Datenschutz verstehen – Wer kontrolliert die Einhaltung des Datenschutzes?
Das Thema Datenschutz und die Datenschutz-Grundverordnung (DSGVO) ist spätestens seit der Anwendbarkeit seit dem 25.05.2018 für viele Verantwortliche ein Thema, welches entweder noch gar nicht oder bezüglich vieler relevanter Aspekte noch nicht umgesetzt wurde. In diesem Zusammenhang sind nicht nur die rechtlichen Vorgaben bezüglich der Umsetzung des Datenschutzes aus der DSGVO und des BDSG-neu relevant, sondern auch, wer genau eigentlich den Datenschutz in Deutschland und Europa kontrolliert.
Inhalt:
- Wer kontrolliert die Einhaltung der Datenschutz Grundverordnung (DSGVO) in Deutschland?
- Wer ist im Unternehmen für den Datenschutz verantwortlich?
- Datenschutzkontrolle in Europa
- Datenschutzkontrolle im Unternehmen
- Was dürfen die Aufsichtsbehörden bei der Kontrolle?
- Welche Aufsichtsbehörde ist für mein Unternehmen zuständig?
Wer kontrolliert die Einhaltung der Datenschutz Grundverordnung (DSGVO) in Deutschland?
Die DSGVO ist seit dem 25.05.2018 anwendbar und zieht nach und nach Kontrollen seitens der zuständigen Aufsichtsbehörden nach sich. In diesem Zusammenhang sind seit der Anwendbarkeit der DSGVO bereits Bußgelder in Höhe von mindestens 485.490 € verhängt worden. Die Einhaltung des Datenschutzes in Deutschland wird von den zuständigen Aufsichtsbehörden kontrolliert. Mit Ulrich Kelber gibt es einen Bundesbeauftragten für Datenschutz. Gem. § 14 BDSG-neu gehören zu den Aufgaben des Bundesbeauftragten für Datenschutz u.a. die Anwendung des BDSG-neu und der DSGVO zu überwachen und durchzusetzen und die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung von personenbezogenen Daten zu sensibilisieren und darüber aufzuklären. Weitere Aufgaben des Bundesbeauftragten sind in § 14 BDSG-neu geregelt.
Darüber hinaus hat jedes Bundesland in Deutschland eine eigene Aufsichtsbehörde für den Datenschutz. In diesem Zusammenhang werden für jedes Bundesland eigene Landesbeauftragte für Datenschutz als unabhängige Behörden tätig. Hier gilt das sog. Prinzip One-Stop-Shop: Für jede Firma ist eine eigene Aufsichtsbehörde zuständig. Die Zuständigkeit der Aufsichtsbehörde richtet sich dabei nach dem Hauptsitz des jeweiligen Unternehmens. Aus dem Hauptsitz des Unternehmens ergibt sich somit die Zuständigkeit der jeweiligen Behörde aus dem konkreten Bundesland. So ist beispielsweise für ein Unternehmen mit Hauptsitz in Münster die Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI NRW) aus Düsseldorf zuständig.
Wer ist im Unternehmen für den Datenschutz verantwortlich?
In einem Unternehmen ist normalerweise der Datenschutzbeauftragte (DSB) für den Datenschutz zuständig. Der Datenschutzbeauftragte ist ein Angestellter oder externer Berater, der die Einhaltung der Datenschutzbestimmungen und -richtlinien überwacht.
Seine Hauptaufgaben umfassen:
- Beratung und Überwachung der Einhaltung der Datenschutzgesetze (z.B. DSGVO in der EU) und firmeninternen Datenschutzrichtlinien.
- Schulung von Beschäftigten zum Thema Datenschutz und Datenschutzrichtlinien.
- Beratung des Unternehmens hinsichtlich datenschutzrechtlicher Fragestellungen.
- Zusammenarbeit mit den Datenschutzaufsichtsbehörden und Durchführung regelmäßiger Datenschutz-Audits.
Es ist jedoch wichtig zu beachten, dass letztendlich die Geschäftsführung die Verantwortung für die Einhaltung der Datenschutzgesetze trägt. Der Datenschutzbeauftragte ist dabei ein wichtiges Instrument, um sicherzustellen, dass das Unternehmen alle relevanten Datenschutzgesetze einhält. In diesem Beitrag beleuchten wir die Haftung der Geschäftsführung im Datenschutz.
Datenschutzkontrolle in Europa
Die DSGVO gilt als europäische Verordnung für alle EU-Mitgliedstaaten. Gem. Art. 51 Abs. 1 DSGVO muss jeder Mitgliedstaat eine oder mehrere unabhängige Aufsichtsbehörden für die Überwachung der DSGVO einrichten. Alle Aufsichtsbehörden müssen gem. Art. 51 Abs. 3 DSGVO das Kohärenzverfahren nach Art. 63 DSGVO einhalten. Im Kohärenzverfahren geht es u.a. um die einheitliche Anwendung der DSGVO und um die Zusammenarbeit der Aufsichtsbehörden untereinander.
Kontrolliert wird der Datenschutz in Europa somit durch die jeweiligen zuständigen Aufsichtsbehörden der Mitgliedstaaten.
