Die Datenschutzaufsichtsbehörde: Aufgaben & Pflichten

Die Datenschutzaufsichtsbehörden in Deutschland erfüllen eine zentrale Rolle im Schutz personenbezogener Daten. Sie unterstützen Verantwortliche dabei, datenschutzkonforme Prozesse aufzubauen, beraten zu gesetzlichen Anforderungen und greifen ein, wenn Verstöße festgestellt werden. Gleichzeitig helfen sie betroffenen Personen, ihre Rechte nach der DSGVO wahrzunehmen und durchzusetzen.

Für viele Organisationen, insbesondere Vereine, Schulen oder kleinere Einrichtungen, bedeutet das: klare Strukturen, saubere Dokumentation und transparente Prozesse sind entscheidend. Genau hier können digitale Lösungen wie campai unterstützen, indem sie Verwaltungsabläufe vereinfachen, Daten sauber organisieren und damit helfen, die Anforderungen der DSGVO im Alltag zuverlässig umzusetzen.

Die Datenschutzaufsichtsbehörde

Eine Datenschutzaufsichtsbehörde ist die zentrale Instanz, die darüber wacht, dass personenbezogene Daten rechtmäßig, sicher und transparent verarbeitet werden. Sie überwacht die Einhaltung der Datenschutzgesetze, führt Prüfungen bei öffentlichen und privaten Stellen durch und geht Hinweisen sowie Beschwerden von betroffenen Personen nach. Darüber hinaus entwickelt sie Empfehlungen, Orientierungshilfen und Leitlinien, um Verantwortliche bei der Umsetzung datenschutzkonformer Prozesse zu unterstützen. Ein weiterer Kernbereich ihrer Tätigkeit ist die Sanktionierung von Verstößen: Sie kann Maßnahmen anordnen, Datenverarbeitungen untersagen oder Bußgelder verhängen, wenn Unternehmen oder Behörden ihren Pflichten nicht nachkommen. Gleichzeitig übernimmt sie eine beratende Funktion, fördert Aufklärung und Sensibilisierung in der Öffentlichkeit und trägt dazu bei, ein einheitliches Datenschutzniveau sicherzustellen.

Nationale und europäische Datenschutzaufsichtsbehörden

Neben den nationalen Datenschutzaufsichtsbehörden der Länder und des Bundes gibt es einen europäischen Datenschutzausschuss. Dieser Ausschuss unterstützt die nationalen Behörden bei der harmonischen Anwendung des europäischen Datenschutzrechts mittels Leitlinien und Empfehlungen. Darüber hinaus sind die Behörden unabhängig und weisungsfrei. Mitglieder des Ausschusses sind Vertreter der nationalen Behörden, für Deutschland ist dies der Bundesdatenschutzbeauftragte für Datenschutz und die Informationsfreiheit (kurz „BfDI“) gem. § 17 Abs. 1 S. 1 BDSG.

In Deutschland gibt es derzeit 18 Datenschutzaufsichtsbehörden. In jedem Bundesland gibt es eine Aufsichtsbehörde gem. § 40 BDSG, mit Ausnahme von Bayern, dort gibt es eine für den öffentlichen und den nicht-öffentlichen Bereich (bspw. für Unternehmen oder Vereine). Zusätzlich den zuvor erwähnten Bundesdatenschutzbeauftragten.

Die Aufgaben der nationalen Datenschutzaufsichtsbehörden

In Art. 57 DSGVO befindet sich ein Katalog an Aufgaben, die die nationalen Datenschutzaufsichtsbehörden zu erfüllen haben. Die Aufgaben hat sie gegenüber verschiedenen Interessengruppen zu erfüllen. Dazu zählen u. a.:

• die Öffentlichkeit
• die nationalen Parlamente, Regierungen, Behörden inkl. anderer Aufsichtsbehörden
• die betroffenen Personen
• die Auftragsverarbeiter und
• die verantwortlichen Stellen

Die Erfüllung der Aufgaben hat gem. Art. 57 Abs. 3 DSGVO für die Betroffenen und ggf. für beratungswillige Personen (bspw. Datenschutzbeauftragte) unentgeltlich zu erfolgen. Bei offenkundig unbegründeten oder exzessiven Anfragen kann die Behörde eine angemessene Verwaltungsgebühr verlangen oder Tätigkeiten einschränken.

