single.php
< Beitrag von Wilfried Unterbusch

Aufsichtsbehörde – Fluch oder Segen?

Seit dem Stichtag für die Umsetzung der Datenschutz-Grundverordnung (DSGVO) am 25.05.2018 ist die Institution der Aufsichtsbehörde in den Mittelpunkt der Aufmerksamkeit gerückt. Mit einer gewissen Spannung beobachten viele Unternehmen die Aktivitäten und Entscheidungen dieser Behörde. Denn durch ihr Handeln werden die Anforderungen der DSGVO konkretisiert. Vor diesem Hintergrund verbinden viele Unternehmen auch negative Gefühle mit dieser Kontrollinstanz. Inwiefern diese Bedenken berechtigt sind und was es mit der Aufsichtsbehörde überhaupt auf sich hat, erfahren Sie in diesem Blogbeitrag.

Jeder EU-Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden die Umsetzung der DSGVO überwachen. Dabei definieren die Artikel 51-59 der DSGVO, was genau unter einer unabhängigen Aufsichtsbehörde zu verstehen ist. In Deutschland hat jedes Bundesland seine eigene Aufsichtsbehörde mit einer oder einem Datenschutzbeauftragtem als Ansprechpartner. Auf Bundesebene erfüllt diese Funktion der oder die Bundesdatenschutzbeauftragte. Außerdem koordiniert eine zentrale Anlaufstelle die Unterstützung der grenzübergreifenden Zusammenarbeit.

Aufgaben der Aufsichtsbehörde

Die Aufsichtsbehörde nimmt gemäß Art. 57 DSGVO eine Vielzahl von Aufgaben gegenüber verschiedenen Interessengruppen wahr. Zu diesen relevanten Interessengruppen zählen neben der breiten Öffentlichkeit z. B.

  • betroffene Personen
  • das nationale Parlament, die Regierung, Einrichtungen und Gremien
  • andere Aufsichtsbehörden
  • Verantwortliche und Auftraggeber

Gegenüber den Verantwortlichen innerhalb von Unternehmen übernimmt die Aufsichtsbehörde im Wesentlichen die folgenden Hauptaufgaben:

  • die Überwachung und Durchsetzung der DSGVO-Anwendung
  • die Bearbeitung der Anfragen und Beschwerden von Betroffenen
  • die Sensibilisierung der Unternehmen bzgl. ihrer Datenschutzpflichten
  • die Durchführung von Untersuchungen zur Anwendung der DSGVO

Zu den speziellen Aufgaben der Behörden gehören u. a.:

  • die Festlegung von Standardvertragsklauseln
  • die Erstellung einer Black- und Whitelist zur Notwendigkeit der Durchführung von Datenschutz-Folgenabschätzungen (DSFA)
  • die Anregung zu Datenschutz-Zertifizierungsmechanismen
  • die Sicherstellung, von wirksamen, verhältnismäßigen und abschreckenden Geldbußen

Befugnisse der Aufsichtsbehörde

Für die Durchführung ihrer vielfältigen Aufgaben, insbesondere der Überwachung und Durchsetzung der DSGVO-Anwendung, wurden die Aufsichtsbehörden mit umfangreichen Befugnissen ausgestattet. Diese Befugnisse richten sich im einzelnen auf Untersuchungs-, Abhilfe-, Genehmigungs- und Beratungsprozesse.

  • Untersuchungsbefugnisse betreffen z. B. den geregelten Zugang zu Geschäftsräumen. Zudem kann die Aufsichtsbehörde die Berichtigung oder Löschung von Verarbeitungsvorgängen verlangen oder auch die Benachrichtigung von Betroffenen.
  • Abhilfebefugnisse erlauben der Aufsichtsbehörde, Verantwortliche und Auftragsverarbeiter zu verwarnen, die Verarbeitung endgültig zu verbieten oder abschreckende Geldbußen zu verhängen. Auch die Aussetzung der Datenübermittlung in Drittländer ist möglich.
  • Genehmigungsbefugnisse umfassen die Genehmigung von Verhaltensregeln, die Akkreditierung von Zertifizierungsstellen sowie die Erteilung von Zertifizierungen. Aber auch die Formulierung von Vertragsklauseln für den internationalen Datenverkehr sowie verbindliche interne Datenschutzvorschriften fallen darunter.
  • Beratungsbefugnisse dienen letztlich dazu, die oben genannten Interessengruppen für den Datenschutz zu sensibilisieren und zu beraten und durch geeignete Mittel dafür zu sorgen, dass keine Datenschutzverletzungen eintreten.

