Sie befinden sich hier:

Untersuchungsbefugnisse der Aufsichtsbehörden

Die Datenschutzaufsichtsbehörden haben durch die DSGVO Untersuchungs-, Abhilfe- und Genehmigungsbefugnisse erhalten, mit denen sie dafür sorgen können, dass die Grundsätze der Datenschutz-Grundverordnung und die Rechte der betroffenen Personen entsprechend dem Wortlaut und dem Geist der Verordnung gewahrt werden. Nachfolgend wird auf einige der wichtigsten Untersuchungsbefugnisse der Aufsichtsbehörden näher eingegangen:

1. Bereitstellung von Informationen

Gemäß Art. 58 Abs. 1 Buchst. a DSGVO hat jede Aufsichtsbehörde das Recht, den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind. Dies spiegelt sich auch in Art. 31 DSGVO wider, demgemäß der Verantwortliche und der Auftragsverarbeiter und gegebenenfalls deren Vertreter auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammenarbeiten müssen. Zur Durchsetzung des Rechts kann eine Aufsichtsbehörde alle in Art. 58 Abs. 2 DSGVO aufgeführten Abhilfebefugnisse nutzen.

Die der Kontrolle unterliegenden Stellen sind gegenüber der Aufsichtsbehörde auskunftspflichtig, es sei denn, sie können gegebenenfalls von einem Auskunftsverweigerungsrecht Gebrauch machen.

Eine derartige Auskunftsverpflichtung ergibt sich im Regelfall aufgrund der Aufforderung einer Aufsichtsbehörde zu einem bestimmten Sachverhalt Stellung zu nehmen. Die Auskunft muss alle erforderlichen Angaben enthalten und somit vollständig sein.

Die Auskunft ist unverzüglich – also ohne schuldhaftes Zögern (§ 121 BGB) – gegebenenfalls innerhalb einer von der Aufsichtsbehörde eingeräumten Frist zu erteilen – auch auf schriftliche Anfragen. Ein Entgelt für eine Auskunft kann nicht verlangt werden.

2. Datenschutzüberprüfungen

Die Aufsichtsbehörden können nach der DSGVO Datenschutzüberprüfungen durchführen (Art. 58 Abs. 1 Buchst. b DSGVO). Im Rahmen dieser Prüfungen kann die Aufsichtsbehörde von den Verantwortlichen

  • Auskünfte verlangen,
  • Grundstücke und Geschäftsräume betreten und dort,
  • Prüfungen und Besichtigungen vornehmen sowie,
  • geschäftliche Unterlagen, gespeicherte personenbezogene Daten und Datenverarbeitungsprogramme einsehen.

3. Hinweis auf Datenschutzverstöße

Gemäß Art. 58 Abs. 1 Buchst. d DSGVO kann die Aufsichtsbehörde den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen diese Verordnung hinweisen. So kann beispielsweise auf Verstöße im Rahmen der Allgemeinen Geschäftsbedingungen eines Unternehmens hingewiesen werden.

4. Zugang zu allen personenbezogenen Daten und Informationen und Betretungsrecht

Jede Aufsichtsbehörde kann von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen verlangen, die zur Erfüllung ihrer Aufgaben notwendig sind (Art. 58 Abs. 1 Buchst. e DSGVO).

Des Weiteren kann Zugang zu den Räumlichkeiten, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters verlangen (Art. 58 Abs. 1 Buchst. f DSGVO). Im Rahmen dieses Betretungsrechts ist das mit der Kontrolle beauftragten Personen befugt, soweit es zur Erfüllung der der Aufsichtsbehörde übertragenen Aufgaben erforderlich ist,

  • während der Betriebs- und Geschäftszeiten,
  • Grundstücke und Geschäftsräume der der Kontrolle unterliegenden Stelle zu betreten und dort,
  • Prüfungen und Besichtigungen vorzunehmen.

Dabei können die Aufsichtsbehörden geschäftliche Unterlagen (z. B. das Verzeichnis der Verarbeitungstätigkeiten und das Datensicherheitskonzept) sowie die gespeicherten personenbezogenen Daten und die Datenverarbeitungsprogramme einsehen, sich Notizen machen und gegebenenfalls die Aushändigung von Fotokopien (nicht jedoch Originalunterlagen) verlangen. Der Einsichtnahme unterliegen auch Daten, die zum Brief-, Post und Telekommunikationsgeheimnis, dem Amtsgeheimnis und dem Berufsgeheimnis gehören bzw. der ärztlichen Schweigepflicht unterliegen.

Der Auskunftspflichtige, d. h. die der Kontrolle unterliegende Stelle sowie die mit deren Leitung betraute Person, hat diese Maßnahmen zu dulden.

Dieses Betretungs-, Besichtigungs- und Prüfungsrecht kann nach einhelliger Rechtsmeinung auch unangemeldet ausgeübt, d.h. es können auch Stichprobenkontrollen durchgeführt werden. Dies kann insbesondere erforderlich sein, um eine Vernichtung von belastenden Beweisen, z. B. durch Datenlöschung, zu verhindern. Allerdings wird eine Prüfung in der Regel angekündigt, damit gewährleistet ist, dass entsprechende Ansprechpartner des Unternehmens im Rahmen der Prüfung anwesend sind.

Eine Aufsichtsbehörde muss sich allerdings nicht auf einen späteren Prüfungszeitpunkt verweisen lassen, um die Anwesenheit bestimmter Mitarbeiter der zu prüfenden Stelle zu ermöglichen. Vor allem dann nicht, wenn die Verantwortlichen nicht in unmittelbarer zeitlicher Nähe in der Lage sind, der Prüfung beizuwohnen.

Die Ankündigung, während der üblichen Geschäftszeit die Betriebsräume gegenüber den Beschäftigten der Aufsichtsbehörde zu verschließen, ist bereits Ausdruck der gesetzeswidrigen Nichtduldung der Prüfung. Den Beschäftigten der Aufsichtsbehörde ist es auch nicht zuzumuten, sich einschließen zu lassen.

Das Betretungsrecht bezieht sich auf Grundstück und Geschäftsräume der speichernden Stelle, nicht jedoch auf Privatwohnungen. Bei Heim- und Telearbeit muss der Unternehmer ein entsprechendes Betretungsrecht vereinbaren.

nach oben