Zu den Hauptaufgaben der Landesdatenschutzaufsichtsbehörden zählen u. a.:

• die Bearbeitung von Anfragen und Beschwerden der Betroffenen in Art. 57 Abs. 1 lit. e), f) DSGVO
• die Untersuchung über die Durchführung der DSGVO (Art. 57 Abs. 1 lit. h) DSGVO) anzustellen
• die Durchführung der DSGVO zu überwachen und durchzusetzen
• die verantwortlichen Stellen für die Verpflichtungen aus der DSGVO zu sensibilisieren

Die beratenden Tätigkeiten der Landesdatenschutzbehörden gestaltet sich vielfältig. So haben sie die Landesregierungen, Behörden und anderer öffentlichen Stellen, bei datenschutzrechtlichen Fragen zu beraten und können bei der Einführung neuer Verwaltungsverfahren begleitend mitwirken. Aber auch nicht-öffentliche verantwortliche Stellen (bspw. Unternehmen oder Vereine) können sich an ihre zuständige Aufsichtsbehörde wenden, wenn sie Beratung benötigen. Grundsätzlich wird empfohlen, sich durch eine Behörde beraten zu lassen, wenn eine geplante Datenverarbeitung offene Fragen hinterlässt. So können im Nachgang teure Sanktionen vermieden werden. In bestimmten Situationen sind verantwortliche Stellen gar verpflichtet, eine Behörde vor Beginn einer Datenverarbeitung zu konsultieren. Dies ist bspw. dann der Fall, wenn nach Anfertigung einer Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO die Erkenntnis gereift ist, dass trotz ergriffener Maßnahmen zur Risikominimierung ein weiterhin hohes Risiko bei der Datenverarbeitung besteht (siehe Art. 36 DSGVO).

Die Befugnisse der nationalen Datenschutzaufsichtsbehörden

Die DSGVO stellt den Aufsichtsbehörden einen umfassenden Katalog von Untersuchungs- und Abhilfebefugnissen zur Verfügung, um die Einhaltung datenschutzrechtlicher Bestimmungen durchzusetzen.

Die Befugnisse lassen sich in folgende Kategorien unterteilen:

• Untersuchungsbefugnisse, nach Art. 58 Abs. 1 DSGVO (mit und ohne Anlass).
• Abhilfebefugnisse, nach Art. 58 Abs. 2 DSGVO.
• Genehmigungsbefugnisse und beratende Befugnisse, nach Art. 58 Abs. 3 DSGVO.

Bei den Befugnissen treffen den verantwortlichen Stellen oder Auftragsverarbeitern in der Regel bestimmte Mitwirkungspflichten. Insbesondere die Informationsbereitstellung ist ein zentraler Aspekt der Mitwirkungspflichten. Eine fachkundige Unterstützung der verantwortlichen Stelle oder des Auftragsverarbeiters ist hier unerlässlich. Anordnungen der Behörden können grundsätzlich mit Zwangsmitteln, wie Zwangsgeldern, durchgesetzt werden.

Neben diesen verwaltungsrechtlichen Maßnahmen können Verstöße auch mit hohen Geldbußen gem. Art. 83 DSGVO sanktioniert werden. Es steht der Datenschutzaufsichtsbehörde frei, die Geldbuße anstelle einer Abhilfemaßnahme oder zusätzlich hierzu, zu verhängen. Die Geldbuße soll vor allem wirksam, verhältnismäßig und abschreckend sein. Datenschutzverstöße sind keine „Kavaliersdelikte“ und die Geldbußen können sich geschäftsschädigend auswirken. Das maximale Bußgeld kann nach Art. 83 Abs. 5 DSGVO von bis zu 20 Mio. EUR oder 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs einer verantwortlichen Stelle betragen. Das bisher höchste Bußgeld von rund 746 Mio. EUR wurde 2021 gegen eine Gesellschaft des Internetkonzerns Amazon verhängt. Durch eingelegte Rechtsmittel ist dieses Bußgeld bisher noch nicht rechtskräftig.

Die Bedeutung der DSGVO-Behörde für ein einheitliches Datenschutzniveau

Die DSGVO-Behörde sorgt dafür, dass Datenschutz in Europa einheitlich angewendet wird. Sie koordiniert die Zusammenarbeit zwischen den nationalen Aufsichtsbehörden, unterstützt bei grenzüberschreitenden Fällen und stellt sicher, dass Unternehmen in allen EU-Mitgliedstaaten nach denselben Grundsätzen bewertet werden. Zudem entwickelt sie Leitlinien zu neuen Technologien, etwa zu KI oder digitalen Plattformen, damit Verantwortliche klare Orientierung erhalten und Betroffene in ganz Europa auf ein verlässliches Datenschutzniveau vertrauen können.

