In weniger als einem Jahr wird die neue Datenschutzgrundverordnung (DSGVO) in allen europäischen Ländern zur Pflicht. Obwohl Begriffe wie Datenportabilität, Marktortprinzip oder One-Stop-Shop schon seit vielen Monaten durch die Internetwelt geistern, wirkliche Aufklärung besteht bei den meisten Betroffenen noch nicht. Höchste Eisenbahn, bedenkt man neue Aufsichtsmaßnahmen und horrende Bußgelder.
Status quo: Datenschutzverstöße unter dem Radar
Werbe-E-Mails werden ohne Zustimmung der Empfänger versendet, Daten werden ohne Information oder Einwilligung an Dritte weitergeleitet... Datenschutzverstöße sind an der Tagesordnung. Das ist ein Fakt, den kein Internetuser bestreiten kann. Bisher laufen diese Verstöße jedoch meist unter dem Radar. Ahnden können die Verstöße in Deutschland zwar unter anderem die jeweiligen Landesdatenschutzbeauftragten oder die Landesbehörden. Praktisch hat dies jedoch bisher noch kaum Relevanz.
Sanktionsmaßnahmen bei Datenschutzverstößen können außerdem die Verbraucherverbände ergreifen. Durch eine Gesetzesänderung wurden 2016 auch die Verbraucherverbände mit einer Befugnis ausgestattet, Datenschutzverstöße abzumahnen. Auch hiervon haben die Verbraucherschützer – wie angekündigt – noch keinen großen Gebrauch gemacht.
Kann man wegen eines Datenschutzverstoßes auch von anderer Seite abgemahnt werden – nämlich vom Konkurrenten? Eine Frage, die immer noch nicht eindeutig zu beantworten ist, da der Datenschutz weniger den Schutz eines fairen Wettbewerbs bezweckt, sondern vielmehr den Schutz vor Datenmissbrauch. Das Oberlandesgericht Köln hat vergleichbare Urteile bestätigt, nach denen Datenschutzverstöße unter Umständen auch von Wettbewerbern abgemahnt werden können (Urteil vom 11.03.2016, Az.: 6 U 121/15).
Aufsichtsbehörden mit umfangreichen Sanktionsmaßnahmen sollen jedoch künftig mehr für den Datenschutz tun.
Stärkung der Aufsicht durch unabhängige Datenschutzbehörden
Damit in der EU endlich ein gleichmäßiges Datenschutzniveau gewährleistet ist, will die DSGVO eine gleichmäßige Kontrolle der Datenverarbeitung und gleichwertige Sanktionen in allen Mitgliedstaaten sowie eine wirksame Zusammenarbeit zwischen den Aufsichtsbehörden einführen.
Mit der Aufsicht über Datenverarbeitungsvorgänge werden besondere Behörden betraut, die insbesondere die Einhaltung der Vorschriften der DSGVO sicherstellen und Beschwerden in Bezug auf derartige Datenverarbeitungsvorgänge bearbeiten sollten. Die DGVO verpflichtet daher alle Mitgliedstaaten, eine oder mehrere unabhängige Aufsichtsbehörden einzurichten.
Jede Aufsichtsbehörde handelt bei der Erfüllung ihrer Aufgaben und bei der Ausübung ihrer Befugnisse völlig unabhängig. Das Mitglied oder die Mitglieder jeder Aufsichtsbehörde unterliegen bei der Erfüllung ihrer Aufgaben und der Ausübung ihrer Befugnisse weder direkter noch indirekter Beeinflussung von außen und ersuchen weder um Weisung noch nehmen sie Weisungen entgegen. Jede Aufsichtsbehörde ist mit den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen auszustatten. Jede Aufsichtsbehörde wählt ihr eigenes Personal in einem besonderen und transparenten Verfahren aus. Die künftigen Bundesbeauftragten und der Landesbeauftragte bzw. die Leiter der Aufsichtsbehörden müssen beispielsweise vom Parlament oder der Regierung ernannt werden.
Effektive Durchsetzung des Datenschutzes
Die beste Behörde nützt natürlich nichts, wenn sie weder umfangreiche Befugnisse hat, noch diese mit effektiven Sanktionen umsetzen kann. Anders als bisher werden die Aufsichtsbehörden in Deutschland auch gegen öffentliche Behörden einschreiten können und gegenüber diesen Anordnungen erlassen dürfen. Werden bei einer Behörde beispielsweise unrechtmäßig Daten verarbeitet, darf die Datenschutzaufsichtsbehörde Maßnahmen gegen sie ergreifen und Sanktionen verhängen. Konsequent ist jedoch, dass die betroffenen Behörden auch gegen die Maßnahmen einen Rechtsschutz haben und gegen die Anordnungen vor Gericht ziehen dürfen.