Kontrolle der DSGVO durch die Bundesländer
Der jeweilige Landesbeauftragte für Datenschutz kontrolliert die Einhaltung der DSGVO durch öffentlich und nicht-öffentliche Stellen. Dies ist beispielsweise für NRW ausdrücklich in § 26 Datenschutzgesetz Nordrhein-Westfalen (DSG NRW) geregelt. Bezüglich öffentlicher Stellen ist die Zuständigkeit in NRW in § 26 ff. DSG NRW geregelt, für nicht-öffentliche Stellen in §§ 26 S.2 DSG NRW, 40 BDSG-neu. Andere Behörden, wie z.B. das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), haben ebenfalls Ihre eigenen Gesetzeswerke (Siehe das Bayerische Datenschutzgesetz BayDSG).
Welche Strafen sind bei Datenschutzverstößen zu erwarten?
Die nach der DSGVO drohenden Strafen in Form von u.a. Bußgeldern haben im Vergleich zu den Regelungen im alten Bundesdatenschutz (BDSG-alt) neue Dimensionen erreicht:
Bei Verstößen gegen bestimmte Vorgaben der DSGVO, z.B. die Grundsätze der Datenverarbeitung, die Rechte der betroffenen Personen oder Übermittlungen von personenbezogenen Daten in ein Drittland oder internationale Organisationen (vgl. Art. 83 Abs. 5 DSGVO), drohen Bußgelder in Höhe von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist.
Für andere Verstöße, wie z.B. gegen Pflichten von Verantwortlichen und Auftragsverarbeitern, drohen Bußgelder in Höhe von bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist. Nach dem alten Bundesdatenschutz drohte je Datenschutzverstoß ein maximales Bußgeld in der Höhe von nur 300.000 €.
Darüber hinaus drohen auch Freiheitsstrafe von bis zu zwei bzw. drei Jahren gegen Personen, die personenbezogene Daten unberechtigt weitergeben oder unberechtigt personenbezogene Daten verarbeiten oder erschleichen, vgl. § 42 BDSG-neu.
Datenschutzkontrolle im Unternehmen
Die Datenschutzkontrolle im Unternehmen sollte zunächst durch einen Datenschutzbeauftragten erfolgen. Datenschutzbeauftragte müssen allerdings gewisse Voraussetzungen erfüllen. Hierzu gehört zunächst die berufliche Qualifikation und insbesondere das Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie der Fähigkeit, die in Art. 39 DSGVO genannten Aufgaben des Datenschutzbeauftragten erfüllen zu können, vgl. Art. 37 Abs. 5 DSGVO.
Darüber hinaus darf bei dem Kandidaten für die Position des Datenschutzbeauftragte kein Interessenkonflikt vorliegen, vgl. Art. 38 Abs. 6 S.2 DSGVO Geschäftsführer sind daher beispielsweise nicht frei von Interessenkonflikten. Hinzu kommen weitere Schlüsselqualifikationen, die der Datenschutzbeauftragte besitzen sollte, wie z.B. Zuverlässigkeit. Ab wann Sie einen Datenschutzbeauftragten bestellen bzw. benennen müssen, erfahren Sie hier.
Die Aufgaben des Datenschutzbeauftragten sind in Art. 39 DSGVO niedergeschrieben: Die Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten bezüglich der Einhaltung der DSGVO und weiterer datenschutzrechtlicher Vorschriften und die Überwachung und Einhaltung von datenschutzrechtlichen Vorgaben. Die Zusammenarbeit mit der zuständigen Aufsichtsbehörde und die Beratung im Rahmen einer erforderlichen Datenschutzfolgenabschätzung gem. Art. 35 DSGVO sowie die Tätigkeit als Anlaufstelle für Fragen seitens der Aufsichtsbehörde gehören zu den weiteren Aufgaben des Datenschutzbeauftragten.
Was dürfen die Aufsichtsbehörden bei der Kontrolle?
In der DSGVO sind umfangreiche Untersuchungsbefugnisse zu Gunsten der Aufsichtsbehörden geregelt. Gem. Art. 58 DSGVO dürfen die zuständigen Aufsichtsbehörden z.B. Untersuchungen in Form von Datenschutzüberprüfungen durchführen, Zugang zu relevanten personenbezogenen Daten und Informationen verlangen und Zugang zu Räumlichkeiten, einschließlich aller Datenverarbitungsanlagen und Datenverarbeitungsgeräte des Verantwortlichen und des Auftragsverarbeiters, erhalten. Art. 58 DSGVO enthält einen ausführlichen Katalog und eine umfassende Übersicht bezüglich der Befugnisse von Aufsichtsbehörden.
Welche Aufsichtsbehörde ist für mein Unternehmen zuständig?
In dem Erwägungsgrund 122 DSGVO wird deutlich, dass jede Aufsichtsbehörde dafür zuständig sein soll, im Hoheitsgebiet ihres Mitgliedstaats die Befugnisse auszuüben und die Aufgaben zu erfüllen, die ihr mit dieser Verordnung übertragen wurden. Die Aufsichtsbehörden sind in Deutschland, jeweils pro Bundesland, verteilt. So ist zum Beispiel für Nordrhein-Westfalen das LDI (Landesbeauftragte für Datenschutz und Informationsfreiheit) zuständig.
Nicht nur für die Überprüfungen der Datenverarbeitungen der Unternehmen des jeweiligen Bundesland ist die Aufsichtsbehörde zuständig. Aufsichtsbehörden sollen auch die Bearbeitung von Beschwerden einer betroffenen Person, die Durchführung von Untersuchungen über die Anwendung dieser Verordnung sowie die Förderung der Information der Öffentlichkeit über Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten einschließen.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.