In Deutschland sind vor allem zwei Organe für die Kontrolle des Datenschutzes wichtig: Das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) und der / die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (kurz BfDI).
Aufgaben und Befugnisse des BSI
Das BSI wurde am 1. Januar 1991 gegründet und ist im europäischen Vergleich einzigartig. Das BSI ist der zentrale IT-Sicherheitsdienstleister des Bundes, aber auch Unternehmen und Privatpersonen gehören zu seinen Kunden. Es ist für die IT-Sicherheit in Deutschland verantwortlich und hat folgende vier Arbeitsbereiche:
- Zertifizierung: Es prüft, bewertet und zertifiziert IT-Systeme hinsichtlich ihrer Sicherheit. Die Zulassung von IT-Systemen für die Verarbeitung geheimer Informationen gehört ebenfalls dazu.
Information: Es informiert zu allen wichtigen Themen der IT-Sicherheit.
Beratung: Es berät den Bund und Unternehmen jeder Größe in Fragen der IT-Sicherheit und unterstützt bei der Umsetzung geeigneter Maßnahmen.
Entwicklung: Das BSI entwickelt IT-Sicherheitsanwendungen und -produkte.
Konkret ergeben sich daraus z.B. folgende Aufgaben und Befugnisse:
Als zentrale Meldestelle für IT-Sicherheit sammelt und wertet das BSI Informationen über Sicherheitsmängel und neue Angriffsmuster auf die Informationstechnik aus. Dadurch soll gewährleistet werden, dass Cyberangriffe frühzeitig erkannt und bekämpft werden können.
Das BSI hat die Befugnis, Protokolldaten sowie Kommunikationsdaten des Bundes zu erheben, auszuwerten, zu speichern, zu verwenden und zu verarbeiten.
Das BSI darf die betroffenen Stellen oder die Öffentlichkeit über Sicherheitslücken in informationstechnischen Produkten und Diensten aufklären.
Es ist befugt, einheitliche und strenge Sicherheitsstandards für die Bundesverwaltung zu definieren und bei Bedarf erforderliche Produkte entwickeln zu lassen. So kann verhindert werden, dass ungeeignete Programme mit Schwachstellen in der Bundesverwaltung und in den Regierungsnetzen zum Einsatz kommen.
Seit 2018 veröffentlicht das BSI jährlich das IT-Grundschutz-Kompendium. Mit dem Kompendium erhalten Anwender konkrete Empfehlungen zur Umsetzung der IT-Grundschutz-Methodik, die bereits seit 25 Jahren existiert und weiterentwickelt wird. Durch seine Kompatibilität zu ISO 27001 ist der IT-Grundschutz des BSI auch international anerkannt.
Aufgaben und Befugnisse des BfDI
Entgegen der landläufigen Annahme existiert kein Bundesamt für Datenschutz. Stattdessen gibt es seit 1978 dieInstitution des BfDI. Der/ Die Bundesbeauftragte für Datenschutz und Informationsfreiheit wird alle 5 Jahre vom Deutschen Bundestag gewählt. Die Gesetzesgrundlage der Pflichten und Rechte des BfDI ist in den Art. 51-59 DSGVO und in §§ 8-19 BDSG geregelt. Im Vergleich zur früheren Gesetzeslage hat der BfDI seit der DSGVO deutlich wirksamere Möglichkeiten, das Datenschutzrecht durchzusetzen.
Der BfDI ist eine unabhängige und eigenständige oberste Bundesbehörde mit etwa 180 Mitarbeiter:innen. Seit Januar 2019 ist Ulrich Kelber der Bundesbeauftragte und steht der Behörde vor. Jede Person, die ihre Rechte in puncto Datenschutz verletzt sieht, kann Kontakt mit dem / der BfDI aufnehmen. Die Beratung ist kostenfrei und vertraulich.
Aufgaben des BfDI sind darüber hinaus beispielsweise:
Überwachung und Durchsetzung der DSGVO und des BDSG
Sensibilisierung und Aufklärung der Öffentlichkeit
Beratung zu allen Belangen des Datenschutzes und der Informationsfreiheit
Bearbeitung von Beschwerden von betroffenen Personen oder Datenschutzverbänden
Kooperation mit anderen Aufsichtsbehörden in Deutschland und Europa
Datenschutzkontrolle aller öffentlichen Stellen (also Bundesministerien, Dienststellen des Zolls, Bundespolizei, Bundeswehr, Wasser- und Schifffahrtsdirektionen) wie auch bestimmte Träger der sozialen Sicherung (zum Beispiel die Agenturen für Arbeit), gesetzliche Krankenkassen, Unfallkassen oder die Deutsche Rentenversicherung Bund und Telekommunikations- und Postdienstunternehmen
Beiträge zur Tätigkeit des Europäischen Datenschutzausschusses
Seit 2018 jährliche Veröffentlichung eines Tätigkeitsberichts.
Durch die gesetzliche Stärkung des BfDI müssen ihm / ihr alle öffentlichen Stellen des Bundes und Anbieter von Post- oder Telekommunikationsdiensten
Auskunft geben,
Einsicht in alle Unterlagen und Akten gewähren (auch in solche, die der Geheimhaltung unterliegen) und
jederzeit Zutritt zu allen Diensträumen gestatten.
Er / sie hat außerdem die Befugnis
datenschutzrechtlich Verantwortliche oder einen Auftragsverarbeiter zu verwarnen,
eine vorübergehende Beschränkung oder ein Verbot der Datenverarbeitung zu verhängen,
die Berichtigung oder Löschung von personenbezogenen Daten anzuordnen,
Bußgelder zu verhängen sowie
die Übermittlung von Daten in Drittländer auszusetzen.
Es ist dem / der BfDI jedoch nicht gestattet, den Bundesbehörden darüber hinaus Weisungen zu erteilen. Verantwortliche können die Maßnahmen des / der Bundesbeauftragten vor dem Verwaltungsgericht überprüfen lassen.
Autorinnen: Maike Weiss und Kathrin Strauß
Artikel veröffentlicht am: 27. Januar 2020