Aufgaben der "Datenschutzpolizei"
Gegenüber nicht-öffentlichen Stellen sind die Befugnisse jedoch kaum verändert. Die oder der Bundesbeauftragte hat die Anwendung der Vorschriften über den Datenschutz zu überwachen und durchzusetzen. Hierfür müssen sie sich unter anderem mit Beschwerden Betroffener befassen, bei der Novellierung von Datenschutzgesetzen mitarbeiten oder mit anderen Behörden zusammenarbeiten.
Die Aufsichtsbehörden haben unter anderem folgende Aufgaben:
- die Anwendung der DSGVO zu überwachen und durchzusetzen;
- die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte in Zusammenhang mit der Verarbeitung sensibilisieren und sie darüber aufklären;
- Parlament, Regierung und andere Einrichtungen und Gremien über legislative und administrative Maßnahmen zum Datenschutz beraten;
- die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus dieser Verordnung entstehenden Pflichten sensibilisieren;
- auf Anfrage jeder Person Informationen über die Ausübung ihrer Rechte zur Verfügung stellen;
- sich mit Beschwerden befassen, sie in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten;
- mit anderen Aufsichtsbehörden zusammenarbeiten;
- die Entwicklung der Informations- und Kommunikationstechnologie und der Geschäftspraktiken verfolgen;
- Standardvertragsklauseln für die Auftragsdatenverarbeitung festlegen;
- eine Liste der Verarbeitungsarten erstellen und führen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist;
- Beratung in Bezug auf die Vorabkonsultation leisten;
- die Einführung von Datenschutzzertifizierungsmechanismen und von Datenschutzsiegeln und -prüfzeichen anregen und ggf. regelmäßig überprüfen;
- jede sonstige Aufgabe im Zusammenhang mit dem Schutz personenbezogener Daten erfüllen.
Jede Aufsichtsbehörde erleichtert das Einreichen von Beschwerden durch Maßnahmen wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.
Die Erfüllung der Aufgaben jeder Aufsichtsbehörde ist für die betroffene Person unentgeltlich. Bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anfragen kann die Aufsichtsbehörde eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden. In diesem Fall trägt die Aufsichtsbehörde die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Anfrage.
Die Befugnisse und Sanktionsmaßnahmen folgen in Teil 14 unserer Themenreihe.
Die Themenreihe zur Datenschutzgrundverordnung (DSGVO)
Teil 1: Newsletterversand
Teil 2: Informationspflichten
Teil 3: Auskunftspflichten
Teil 4: Betroffenenrechte
Teil 5: Umgang mit Datenpannen
Teil 6: Neuerungen beim Umgang mit Kundendaten
Teil 7: Übermittlung von Daten ins Ausland
Teil 8: Auftragsdatenverarbeitung
Teil 9: Der Einsatz von Cookies
Teil 10: Social Plugins
Teil 11: Der Datenschutzbeauftragte
Teil 12: Verfahrensverzeichnis, Vorabkontrolle und Folgenabschätzung
Teil 13: Aufsichtsbehörden
Teil 14: Befugnisse und Sanktionsmaßnahmen
Teil 15: Praxisteil - Maßnahmen zur Vorbereitung (Checkliste)
Teil 16: Glossar
Der DSGVO-Countdown: Wie plane ich die nächsten 157 Tage? (Teil 1)
Der DSGVO-Countdown: Wie plane ich die nächsten 135 Tage? (Teil 2)
Der Händlerbund hat Online-Händler zur DSGVO befragt. Die Infografik zeigt, wie Händler sich auf die DSGVO vorbereitet fühlen und was sich bisher bei der Umsetzung getan hat.
Kommentar schreiben
Antworten
Mit freundlichen Grüßen
Elmar Gehnen
werden, richten Sie Ihre Anfrage bitte per E-Mail oder per Post unter eindeutiger Identifizierung Ihrer Person an:
Datenschutzbeauftragter
home24 SE
Greifswalder Straße 212-213
10405 Berlin
Deutschland
Telefax: +49 (0)30 - 60 98 80 06 3
E-Mail: datenschutzhome24.de
Ihre Antwort schreiben