konzernverbundes dürften Einzelunternehmen im Sinne der DSGVO sein. Dabei stellt nach dem Gesetzeswortlaut jedes Einzelunternehmen eine eigene verantwortliche Stelle dar. Daher dürfte sich eine Anwendung des One-Stop-Shop Prinzips auf Konzerne verbieten. Es wird sich in der Praxis zeigen, wie eventuell auch Gerichte diese Problematik beurteilen werden.
Es gibt weiterhin keine eine Aufsichtsbehörde
Eine einheitliche datenschutzrechtliche Überwachungsbehörde bleibt in der täglichen Datenschutzpraxis weiterhin nur ein Wunschtraum, sowohl in Deutschland als auch in Europa. Die Rechtslage über die Zuständigkeit der entsprechenden Aufsichtsbehörde ist auch mit der DSGVO relativ unübersichtlich. Unternehmen sollten sich hier von Experten beraten lassen und jeweils im Einzelfall prüfen, welche Behörde tatsächlich zuständig ist. Da die DSGVO gleichzeitig die Aufgaben der entsprechenden Behörden ausweitet, kommt in diesem Bereich einiges auf die Unternehmen zu.
