Themenreihe DSGVO: Datenschutz im Unternehmen (Teil 3)

20. Juli 2017

Aufsichtsbehörde, Art. 51 ff. DSGVO
Art. 51 DSGVO enthält die Vorgabe für die Mitgliedstaaten, unabhängige Aufsichtsbehörden einzurichten. Aufgabe dieser Behörden soll einerseits der Schutz der Grundrechte und Grundfreiheiten sein, andererseits aber auch die Erleichterung des freien Verkehrs von personenbezogenen Daten innerhalb der Union. Diese doppelte Aufgabe wird als vorrangiges Ziel der Aufsichtsbehörde verstanden und soll bei Entscheidungen einen gerechten Ausgleich zwischen die Interessen der Verantwortlichen und der Betroffenen bringen.

Darüber hinaus schreibt Art. 51 Abs. 2 DSGVO die kohärente Anwendung der Vorschriften der DSGVO durch die Aufsichtsbehörden vor. Hierzu sollen die Aufsichtsbehörden sowohl untereinander als auch mit der Kommission eng zusammenarbeiten, eine nähere Ausgestaltung dieser Zusammenarbeit findet sich in Kapitel VII der DSGVO. Insbesondere soll die Zuständigkeit genauer geregelt werden, um zukünftig ein forum shopping zu verhindern.

Die Zuständigkeit der Aufsichtsbehörden beschränkt sich grundsätzlich gem. Art. 55 Abs. 1 DSGVO auf das Hoheitsgebiet des eigenen Mitgliedsstaates.
Die Art. 55 und 56 DSGVO regeln Fälle der grenzüberschreitenden Datenverarbeitung, in denen die Zuständigkeit bei einer federführenden Aufsichtsbehörde liegen soll. Daneben wird den übrigen Behörden ein Mitspracherecht und ein eigener Entscheidungsspielraum für die Fälle eingeräumt, in denen die federführende Behörde keine vorrangige Zuständigkeit hat.
Für den Fall, dass von einem Sachverhalt mehrere Aufsichtsbehörden nach Art. 4 Nr. 22 DSGVO betroffen sind, bestimmt Art. 56 eine federführende Behörde. Diese ist dann nach dem in Art. 60 DSGVO beschriebenen Verfahren für die Zusammenarbeit mit den anderen Aufsichtsbehörden zuständig. Nach Art. 56 Abs. 1 DSGVO bestimmt sich die federführende Behörde danach, wo sich der Hauptsitz des Unternehmens des Datenverarbeiters oder seine einzige Niederlassung befindet.

One-Stop-Shop, Art. 56 Abs. 6 DSGVO
Die Regelung des Art. 56 Abs. 6 DSGVO bewirkt, dass sich der Verantwortliche oder Auftragsverarbeiter in Fällen der grenzüberschreitenden Datenverarbeitung ausschließlich an die für ihn zuständige federführende Aufsichtsbehörde wenden kann. Dieses Prinzip des One-Stop-Shop soll dazu dienen, dass in Zukunft auch bei grenzüberschreitenden Sachverhalten, die Kommunikation und Abstimmung der Vorgehensweisen durch die Einbeziehung nur einer Aufsichtsbehörde erleichtert werden.

Bestellung eines DSB, Art. 35 ff. DSGVO
Art. 37 DSGVO schreibt die Bestellung eines Datenschutzbeauftragten (DSB) in den in Absatz 1 aufgelisteten Fällen vor. Damit muss ab 2018 jedes Unternehmen, das aus datenschutzrechtlicher Sicht einer Kontrolle bedarf einen DSB benennen.

Deutschland hat bereits die in der DSRL vorgesehene Öffnungsklausel genutzt und in § 4f BDSG die Bestellung des DSB geregelt, sodass hier voraussichtlich keine Änderungen zu erwarten sind.

Nach Art. 37 Abs. 1 lit. b) und lit. c) DSGVO muss ein DSB bestellt werden, wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche einer Überwachung bedürfen oder wenn die Kerntätigkeit in der Verarbeitung besonderer Kategorien von Daten gem. Art. 9 oder Art. 10 besteht.
Unter dem Begriff der Kerntätigkeit ist jede Tätigkeit zu verstehen, die essentiell für die Erreichung der Ziele des Unternehmens sind.

Der Pflichtenkreis des DSB wird durch Art. 39 DSGVO erweitert. Während der DSB bisher nur auf die Einhaltung des BDSG „hinwirken“ sollte, sieht die DSGVO künftig eine Überwachungspflicht hinsichtlich der Einhaltung des gesamten anwendbaren Datenschutzrechts sowie der Einhaltung der Datenschutzstrategien vor. Es bleibt dabei, dass der DSB keine Weisungs- oder Entscheidungsbefugnis hinsichtlich der Datenverarbeitung hat, solange er den ihm zugewiesenen Aufgaben ordnungsgemäß nachkommt.
Des Weiteren ergibt sich aus Art. 38 Abs. 4 DSGVO die Pflicht des DSB, gegenüber betroffenen Personen Anfragen, Hinweisen und Beschwerden nachzugehen und die betroffenen Personen dahingehend zu beraten. Art. 39 DSGVO bringt auch den risikobasierten Ansatz der DSGVO zum Ausdruck: je sensibler die Art der verarbeiteten Daten und je größer der Umfang, desto sorgfältiger und umfangreicher muss der DSB arbeiten.

Die DSGVO lässt die Haftungsfragen des DSB weitgehend unbeantwortet. Jedenfalls sind gem. Art. 83 Abs. 4 und Abs. 5 DSGVO keine Geldbußen gegenüber DSB vorgesehen. Eine Regelung bzgl. einer zivilrechtlichen sowie straf- und ordnungswidrigkeitenrechtliche Haftung des DSB sieht die DSGVO nicht vor. Insgesamt bleibt abzuwarten, wie die Gerichte und Aufsichtsbehörden die Regelungen auslegen. Der DSB sollte solange die Erfüllung seiner Aufgaben und Pflichten ausführlich dokumentieren, um nachweisen zu können, dass er das seinerseits Erforderliche hinsichtlich der Einhaltung des Datenschutzes im Unternehmen getan hat.

Sanktionen, Art. 83 DSGVO
Bei Verstößen von Verantwortlichen oder Auftragsverarbeitern gegen die DSGVO, haben die Aufsichtsbehörden nach Art. 58 Abs. 1 und Abs. 2 DSGVO die Möglichkeit, Sanktionen zu verhängen. Vorrangiges Ziel der Verhängung von Bußgeldern soll die Abschreckung von Unternehmen sein. Diese soll unter der Berücksichtigung der Umstände des Einzelfalls wirksam und verhältnismäßig sein.

Art. 83 Abs. 2 DSGVO stellt der Aufsichtsbehörde Ermessenskriterien bei der Verhängung von Geldbußen zur Verfügung, die sich insbesondere an der Art, Schwere und dem Umfang des Verstoßes orientieren. Daneben ist unter anderem zu berücksichtigen, ob der Verstoß fahrlässig oder vorsätzlich begangen wurde und welche Maßnahmen zur Schadensminimierung ergriffen wurden.

In der nächsten Woche folgt noch der Abschlussbeitrag der Themenreihe DSGVO.