Verstöße gegen die Vorschriften der Aufsichtsbehörde

Verstöße gegen die Datenschutzvorschriften gehören zu den zentralen Themen im Aufgabenbereich der Datenschutzaufsichtsbehörden. Wird festgestellt, dass eine verantwortliche Stelle personenbezogene Daten rechtswidrig verarbeitet oder ihre gesetzlichen Pflichten nicht erfüllt, können die Behörden aktiv werden. Die möglichen Maßnahmen reichen von Hinweisen und Anordnungen zur Anpassung von Verfahren bis hin zu erheblichen Geldbußen gemäß Art. 83 DSGVO.

Die Höhe eines Bußgeldes orientiert sich an der Schwere des Verstoßes, dem Ausmaß der Datenverarbeitung, der Anzahl betroffener Personen sowie an der Kooperationsbereitschaft der verantwortlichen Stelle. Der Zweck solcher Sanktionen ist klar: Datenschutzverstöße sollen verhindert, Verantwortliche zur Einhaltung der Vorschriften verpflichtet und das Vertrauen der Öffentlichkeit gestärkt werden. Damit wird deutlich, dass Datenschutzverstöße kein Nebenschauplatz sind, sondern erhebliche organisatorische, rechtliche und wirtschaftliche Folgen haben können.

Der Datenschutzbeauftragte eines Vereins oder Unternehmens übernimmt dabei eine zentrale Funktion: Er ist erster Ansprechpartner für die Behörde, unterstützt bei der Klärung des Sachverhalts und begleitet die Umsetzung der notwendigen Maßnahmen, um die DSGVO-Konformität wiederherzustellen.

Fazit

Die Landesdatenschutzbehörden sorgen dafür, dass die datenschutzrechtlichen Vorgaben im jeweiligen Bundesland eingehalten werden. Sie kontrollieren, beraten und greifen ein, wenn Verstöße festgestellt werden. Für Verantwortliche kann es deshalb sehr sinnvoll sein, die Expertise der Aufsichtsbehörden frühzeitig zu nutzen, insbesondere dann, wenn komplexe Fragestellungen die eigenen Kenntnisse übersteigen. In manchen Fällen, etwa gemäß Art. 36 DSGVO nach einer Datenschutz-Folgenabschätzung mit verbleibend hohem Risiko, ist eine vorherige Konsultation sogar verpflichtend. Eine rechtzeitige Abstimmung mit der Behörde hilft, Fehler zu vermeiden und Datenschutzprozesse nachhaltig abzusichern.

Häufig gestellte Fragen zu Datenschutzaufsichtsbehörden

Welche Rolle spielen Datenschutzaufsichtsbehörden in Deutschland?

Sie überwachen die Einhaltung der DSGVO und des BDSG, beraten öffentliche und nicht-öffentliche Stellen, bearbeiten Beschwerden von Betroffenen und führen Untersuchungen durch. Ihre Arbeit dient einem einheitlichen und wirksamen Datenschutz auf nationaler und europäischer Ebene.

Was unterscheidet nationale Datenschutzbehörden vom europäischen Datenschutzausschuss?

Nationale Behörden sind für die Aufsicht in ihrem jeweiligen Bundesland bzw. auf Bundesebene zuständig. Der Europäische Datenschutzausschuss (EDSA) sorgt dagegen für eine einheitliche Anwendung der DSGVO in der EU, entwickelt Leitlinien und unterstützt die Behörden bei grenzüberschreitenden Fällen.

Welche Aufgaben haben Aufsichtsbehörden laut Art. 57 DSGVO?

Sie informieren die Öffentlichkeit, beraten Gesetzgeber und Behörden, unterstützen betroffene Personen, überwachen die Einhaltung der DSGVO, führen Untersuchungen durch und wirken an der Weiterentwicklung datenschutzrechtlicher Standards mit. Viele dieser Tätigkeiten müssen unentgeltlich erbracht werden.

Welche Befugnisse haben die Aufsichtsbehörden bei Datenschutzverstößen?

Die Behörden verfügen über weitreichende Untersuchungs- und Abhilfebefugnisse. Sie dürfen Informationen anfordern, Vor-Ort-Prüfungen durchführen, Verarbeitungen untersagen, Korrekturen anordnen und Bußgelder verhängen, bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes.

Wann müssen Verantwortliche die Aufsichtsbehörde konsultieren?

Eine verpflichtende vorherige Konsultation ist vorgesehen, wenn eine Datenschutz-Folgenabschätzung trotz aller Maßnahmen ein hohes Risiko ergibt (Art. 36 DSGVO). Darüber hinaus ist eine freiwillige Beratung sinnvoll, wenn Unsicherheiten über komplexe Datenverarbeitungen bestehen, um spätere Verstöße zu vermeiden.