Deutsche Behörde

BSI und BfDI – Die Kontrollorgane des Datenschutzes

Wer kontrolliert in Deutschland eigentlich, dass der Datenschutz ernstgenommen wird, an wen können sich Bürger:innen wenden, wenn sie ihre Rechte verletzt sehen und gibt es wirklich ein Bundesamt für Datenschutz?

2020-01-27

Logo

In Deutschland sind vor allem zwei Organe für die Kontrolle des Datenschutzes wichtig: Das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) und der / die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (kurz BfDI).

 

Aufgaben und Befugnisse des BSI

Das BSI wurde am 1. Januar 1991 gegründet und ist im europäischen Vergleich einzigartig. Das BSI ist der zentrale IT-Sicherheitsdienstleister des Bundes, aber auch Unternehmen und Privatpersonen gehören zu seinen Kunden. Es ist für die IT-Sicherheit in Deutschland verantwortlich und hat folgende vier Arbeitsbereiche:

  • Zertifizierung: Es prüft, bewertet und zertifiziert IT-Systeme hinsichtlich ihrer Sicherheit. Die Zulassung von IT-Systemen für die Verarbeitung geheimer Informationen gehört ebenfalls dazu.
  • Information: Es informiert zu allen wichtigen Themen der IT-Sicherheit.

  • Beratung: Es berät den Bund und Unternehmen jeder Größe in Fragen der IT-Sicherheit und unterstützt bei der Umsetzung geeigneter Maßnahmen.

  • Entwicklung: Das BSI entwickelt IT-Sicherheitsanwendungen und -produkte.

 

Konkret ergeben sich daraus z.B. folgende Aufgaben und Befugnisse:

  • Als zentrale Meldestelle für IT-Sicherheit sammelt und wertet das BSI Informationen über Sicherheitsmängel und neue Angriffsmuster auf die Informationstechnik aus. Dadurch soll gewährleistet werden, dass Cyberangriffe frühzeitig erkannt und bekämpft werden können.

  • Das BSI hat die Befugnis, Protokolldaten sowie Kommunikationsdaten des Bundes zu erheben, auszuwerten, zu speichern, zu verwenden und zu verarbeiten.

  • Das BSI darf die betroffenen Stellen oder die Öffentlichkeit über Sicherheitslücken in informationstechnischen Produkten und Diensten aufklären.

  • Es ist befugt, einheitliche und strenge Sicherheitsstandards für die Bundesverwaltung zu definieren und bei Bedarf erforderliche Produkte entwickeln zu lassen. So kann verhindert werden, dass ungeeignete Programme mit Schwachstellen in der Bundesverwaltung und in den Regierungsnetzen zum Einsatz kommen.

  • Seit 2018 veröffentlicht das BSI jährlich das IT-Grundschutz-Kompendium. Mit dem Kompendium erhalten Anwender konkrete Empfehlungen zur Umsetzung der IT-Grundschutz-Methodik, die bereits seit 25 Jahren existiert und weiterentwickelt wird. Durch seine Kompatibilität zu ISO 27001 ist der IT-Grundschutz des BSI auch international anerkannt.

 

Aufgaben und Befugnisse des BfDI

Entgegen der landläufigen Annahme existiert kein Bundesamt für Datenschutz. Stattdessen gibt es seit 1978 dieInstitution des BfDI. Der/ Die Bundesbeauftragte für Datenschutz und Informationsfreiheit wird alle 5 Jahre vom Deutschen Bundestag gewählt. Die Gesetzesgrundlage der Pflichten und Rechte des BfDI ist in den Art. 51-59 DSGVO und in §§ 8-19 BDSG geregelt. Im Vergleich zur früheren Gesetzeslage hat der BfDI seit der DSGVO deutlich wirksamere Möglichkeiten, das Datenschutzrecht durchzusetzen.

Der BfDI ist eine unabhängige und eigenständige oberste Bundesbehörde mit etwa 180 Mitarbeiter:innen. Seit Januar 2019 ist Ulrich Kelber der Bundesbeauftragte und steht der Behörde vor. Jede Person, die ihre Rechte in puncto Datenschutz verletzt sieht, kann Kontakt mit dem / der BfDI aufnehmen. Die Beratung ist kostenfrei und vertraulich.

Aufgaben des BfDI sind darüber hinaus beispielsweise:

  • Überwachung und Durchsetzung der DSGVO und des BDSG

  • Sensibilisierung und Aufklärung der Öffentlichkeit

  • Beratung zu allen Belangen des Datenschutzes und der Informationsfreiheit

  • Bearbeitung von Beschwerden von betroffenen Personen oder Datenschutzverbänden

  • Kooperation mit anderen Aufsichtsbehörden in Deutschland und Europa

  • Datenschutzkontrolle aller öffentlichen Stellen (also Bundesministerien, Dienststellen des Zolls, Bundespolizei, Bundeswehr, Wasser- und Schifffahrtsdirektionen) wie auch bestimmte Träger der sozialen Sicherung (zum Beispiel die Agenturen für Arbeit), gesetzliche Krankenkassen, Unfallkassen oder die Deutsche Rentenversicherung Bund und Telekommunikations- und Postdienstunternehmen

  • Beiträge zur Tätigkeit des Europäischen Datenschutzausschusses

  • Seit 2018 jährliche Veröffentlichung eines Tätigkeitsberichts.

 

Durch die gesetzliche Stärkung des BfDI müssen ihm / ihr alle öffentlichen Stellen des Bundes und Anbieter von Post- oder Telekommunikationsdiensten

  • Auskunft geben,

  • Einsicht in alle Unterlagen und Akten gewähren (auch in solche, die der Geheimhaltung unterliegen) und

  • jederzeit Zutritt zu allen Diensträumen gestatten.

 

Er / sie hat außerdem die Befugnis

  • datenschutzrechtlich Verantwortliche oder einen Auftragsverarbeiter zu verwarnen,

  • eine vorübergehende Beschränkung oder ein Verbot der Datenverarbeitung zu verhängen,

  • die Berichtigung oder Löschung von personenbezogenen Daten anzuordnen,

  • Bußgelder zu verhängen sowie

  • die Übermittlung von Daten in Drittländer auszusetzen.

Es ist dem / der BfDI jedoch nicht gestattet, den Bundesbehörden darüber hinaus Weisungen zu erteilen. Verantwortliche können die Maßnahmen des / der Bundesbeauftragten vor dem Verwaltungsgericht überprüfen lassen.

Autorinnen: Maike Weiss und Kathrin Strauß
Artikel veröffentlicht am: 27. Januar 2020

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr