Die Abhilfebefugnisse der Aufsichtsbehörden
Analyse
/ 22. Juni 2020

Die Abhilfebefugnisse der Aufsichtsbehörden

Geht es um Sanktionen der Aufsichtsbehörden, gilt meist der erste Gedanke den Geldbußen. Doch es gibt weit mehr Möglichkeiten, wie eine Aufsichtsbehörde gegen Verantwortliche vorgehen kann.

Die Aufgaben der Aufsichtsbehörden im Überblick

Wer sich den Befugnissen der Datenschutzaufsichtsbehörden widmet, muss zunächst Klarheit darüber haben, welche Aufgaben die Aufsichten erfüllen sollen. Art. 57 DSGVO regelt detailliert, welche Aufgaben den Datenschutzaufsichtsbehörden obliegen.

Allein Art. 57 Abs. 1 DSGVO enthält 22 Aufgaben. Es lohnt sich für alle Verantwortlichen und Auftragsverarbeiter, diese Liste im Einzelnen durchzugehen. Im Wesentlichen betreffen die Aufgaben die folgenden Punkte:

  • die Anwendung der Datenschutz-Grundverordnung zu überwachen und durchzusetzen
  • Anfragen und Beschwerden von betroffenen Personen zu bearbeiten
  • Unternehmen für den Datenschutz zu sensibilisieren
  • Untersuchungen über die Anwendung der Vorschriften durchzuführen

Die DSGVO adressiert ganz ausdrücklich eine Vielzahl von Interessengruppen, für die die Datenschutzaufsichtsbehörden die genannten Aufgaben wahrnehmen sollen. Dazu gehören:

  • die Öffentlichkeit (Art. 57 Abs. 1 Buchst. b)
  • alle betroffenen Personen und Beratungssuchenden (Art. 57 Abs. 1 Buchst. d, e, f, l)
  • nationale Parlamente, Regierungen und andere Einrichtungen und Gremien (Art. 57 Abs. 1 Buchst. c)
  • andere Aufsichtsbehörden (Art. 57 Abs. 1 Buchst. g)
  • alle Verantwortlichen und Auftragsverarbeiter (Art. 57 Abs. 1 Buchst. d)

Die Aufsichtsbehörden sind sogar angehalten, maßgebliche Entwicklungen in der schnelllebigen Wirtschafts- und Digitalwelt zu verfolgen. Das betrifft etwa Informations- und Kommunikationstechnologien und neue Geschäftspraktiken (Art. 57 Abs. 1 Buchst. i).

Die Befugnisse der Aufsichtsbehörden im Überblick

Gerade die scharfen Geldbußen von Art. 83 DSGVO und die Befugnisse der Datenschutzaufsichtsbehörden haben das Datenschutzrecht zu einem der wichtigsten betrieblichen Compliance-Themen aufgewertet.

So sehr der Fokus auch darauf gerichtet sein mag, Geldbußen zu verhindern: Es geht nicht nur um die enorme Durchsetzungskraft der Datenschutzaufsichtsbehörden und ihrer Sanktionen.

Artikel 58 DSGVO sieht insgesamt 26 Einzelbefugnisse vor, die kumulativ nebeneinander bestehen. Sie schließen sich also nicht gegenseitig aus, sondern können allesamt zum Einsatz kommen.

Sie sollen die Aufsichtsbehörden in die Lage versetzen, ihre gesetzlichen Aufgaben gemäß Art. 57 DSGVO zu erfüllen. Es ist für alle Verantwortlichen und Auftragsverarbeiter unbedingt zu empfehlen, sich die Systematik der Sanktionen und aufsichtsbehördlichen Befugnisse klar zu machen.

Zu den Befugnissen der Aufsichtsbehörden gemäß Art. 58 DSGVO gehören

  • Untersuchungsbefugnisse (Abs. 1),
  • Abhilfebefugnisse (Abs. 2),
  • Genehmigungs- und Beratungsbefugnisse (Abs. 3) sowie
  • Klagerecht bzw. Anzeigebefugnis (Abs. 4).

Während die Genehmigungs- und Beratungsbefugnisse eher präventive Maßnahmen vorsehen, setzt die Ausübung von Abhilfebefugnissen nach Abs. 2 voraus, dass ein Datenschutzverstoß vorliegt oder bevorsteht.

Ihre Untersuchungsbefugnisse können Aufsichtsbehörden demgegenüber unabhängig vom Anlass ausüben, da sie dazu dienen, einen Datenschutzverstoß zu ermitteln.

Diese Befugnisse kommen grundsätzlich sowohl gegenüber Unternehmen als auch gegenüber Behörden und anderen öffentlichen Stellen zur Anwendung.

Selbst wenn also nach § 43 Abs. 3 Bundesdatenschutzgesetz öffentliche Stellen von Geldbußen ausgenommen sind, können sie Gegenstand der anderen Befugnisse werden.