Prüfbereiche der Aufsichtsbehörde

Die Aufsichtsbehörden orientieren sich bei der Prüfung von Verantwortlichen an dem bewährten PDCA-Zyklus (Plan-Do-Check-Act). Demnach wird neben der Planung, der Implementierung und der Überprüfung besonders auch der anschließende Verbesserungsprozess kontrolliert.

Neben Fragen zum nachvollziehbaren Bewusstsein bezüglich der datenschutzrechtlichen Anforderungen werden die 3 Kernprozesse des Datenschutzes mit den entsprechenden Artikeln und technischen und organisatorischen Maßnahmen geprüft. Zu den 3 Kernprozessen gehören:

  1. Datenschutzkonforme Datenverarbeitung
    Prüfgrundlage ist hier das Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DSGVO sowie alle Belange der Grundsätze für die Verarbeitung personenbezogener Daten gem. Art. 5 DSGVO.
  2. Sicherstellung der Betroffenenrechte
    Den Rechten der Betroffenen räumt die DSGVO einen besonders hohen Stellenwert ein. Geprüft wird, ob die notwendigen Prozesse sichergestellt sind.
    Der Fokus liegt dabei auf den Prozessen für die Auskunft (Art. 15), die Löschung (Art. 17) und die Übertragbarkeit (Art. 20) personenbezogener Daten.
  3. Handhabung von Datenschutzverletzungen
    Falls es zu einer Datenschutzverletzung kommt, prüfen die Aufsichtsbehörden, ob alle technischen und organisatorischen Maßnahmen getroffen wurden, um Verletzungen sofort festzustellen und diese umgehend den Behörden und den Betroffenen zu melden.

Unterstützung durch die Aufsichtsbehörde

Auch wenn der Aufgaben-Fokus einer Aufsichtsbehörde auf der Kontrolle und der Überwachung der DSGVO-Umsetzung liegt, bieten die Behörden den Unternehmen und Betroffenen eine Vielzahl von Hilfestellungen an. Dazu gehören:

  • die Bereitstellung einer Black-, und Whitelist zur Durchführung einer DSFA s.o.
  • die Bereitstellung von diversen Kurzpapieren zu DSGVO-Themen
  • die Präsenz als Ansprechpartner für Betroffene und Unternehmen bei Fragen zum Datenschutz
  • die Funktion als Informationsdrehscheibe für alle Belange rund um den Datenschutz

Fazit

Die Einstellung der Unternehmen zu den Datenschutz-Aufsichtsbehörden ist letztlich abhängig von dem Grad ihrer DSGVO-Konformität. Wenn Unternehmen das Bewusstsein für den Datenschutz und die Umsetzung der DSGVO bisher vernachlässigt haben, sollten sie die Befugnisse der Aufsichtsbehörde ernst nehmen und Maßnahmen ergreifen, um die DSGVO-Konformität zu erreichen. Wer sich dagegen schon vor dem 25.05.2018 mit dem Thema Datenschutz in seinem Unternehmen auseinandergesetzt hat, der kann die Aufsichtsbehörden partnerschaftlich und aktiv zur Unterstützung einer nachhaltigen Umsetzung des Datenschutzes nutzen.

Aufsichtsbehörden sind wie die Polizei. Wenn du dir nichts zu Schulden kommen gelassen hast, ist sie dein Freund und Helfer.

 

Folgen
X

Folgen

E-mail : *
Kategorie: IT-Security | Schlagwörter: , | Kommentare: 0

Beitrag kommentieren

CAPTCHA * Time limit is exhausted. Please reload CAPTCHA.