Jede Aufsichtsbehörde muss in ihrem Hoheitsgebiet die Anwendung der DSGVO überwachen und durchsetzen (Art. 57 Abs. 1 Buchstabe a DSGVO). Dabei wird sie u. a. in beratender Funktion tätig. So soll sie die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung sensibilisieren und sie darüber aufklären.
Nachdem wir uns auf dem Fachportal bereits mit den Abhilfe- und Untersuchungsbefugnissen der Aufsichtsbehörden beschäftigt haben, wollen wir in diesem Beitrag auf einige ihrer wichtigsten Aufgaben eingehen:
1. Sensibilisierung der Öffentlichkeit
Die Aufsichtsbehörden haben die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung zu sensibilisieren und sie darüber aufklären (Art. 57 Abs. 1 Buchstabe b DSGVO).
Diese Informierung kann beispielsweise über entsprechende Veröffentlichungen (Informationsbroschüren, Faltblätter und sonstigen Publikationen) im Internet und durch die Tätigkeitsberichte der Aufsichtsbehörden geschehen.
Besondere Beachtung sollen dabei spezifische Maßnahmen für Kinder erhalten. Dies kann z. B. durch entsprechende Schulveranstaltungen oder auch Hinweise an die Lehrerschaft erfolgen.
2. Sensibilisierung und Beratung der Verantwortlichen und Auftragsverarbeiter
Die Aufsichtsbehörden haben die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus dieser Verordnung entstehenden Pflichten zu sensibilisieren (Art. 57 Abs. 1 Buchstabe d DSGVO). Damit soll ausgedrückt werden, dass die zu ergreifenden Maßnahmen zur Gewährleistung des Datenschutzes und der Datensicherheit in einem angemessenen Verhältnis zu den Sensibilität der zu verarbeitenden personenbezogenen Daten zu stehen haben.
So stellt die Sensibilisierung und Beratung der ihrer Prüfungskompetenz unterliegenden Daten verarbeitenden Stellen (z. B. bezüglich der zu ergreifenden technisch-organisatorischen Datensicherheitsmaßnahmen) einen außerordentlich wichtigen Schwerpunkt der Tätigkeit der Aufsichtsbehörden dar. Eine entsprechende Sensibilisierung und Beratung verhilft vielfach zu Lösungen, die sowohl den Erfordernissen des Datenschutzes und der Datensicherheit dienen, wie auch den Bedürfnissen des betreffenden Unternehmens bzw. der betreffenden Behörde gerecht werden. Unnötige Konflikte können dadurch schon im Ansatz vermieden werden.
Diese Sensibilisierungen und Beratungen können auch dazu dienen, Mängel bezüglich der Datensicherheit von Anfang an zu vermeiden bzw. Verletzungen des informationellen Selbstbestimmungsrechts vorzubeugen.
Allerdings darf eine Beratung nicht so weit gehen, dass die entsprechende Aufsichtsbehörde in Konkurrenz zu privaten Unternehmensberatungsfirmen treten.
Die Beratungstätigkeit erfolgt aus Zeitgründen zumeist telefonisch. Schwierigere Fallgestaltungen oder umfangreiche Auskunftsbegehren werden auch schriftlich erörtert.
3. Informierung der betroffenen Personen
Betroffene Personen können sich an die Aufsichtsbehörden wenden und erhalten auf Antrag Informationen über die Ausübung ihrer Rechte. Dieser Antrag kann formlos und mit Hilfe jedes Mediums (mündlich, schriftlich, per E-Mail, über ein Kontaktformular im Internet) gestellt werden.
Zur Vermeidung einer entsprechenden Antragsflut sind die Aufsichtsbehörden dazu übergegangen, entsprechende allgemeine Informationen für betroffene Personen im Rahmen ihres Internetauftritts zu veröffentlichen.
4. Bearbeitung von Beschwerden
Art. 58 Abs. 1 Buchstabe f in Verbindung mit Art. 77 Abs. 1 DSGVO gewährleistet Betroffenen ein Anrufungsrecht gegenüber der Aufsichtsbehörde. Sie können sich dabei über (vermeintliche) Datenschutzverstöße durch Verantwortliche oder Auftragsverarbeiter beschweren.
Diese Beschwerden nehmen den größten Raum in der alltäglichen Arbeit einer Aufsichtsbehörde ein, da die Aufsichtsbehörden aufgrund dieser Eingaben tätig werden müssen, um einen aufgezeigten Sachverhalt zu überprüfen.
Nach Abschluss der Ermittlungen muss der Betroffene im Regelfall über das Ergebnis informiert werden. Dadurch wird der Betroffene auch in die Lage versetzt, eventuelle zivilrechtliche Ansprüche (z. B. Schadensersatzpflicht gemäß § 823 Abs. 2 BGB) an den Verursacher zu richten.
5. Amtshilfe
Durch Art. 57 Abs. 1 Buchstabe g DSGVO wird die Amtshilfe unter den Aufsichtsbehörden der Mitgliedstaaten der Europäischen Union geregelt. Die Aufsichtsbehörden sollen für die zur Erfüllung ihrer Kontrollaufgaben notwendige gegenseitige Zusammenarbeit sorgen, insbesondere durch den Austausch sachdienlicher Informationen.
In der Praxis kommt eine derartige Amtshilfe (zumindest mit ausländischen Aufsichtsbehörden) bisher aber selten vor.
6. Tätigkeitsbericht
Alle sind aufgrund der Gesetzeslage (Art. 59 DSGVO) dazu verpflichtet, jährlich einen Bericht über ihre Tätigkeit vorzulegen.
Das Lesen dieser Tätigkeitsberichte sollte für einen betrieblichen oder behördlichen Datenschutzbeauftragten eine selbstverständliche Pflicht sein, haben sich diese Berichte doch zur Klärung immer wieder auftretender strittiger und spezieller Fragen des Datenschutzes bestens bewährt.
Die veröffentlichten Hinweise stützen sich zumeist auf im Rahmen von Datenschutzprüfungen gewonnene Erkenntnisse. So wird in diesen Tätigkeitsberichten insbesondere auf die im Rahmen der durchgeführten Prüfungen vorgefundenen schwerwiegenden Mängel eingegangen. Weniger, um generell vorhandene Schwachstellen aufzuzeigen.
Für viele Daten verarbeitende Stellen ist daher jede Veröffentlichung eines Tätigkeitsberichtes ihrer (aber auch einer anderen) Aufsichtsbehörden ein willkommener Anlass, die eigene IT-Landschaft und die im Rahmen der Datenverarbeitung ergriffenen technisch-organisatorischen Sicherheitsmaßnahmen dahingehend zu überprüfen, ob sie den Anforderungen des Datenschutzes entsprechen.
Die Tätigkeitsberichte der Aufsichtsbehörden müssen den nationalen Parlamenten (Bundes- bzw. Landtag) vorgelegt werden und müssen der Öffentlichkeit, der Kommission und dem Ausschuss zugänglich gemacht werden. Für diese Veröffentlichung ist keine besondere Form und kein besonderes Medium vorgeschrieben.