Die Abhilfebefugnisse im Detail (Art. 58 Abs. 2 DSGVO)

Im Folgenden seien die Abhilfebefugnisse der Datenschutzaufsichtsbehörden gemäß Art. 58 Abs. 2 DSGVO beleuchtet.

Neben der Befugnis, Geldbußen wegen Verstößen gegen die DSGVO zu verhängen (Art. 58 Abs. 2 Buchst. i in Verbindung mit Art. 83 DSGVO), zählen zu den Abhilfebefugnissen weitreichende Befugnisse, die gravierende Konsequenzen in Form von Abhilfemaßnahmen haben können. Sie sollen es den Behörden ermöglichen, rechtmäßige Zustände herzustellen.

1. Warnung (Buchst. a)

Die Datenschutzaufsichtsbehörde kann einen Verantwortlichen bzw. einen Auftragsverarbeiter warnen, wenn sie in der Datenverarbeitung voraussichtlich einen Verstoß gegen die DSGVO sieht.

Im Gegensatz zu den sonstigen Befugnissen von Art. 58 Abs. 2 DSGVO handelt es sich bei der Warnung um eine präventive Maßnahme. Sie erfolgt zu einem Zeitpunkt, zu dem die Datenverarbeitung noch nicht stattgefunden hat.

2. Verwarnung (Buchst. b)

Die Verwarnung ist dagegen schon eine datenschutzrechtliche „Gelbe Karte“. Die Aufsichtsbehörde kann verwarnen, wenn eine Daten verarbeitende Stelle gegen die DSGVO verstoßen hat.

Die Verwarnung beschränkt sich allerdings lediglich darauf, den Verstoß objektiv festzustellen. Aussagen über subjektive Merkmale bei den handelnden Personen und die Vorwerfbarkeit sind mit der Verwarnung nicht verbunden.

Beispiel: Ein Verantwortlicher kann sich an die Datenschutzbehörde wenden, wenn er Zweifel an der Rechtmäßigkeit einer geplanten Verarbeitung hat. Die Behörde gibt dann eine Prognose ab, die auf einer summarischen Prüfung der Sach- und Rechtslage beruht. Insoweit entspricht die Warnung einem strengen Hinweis des Schiedsrichters.

3. Anweisung (Buchst. c)

Die Aufsichtsbehörde kann die Daten verarbeitende Stelle zudem anweisen, den Anträgen von Betroffenen zu entsprechen. Damit sind v.a. Anträge auf Auskunft gemäß den ersten beiden Abschnitten des Kapitels 3 der DSGVO gemeint (vgl. Art. 12 Abs. 1 Satz 2, Abs. 3 Satz 1, Art. 15 Abs. 1, Abs. 2 und 3 DSGVO).

In Bezug auf die Antragsrechte von betroffenen Personen im Bereich der Berichtigung und Löschung enthält Art. 58 Abs. 2 Buchst. g eine speziellere Vorschrift.

4. Allgemeine Anordnungsbefugnis (Buchst. d)

Zu den wichtigsten Befugnissen der Datenschutzaufsichtsbehörden zählt die allgemeine Anordnungsbefugnis. Danach kann die Aufsichtsbehörde anordnen, dass der Verantwortliche bzw. der Auftragsverarbeiter seine Datenverarbeitungsvorgänge mit der DSGVO in Einklang bringen muss.

Diese Befugnis bezieht sich nicht darauf, eine bestimmte Vorschrift durchzusetzen. Es geht vielmehr um die Anordnung, dass die datenverarbeitende Stelle ihre Verarbeitungsprozesse mit jeder Vorschrift der DSGVO in Einklang bringt, also mit allen rechtlichen, technischen und organisatorischen Vorschriften.

So kann die Behörde etwa anordnen, dass ein Arzt eine Überwachungskamera in seiner Praxis so ausrichten muss, dass sie keine Bereiche abdeckt, die Besuchern während der allgemeinen Öffnungszeiten offen stehen.

Zur Umsetzung kann die Aufsichtsbehörde bestimmte Fristen setzen und auch vorgeben, welche Maßnahmen ein Unternehmen oder eine öffentliche Stelle konkret zu treffen hat. Letzteres kann aus Gründen der Bestimmtheit auch geboten sein.

Bei mehreren gleich geeigneten Mitteln muss die Behörde dem Adressaten aus Gründen der Verhältnismäßigkeit die Wahl lassen, wie er seine Datenverarbeitung rechtskonform gestaltet.

5. Beschränkung oder Verbot der Verarbeitung (Buchst. f)

Den Verhältnismäßigkeitsgrundsatz müssen die Datenschutzaufsichtsbehörden insbesondere bei der Befugnis beachten, eine Verarbeitung zu beschränken oder zu verbieten.

  • Die Behörde hat zunächst zu prüfen, ob eine Beschränkung der Verarbeitung ausreicht, damit der Verantwortliche den Verarbeitungsvorgang insgesamt rechtmäßig fortsetzen kann. Beispiel: Er verzichtet darauf, bestimmte personenbezogene Daten zu erheben.
  • Sollte dies nicht der Fall sein, berechtigt Art. 58 Abs. 2 Buchst. f DSGVO die Aufsicht auch dazu, die Verarbeitung komplett zu untersagen.

