Fragen zur Datenschutz-Grundverordnung

Mit Datenschutz-Aufsichtsbehörden richtig kooperieren

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Unternehmen sollten nicht auf Prüfungen der Datenschutz-Aufsichtsbehörden warten, sondern aktiv deren Angebote zur Unterstützung nutzen.
Unternehmen sollten nicht auf Prüfungen der Datenschutz-Aufsichtsbehörden warten, sondern aktiv deren Angebote zur Unterstützung nutzen. (© bakhtiarzein - stock.adobe.com)

Wenn es um die Datenschutz-Grundverordnung (DSGVO / GDPR) und Aufsichtsbehörden geht, denken viele Unternehmen zuerst an die möglichen Sanktionen und die enorme Höhe der Bußgelder, die da kommen könnten. Doch die Aufsichtsbehörden sollten nicht als reine Kontrollbehörden gesehen werden. Sie bieten vieles an Unterstützung, man sollte deshalb die Zusammenarbeit mit ihnen suchen.

Wer die Sorge hat, die Umsetzung der Datenschutz-Grundverordnung (DSGVO / GDPR) nicht fristgerecht zu schaffen, denkt mit sehr gemischten Gefühlen an die Aufsichtsbehörden für den Datenschutz. Im Vordergrund stehen dann gedanklich die Aufgaben und Befugnisse der Aufsichtsbehörden wie

  • Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen,
  • eine Überprüfung von Zertifizierungen durchzuführen,
  • den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen die DSGVO hinzuweisen,
  • gemäß dem Verfahrensrecht der Union oder dem Verfahrensrecht des Mitgliedstaats Zugang zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten,
  • einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen die DSGVO verstoßen,
  • einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen die DSGVO verstoßen hat,
  • den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach DSGVO zustehenden Rechte zu entsprechen,
  • den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der DSGVO zu bringen,
  • den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person entsprechend zu benachrichtigen,
  • eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen,
  • eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle anzuweisen, eine erteilte Zertifizierung zu widerrufen, oder die Zertifizierungsstelle anzuweisen, keine Zertifizierung zu erteilen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden,
  • eine Geldbuße zu verhängen,
  • die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anzuordnen.

Das stimmt auch alles, dies gehört zu den Befugnissen und Aufgaben, doch die Aufsichtsbehörden machen nicht nur das.

Aufsichtsbehörden beraten und unterstützen auch

Zu den Aufgaben der Aufsichtsbehörden für den Datenschutz zählen unter anderem auch

  • den Verantwortlichen zu beraten,
  • zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Anfrage Stellungnahmen an das nationale Parlament, die Regierung des Mitgliedstaats oder im Einklang mit dem Recht des Mitgliedstaats an sonstige Einrichtungen und Stellen sowie an die Öffentlichkeit zu richten,
  • Zertifizierungsstellen zu akkreditieren,
  • Zertifizierungen zu erteilen und Kriterien für die Zertifizierung zu billigen,
  • Standarddatenschutzklauseln festzulegen oder
  • Vertragsklauseln zu genehmigen, um nur einige Beispiele zu nennen.

Tatsächlich sind die Aufgaben der Aufsichtsbehörden weitaus umfangreicher als die reine Aufsicht, wie die DSGVO deutlich zeigt. Aufgaben der Aufsichtsbehörden sind auch:

  • die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung zu sensibilisieren und sie darüber aufzuklären,
  • die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus der DSGVO entstehenden Pflichten zu sensibilisieren,
  • auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte aufgrund der DSGVO zur Verfügung zu stellen und gegebenenfalls zu diesem Zweck mit den Aufsichtsbehörden in anderen Mitgliedstaaten zusammen zu arbeiten,
  • sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes zu befassen,
  • maßgebliche Entwicklungen zu verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie und der Geschäftspraktiken,
  • eine Liste der Verarbeitungsarten zu erstellen und zu führen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist,
  • die Ausarbeitung von Verhaltensregeln zu fördern,
  • die Einführung von Datenschutzzertifizierungsmechanismen und von Datenschutzsiegeln und -prüfzeichen anzuregen.

Unternehmen als verantwortliche Stelle oder Auftragsverarbeiter (zum Beispiel Cloud Provider) können also Hilfe und Unterstützung bei den Aufsichtsbehörden erlangen. Sensibilisierung und Beratung gehört bei den Aufsichtsbehörden zu den wesentlichen Aufgaben, nicht nur Kontrolle und das Verhängen von möglichen Bußgeldern, wie manche denken mögen.

Aufsichtsbehörden helfen bei der Auslegung der DSGVO

Der Beratungsbedarf rund um die DSGVO ist hoch, das wissen und spüren die Aufsichtsbehörden. Deshalb haben sie auch bereits einen höheren Personalbedarf angemeldet, nicht nur für Prüfungen, sondern auch für die

  • europaweit einheitliche Auslegung der Grundverordnung in Bezug auf fehlende Regelungen (z. B. zum Scoring) und neue Anforderungen (z. B. Recht auf transparente Information oder Recht auf Datenübertragbarkeit),
  • verpflichtende Beratung von Behörden und Unternehmen bei der Datenschutz-Folgenabschätzung, sowie Beratung bei der Umsetzung neuer Anforderungen wie Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Privacy by Design, Privacy by Default).

Dadurch werden die Aufsichtsbehörden ganz konkrete Hilfe bei der weiteren Umsetzung und Befolgung der DSGVO leisten.

An die Aufsichtsbehörde wenden

Wenn Unternehmen die Aufsichtsbehörden als Beratungsstelle und Unterstützung kontaktieren wollen, verkürzt es die Anfragewege, gleich die zuständige Aufsichtsbehörde zu kontaktieren. Wer das jeweils ist, ergibt sich aus der DSGVO (Artikel 56). Wenn es um die Beratung und Unterstützung geht, wendet man sich in Deutschland an die jeweils zuständige Aufsichtsbehörde im jeweiligen Bundesland.

Für eine grenzüberschreitende Datenverarbeitung gilt: Die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters ist die zuständige federführende Aufsichtsbehörde. Die DSGVO führt das Prinzip One Shop Stop ein, es gibt damit bei grenzüberschreitender Verarbeitung personenbezogener Daten mit der federführenden Aufsichtsbehörde einen alleinigen Ansprechpartner, zum Vorteil der Unternehmen. Die Bundesdatenschutzbeauftragte erklärte dazu: „Aufgrund des durch die Datenschutz-Grundverordnung eingeführten sogenannten „One-Stop-Shop-Mechanismus“ ist es für Unternehmen, die Niederlassungen in mehreren EU-Mitgliedstaaten führen und dort Datenverarbeitung betreiben, einfacher als bisher, ihre datenschutzrechtlichen Angelegenheiten zu klären.“

Und genau das sollten Unternehmen auch tun: Nicht auf Prüfungen der Aufsichtsbehörden warten, sondern aktiv die Angebote zur Unterstützung durch die Aufsichtsbehörden nutzen, um datenschutzrechtliche Angelegenheiten zu klären.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45269394 / Compliance und Datenschutz )