Beschwerden bei der Datenschutzbehörde
Intensive Vorbereitungsarbeiten bei und mit Kunden für die kommende DSGVO haben für das Bloggen zu Datenschutzthemen wenig Zeit gelassen. Immer wieder wurde ich in der jüngsten Vergangenheit gefragt, welche Rolle die Datenschutzbehörde in Zukunft, insbesondere bei Beschwerden von Betroffenen, wohl spielen wird. Anregung genug, sich mit dem Thema, wie folgt, zu befassen.
Datenschutzbehörde muss sich mit Beschwerden befassen
Generell hat die Aufsichtsbehörde sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes zu befassen. Die Datenschutzbehörde hat den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und die Ergebnisse des Verfahrens zu unterrichten. Betroffene haben somit die Möglichkeit, die Überprüfung konkreter Sachverhalte, welche sich auf eine spezifische beanstandete Verarbeitungstätigkeit beziehen, durch die Datenschutzbehörde zu veranlassen.
Das Einreichen von Beschwerden ist seitens der Aufsichtsbehörde durch die Bereitstellung eines Online-Beschwerdeformulars zu erleichtern. Im Zusammenhang mit der Bearbeitung von Beschwerden verfügt die Datenschutzbehörde über verschiedene Befugnisse gegenüber dem Verantwortlichen bzw Auftragsverarbeiter. So können ua. Verwarnungen ausgesprochen, Verarbeitungsbeschränkungen verfügt, bestimmte Handlungen angewiesen oder eine Geldbuße verhängt werden.
Datenschutzbehörde unterstützt DSGVO-Umsetzung
Die DSGVO sieht vor, dass die Datenschutzbehörde entsprechende Standardvertragsklauseln für die Heranziehung von Auftragsverarbeitern, den Datenverkehr mit Drittstaaten oder Internationalen Organisationen und eine Liste der Verarbeitungsarten (Black-List), für die eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen ist, zu erstellen und zu führen haben. Im Zuge von Konsultationen bei Verarbeitungen mit einem hohen Risiko hat die Behörde den Verantwortlichen zu beraten und innerhalb von 8 Wochen nach Erhalt des Ersuchens eine entsprechende schriftliche Empfehlung auszusprechen.
Die Datenschutzbehörde hat im März 2018 einen Entwurf zu einer Verordnung über Ausnahmen von der Datenschutz-Folgenabschätzung („White-List“) vorgelegt. Die gesetzlich vorgeschriebene Black-List hinsichtlich der Verarbeitungsformen, bei denen die Durchführung einer Datenschutz-Folgenabschätzung verpflichtend ist, lässt noch auf sich warten.
Gebührenbefreiung für Betroffene und Datenschutzbeauftragte
Die Erfüllung der Aufgaben der Datenschutzbehörde ist für Betroffene und für Datenschutzbeauftragte grundsätzlich von Gebühren befreit. Die Aufsichtsbehörde kann jedoch bei offenkundig unbegründeten oder exzessiven Anfragen eine angemessene Bearbeitungsgebühr verlangen oder sich weigern, tätig zu werden. Die Beweislast hiefür trägt die Aufsichtsbehörde. In diesem Zusammenhang stellt sich die interessante Frage, ob die Datenschutzbehörde bei Eingaben (Konsultation bei Datenschutz-Folgenabschätzungen) von Verantwortlichen oder Auftragsverarbeitern, welche keinen Datenschutzbeauftragten benannt haben, berechtigt ist, entsprechende Gebühren bei der Bearbeitung der Eingaben zu verlangen?
Datenschutzbehörde soll mehr Personal erhalten
Die Datenschutzbehörde hat im vergangenen Jahr 16 zusätzliche Planstellen beantragt, um die Vollziehung der zusätzlichen Aufgaben und Befugnisse zu gewährleisten. Eine endgültige Entscheidung über die Genehmigung der beantragten, zusätzlichen Planstellen, ist noch nicht gefallen. 2017 versahen 27 Personen in Teil- oder Vollzeit ihren Dienst bei der Datenschutzbehörde.