Insoweit ist nicht erforderlich, dass ein besonders schwerwiegender Verstoß vorliegt. Allerdings kann die Behörde aus Gründen der Verhältnismäßigkeit ein Verbot nur als Ultima Ratio verhängen, wenn also andere, weniger einschneidende Maßnahmen keinen Erfolg versprechen.

6. Berichtigung und Löschung bestimmter Daten sowie Einschränkung von deren Verarbeitung (Buchst. g)

Darüber hinaus können die Datenschutzaufsichtsbehörden die Berichtigung und Löschung bestimmter Daten sowie eine Einschränkung der Verarbeitung solcher Daten anordnen.

Und zwar unabhängig von einem Antrag der betroffenen Person. Die Behörde kann ferner anordnen, die Empfänger personenbezogener Daten im Sinne von Art. 17 Abs. 2 und Art. 19 DSGVO zu unterrichten.

7. Spezielle Anordnungsbefugnisse (Buchst. h–j)

Artikel 58 Abs. 2 Buchst. h bis j enthalten spezielle Anordnungsbefugnisse. Buchst. h regelt die Besonderheit, dass die Aufsichtsbehörde eine Anordnung nicht nur an den Verantwortlichen oder Auftragsverarbeiter, sondern an die Zertifizierungsstelle gemäß Art. 43 DSGVO richten kann.

Die Behörde kann die Zertifizierungsstelle anweisen, erteilte Zertifizierungen zu widerrufen oder keine neuen Zertifizierungen zu erteilen, falls die Voraussetzungen dafür nicht oder nicht mehr vorliegen.

Buchst. i betrifft die Befugnisse der Aufsichtsbehörden, Bußgelder gemäß Art. 83 DSGVO zu verhängen. Nach Buchst. g können Datentransfers in Drittstaaten und an internationale Organisationen nach Kapitel V ausgesetzt werden.

Aber mit den vorgestellten Einzelmaßnahmen ist es nicht getan. Die Datenschutzaufsichtsbehörden können mehrere der genannten Maßnahmen kombinieren und hintereinander gestaffelt anwenden. Darauf müssen sich Verantwortliche und Auftragsverarbeiter einrichten.

Keine Reihenfolge vorgegeben

Bei der Systematik von Art. 58 Abs. 2 DSGVO könnte man meinen, der Gesetzgeber habe die Intensität der Maßnahmen allmählich gesteigert:

  • Der Katalog beginnt mit einer eingriffsschwachen Warnung in Bezug auf voraussichtliche Verstöße (Art. 58 Abs. 2 Buchst. a).
  • Und er endet mit der endgültigen Untersagung der Datenverarbeitung (Art. 58 Abs. 2 Buchst. f).

Doch das täuscht. Eine Rangfolge der Befugnisse ist damit nicht verbunden. Die Datenschutzaufsichtsbehörde ist nicht etwa verpflichtet, stets den gesamten Katalog beginnend mit der mildesten Maßnahme abzuarbeiten. Entscheidend ist allein die Effektivität des Vorgehens.

Die Datenschutzaufsichtsbehörden verfügen im Rahmen des Grundsatzes der Verhältnismäßigkeit über ein Ermessen, in welchem Verfahrensstadium sie welche Maßnahmen ergreifen.

Das bedeutet, dass die Aufsichtsbehörde beispielsweise nicht gehalten ist, zunächst weniger eingriffsintensive Anordnungen zu treffen, etwa eine Verwarnung, bevor sie eine Beschränkung der Verarbeitung verhängt.

Sie ist jedoch verpflichtet, in jedem Einzelfall zu prüfen, ob die jeweilige Maßnahme erforderlich und verhältnismäßig ist und ob sie dabei insbesondere mildere Eingriffsmittel anwenden müsste. Das betont Erwägungsgrund 129 zur DSGVO.

Fazit und Ausblick

Das Schwert des Europäischen Datenschutzes hat sich als scharf erwiesen. Die Ahndung von Verstößen hat deutlich zugenommen, ebenso die Höhe der Bußgelder.

Wer unter die weiten Begriffe von Art. 4 DSGVO fällt, muss den Datenschutz und die mit ihm zusammenhängende Compliance sehr ernst nehmen. Das betrifft v.a. in Unternehmen fast sämtliche Bereiche, von der Dokumentation über die Prozesse, das Marketing und die Webseite bis hin zum Arbeitsrecht.

Datenschutz-Compliance ist zudem in Anbetracht der weitreichenden Befugnisse der Datenschutzaufsichtsbehörden, speziell der Abhilfebefugnisse gemäß Art. 58 Abs. 2 DSGVO, von zentraler Bedeutung. Und das muss sich dann auch der öffentliche Bereich vor Augen halten.

+

Weiterlesen mit DP+

Sie haben noch kein Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.