Kontroll-Instrumente und Befugnisse der Aufsichtsbehörden

Über welche Kontroll-Instrumente verfügen die Aufsichtsbehörden?

Den Instrumentenschrank der Aufsichtsbehörden hat der EU-Gesetzgeber mit Werkzeugen unterschiedlicher Art und Schärfe gefüllt. Es gibt drei „Schubladen“:

   -    Untersuchungsbefugnisse,
   -    Abhilfebefugnisse und
   -    Beratungs- und Genehmigungsbefugnisse.

Was sind die Untersuchungsbefugnisse?
Die Untersuchungsbefugnisse sind die Kontrollbefugnisse im eigentlichen Sinn (Art. 58 Abs. 1 DSGVO). Die Aufsichtsbehörde kann Untersuchungen durchführen („Datenschutzüberprüfungen“). Dafür kann sie im Vorfeld den Arbeitgeber verpflichten, ihr Informationen zu übermitteln, die für die Kontrolle erforderlich sind. Ferner hat sie ein Zugangsrecht zu allen notwendigen personenbezogenen Daten und Informationen, einschließlich des Rechts zum Zugang zu den Geschäftsräumen und allen Datenverarbeitungsanlagen des Arbeitgebers sowie ggf. eines Auftragsverarbeiters. Entdeckt die Aufsichtsbehörde einen mutmaßlichen Verstoß gegen die Verordnung, weist sie den Arbeitgeber darauf hin.

Was sind die Abhilfebefugnisse?
Die Abhilfebefugnisse sind darauf gerichtet, einen festgestellten oder als unmittelbar bevorstehend erkannten Verstoß zu beseitigen oder zu sanktionieren (Art. 58 Abs. 2 DSGVO).

Als mildestes Abhilfeinstrument – als „Warnschuss“ – sieht die DSGVO eine Warnung bzw. Verwarnung vor:

   -    Eine Warnung wird ausgesprochen, wenn noch nicht begonnene, aber geplante
        Datenverarbeitungsvorgänge gegen die DSGVO und das neue BDSG oder eine
        Betriebsvereinbarung verstoßen.

   -    Eine Verwarnung wird ausgesprochen, wenn bereits durchgeführte Verarbeitungsvorgänge gegen
        die DSGVO und das neue BDSG oder eine Betriebsvereinbarungen verstoßen.

Die Aufsichtsbehörde kann einen Arbeitgeber ferner anweisen, dass und wie er seine EDV gestalten und durchführen muss, damit sie den Datenschutzvorschriften entspricht.

Als noch einschneidenderes Instrument darf eine Aufsichtsbehörde eine vorübergehende oder endgültige Beschränkung oder ein komplettes Verbot der Verarbeitung verhängen. Hinsichtlich bereits erhobener Daten hat sie die Möglichkeit, die Löschung anzuordnen. Alle diese Anordnungen können mit Zwangsmitteln, wie Zwangsgeldern, durchgesetzt werden (siehe Kurzpapier Nr. 2 der Datenschutzkonferenz zu Aufsichtsbefugnissen/Sanktionen).

Schließlich kann die Aufsichtsbehörde empfindliche Geldbußen verhängen (siehe unten). Dies kann sie an Stelle einer der vorgenannten Maßnahmen oder zusätzlich tun. Entscheidend dafür, zu welchen Mitteln die Aufsichtsbehörde greift, ist die Schwere des Verstoßes.

Was sind die beratenden Befugnisse und Genehmigungsbefugnisse?
Die Aufsichtsbehörde kann jedoch nicht nur Informationen beschaffen und repressiv tätig werden. Ihr stehen auch Beratungsbefugnisse gemäß Art. 58 Abs. 3 DSGVO zu. Diese sollen bereits weiter im Vorfeld einen Verstoß verhindern. Sie zielen darauf ab, dass Arbeitgeber sie von sich aus in Anspruch nehmen und sich bezüglich ihrer Datenverarbeitung von den Aufsichtsbehörden beraten lassen.

Dagegen sind die Arbeitgeber verpflichtet, die Aufsichtsbehörde zu konsultieren, wenn eine Datenschutz-Folgenabschätzung ein hohes Risiko für die Beschäftigten ergibt und der Arbeitgeber keine Maßnahmen zur Eindämmung des Risikos trifft (Art. 36 DSGVO). In dem Fall müssen die Aufsichtsbehörden den Arbeitgeber mit Empfehlungen beraten.

Aufsichtsbehörden haben außerdem die Befugnis und Aufgabe, sog. „interne verbindliche Datenschutzvorschriften“ (corporate binding rules) von Arbeitgebern zu genehmigen, wenn diese genehmigungsfähig sind (Art. 47 DSGVO). Dabei handelt es sich um Vorschriften, die Datenschutzvorkehrungen enthalten, die so hoch sind, dass ein Datentransfer in Drittstaaten, wie die USA, ermöglicht werden kann. Diese internen verbindlichen Datenschutzvorschriften können und müssen oft in Form einer Betriebsvereinbarung abgeschlossen werden. Hier ist die Initiative des Betriebsrats gefragt.


zurück