Datenschutz Verstoß

Abhilfebefugnisse der Aufsichtsbehörden

Wurde bei der Bewertung des Sachverhalts ein Verstoß gegen die Datenschutz-Grundverordnung festgestellt, muss die zuständige Aufsichtsbehörde die Abhilfemaßnahme(n) ermitteln, die zur Behebung des Verstoßes am besten geeignet ist bzw. sind.1)

Art. 58 DSGVO gibt eine gewisse Anleitung dazu, welche Maßnahmen die Aufsichtsbehörde wählen kann, da die Abhilfemaßnahmen als solche ja unterschiedlicher Art und vorrangig für unterschiedliche Zwecke geeignet sind. Bestimmte Maßnahmen nach Art. 58 können unter Umständen sogar miteinander kombiniert werden, sodass mit mehr als einer Abhilfemaßnahme regulatorisch eingegriffen werden kann. So kann die Aufsichtsbehörde nach Art. 58 Abs. 2 DSGVO zur Abhilfe gegen (voraussichtliche) Verstöße gegen die Datenschutz-Grundverordnung einen Verantwortlichen oder einen Auftragsverarbeiter warnen oder verwarnen und anweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen, Verarbeitungsvorgänge in Einklang mit der Datenschutz-Grundverordnung zu bringen oder die von einer Verletzung des Schutzes personenbezogener Daten betroffene Person entsprechend zu benachrichtigen.

Sie kann auch eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, verhängen und die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung ihrer Verarbeitung und die Unterrichtung der Empfänger anordnen.

Des Weiteren ist auch die Anordnung der Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation möglich.

Bereits erteilte Zertifizierungen können von den Aufsichtsbehörden selbst widerrufen oder Zertifizierungsstellen angewiesen werden, erteilte Zertifizierungen zu widerrufen oder neue Zertifizierungen nicht zu erteilen.

Welche geeigneten Maßnahmen dann von der beanstandeten Stelle ergriffen werden, unterliegt im Regelfall der Entscheidungsbefugnis des betroffenen Unternehmens. Dabei sollte die speichernde Stelle aber tunlichst den Empfehlungen der Aufsichtsbehörde folgen, da sie ansonsten mit weiteren Konsequenzen zu rechnen hat.

Die Auflistung der Befugnisse ist nicht abschließend zu sehen. Die Mitgliedstaaten können ihren Aufsichtsbehörden gem. Art. 58 Abs. 6 DSGVO weitere Befugnisse einräumen.

Bei einer Anordnung der Aufsichtsbehörden handelt es sich um einen Verwaltungsakt, gegen den mit Einlegung von Rechtsmitteln (Widerspruch, Klage vor dem Verwaltungsgericht) vorgegangen werden kann.

Bei der Wahrnehmung ihrer Befugnisse müssen die Aufsichtsbehörden die folgenden Grundsätze beachten:1)

a)  Ein Verstoß gegen die Verordnung soll zur Verhängung „gleichwertiger Sanktionen“ führen
Die Aufsichtsbehörden müssen ihre Abhilfebefugnisse gemäß Artikel 58 Absatz 2 einheitlich anwenden, um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der Union zu beseitigen (Erwägungsgrund 10 Satz 1 zur DSGVO). Erwägungsgrund 11 stellt klar, dass ein unionsweit gleichwertiges Schutzniveau für personenbezogene Daten unter anderem „gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie gleiche Sanktionen im Falle ihrer Verletzung“ erfordert. Des Weiteren werden in Erwägungsgrund 13 der Datenschutz-Grundverordnung gleichwertige Sanktionen in allen Mitgliedstaaten und eine wirksame Zusammenarbeit zwischen den Aufsichtsbehörden verschiedener Mitgliedstaaten als Möglichkeiten dafür betrachtet, dass „Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten, beseitigt werden“.

Obwohl die Aufsichtsbehörden ihre Wahl der in Artikel 58 Absatz 2 genannten Abhilfemaßnahmen unabhängig treffen können, sollen sie es vermeiden, in vergleichbaren Fällen unterschiedliche Abhilfemaßnahmen anzuwenden.

b)  Abhilfemaßnahmen sollen „wirksam, verhältnismäßig und abschreckend“ sein

Alle Abhilfemaßnahmen sollen der Art, der Schwere und den Folgen des Verstoßes angemessen sein, und die Aufsichtsbehörden müssen alle Aspekte des Sachverhalts in kohärenter und objektiv gerechtfertigter Weise bewerten. Was im Einzelfall als wirksam, verhältnismäßig und abschreckend betrachtet wird, hängt auch vom Ziel der Abhilfemaßnahme ab, das heißt davon, ob mit ihr die Verletzung der Bestimmungen behoben oder rechtswidriges Verhalten bestraft werden soll (oder beides).

Die nationalen Rechtsvorschriften sollen gegebenenfalls zusätzliche Anforderungen an das von den Aufsichtsbehörden anzuwendende Durchsetzungsverfahren vorsehen. Diese können beispielsweise Anforderungen in Bezug auf Adressmeldungen, Formulare und Fristen für Stellungnahmen, Einsprüche, Ausführungen und Zahlungen einschließen.

Anforderungen dieser Art sollen gleichwohl die Wirksamkeit, die Verhältnismäßigkeit und die abschreckende Wirkung von Abhilfemaßnahmen nicht beeinträchtigen.

Eine genauere Bestimmung dieser drei Merkmale (Wirksamkeit, Verhältnismäßigkeit und abschreckende Wirkung) wird sich aus der bei den Aufsichtsbehörden entstehenden Praxis im Bereich Datenschutz und aus den Erfahrungen in anderen Regulierungsbereichen sowie aus der Auslegung dieser Grundsätze im Zuge der Rechtsprechung ergeben.

Fundstelle

1) „Leitlinien für die Anwendung und Festsetzung von Geldbußen im Sinne der Verordnung (EU) 2016/679“ der Art. 29-Datenschutzgruppe – abrufbar im Internet unter https://www.datenschutzkonferenz-online.de/media/wp/20171003_wp253.pdf