Beratung des Verantwortlichen durch die Datenschutzaufsichtsbehörden

Beratung des Verantwortlichen durch die Datenschutzaufsichtsbehörden

– Reposting –

Die Aufsichtsbehörden haben eine Vielzahl verschiedener, in der DSGVO verankerter Aufgaben und Befugnisse, wie die Verhängung von Sanktionen oder die Prüfung von Zertifizierungen. Dieser Beitrag geht hingegen auf die Frage ein, inwieweit auch die Beratung des Verantwortlichen zu den Aufgaben der Datenschutzaufsichtsbehörde gehört.

Die Beratungsfunktion der Datenschutzaufsichtsbehörde

Im alten Bundesdatenschutzgesetz war die Beratungsfunktion der Datenschutzaufsichtsbehörde gegenüber dem Verantwortlichen und dessen Datenschutzbeauftragten klar in § 38 Abs. 1 BDSG a.F. geregelt, wie in unserem Blog dargelegt. Diese Beratung sollte sogar unter Berücksichtigung der typischen, also praxisorientierten, Bedürfnisse des Verantwortlichen und dessen Datenschutzbeauftragten präventiv und konstruktiv erfolgen, um Datenschutzverstößen vorzubeugen.

Gesetzliche Reglung

Hingegen gibt es in der DSGVO hinsichtlich der Beratung des Verantwortlichen und dessen Datenschutzbeauftragen keine explizite Regelung mehr. Vielmehr wurde in § 40 Abs. 1 BDSG nachweislich die Beratung des Datenschutzbeauftragten und dessen Verantwortlichen gestrichen.

Gesetzlich verankert bleiben noch drei Beratungsleistungen:

  • Art. 58 Abs. 3 DSGVO, der der Aufsichtsbehörde sämtliche Genehmigungsbefugnisse und beratende Befugnisse zuschreibt, um in den in Art. 58 Abs. 3 lit. a bis j DSGVO vorgesehenen Bereichen agieren zu können.
  • Art. 57 Abs. 1 lit. c DSGVO, der der Aufsichtsbehörde die Beratung des nationalen Parlaments zuschreibt.
  • § 40 Abs. 6 S. 1 BDSG, der der Aufsichtsbehörde die Beratung des Datenschutzbeauftragten zuschreibt.

Dementsprechend reagieren die Aufsichtsbehörden zunehmend zurückhaltend, was die Beratung des Verantwortlichen anbelangt. Gerade kurz nach Anwendbarkeit der DSGVO wurde dies offen kommuniziert. Entsprechende Anfragen werden abgelehnt oder es werden Antwortschreiben verfasst, die für den Verantwortlichen faktisch ohne die gewünschte praxisnahe Aussagekraft sind. Begründet wird das u.a. damit, dass keine Verpflichtung zur Beratung eingegangen werden, bzw. keine Wettbewerbsverzerrung durch staatliche Hilfeleistung mittels Beratung erfolgen soll und darüber hinaus keine explizite gesetzliche Befugnis zur Beratung vorläge. Im Hintergrund spielt oft auch die mangelnde Ausstattung sämtlicher Datenschutzbehörden eine Rolle.

Kann der Verantwortliche, eine Datenschutzberatung einfordern ?

Kein expliziter Rechtsgrund für die Beratung in der DSGVO

Ebenso wenig wie es keine Befugnis zur Beratung des Verantwortlichen durch die Datenschutzaufsichtsbehörde gibt, besteht auch keinen Rechtsgrund den Verantwortlichen nicht zu beraten.

Rechtsgrund für die Beratung aufgrund systematischer Betrachtung

Eine solche Beratungsbefugnis könnte sich etwa aus der Zusammenschau von anderen Befugnissen ergeben, für deren Erfüllung die Beratung des Verantwortlichen eine notwendige Voraussetzung darstellt. Dies ist etwa bei Art. 58 Abs. 1 lit. d DSGVO der Fall

„Jede Aufsichtsbehörde verfügt über sämtliche folgende Untersuchungsbefugnisse, die es ihr gestatten, den Verantwortlichen […] auf einen vermeintlichen Verstoß gegen diese Verordnung hinzuweisen“.

Dies setzt voraus, dass Verarbeitungsvorgänge und Rechtsgründe eigenständig durch die Datenschutzaufsichtsbehörde geprüft werden, um ggf. einen Verstoß gegen die DSGVO feststellen zu können. Stellt die Behörde diesen fest, gibt Sie dem Verantwortliche einen Hinweis. Dieser Hinweis enthält zwangsläufig die Bewertung der vermeintlichen Rechtsgrundlage für die Datenverarbeitung und somit eine uneigenständige Beratungsleistung.

Selbst wenn man hieraus keine Beratungspflicht der Datenschutzaufsichtsbehörden gegenüber dem Verantwortlichen im Allgemeinen begründet, so gibt es doch eine Hintertür, für eine Beratung durch die Datenschutzaufsichtsbehörde.

Kann der Datenschutzbeauftragte eine Beratung einfordern?

Die Stellung des Datenschutzbeauftragten ist hinsichtlich der Stellung gegenüber der Datenschutzaufsichtsbehörde eine andere als die des Verantwortlichen, obwohl er für den Verantwortlichen tätigt wird. Denn grundsätzlich wird eine Zusammenarbeit des Datenschutzbeauftragten mit den Aufsichtsbehörden in Art. 39 DSGVO geregelt. Zu unterscheiden ist hierbei die Zusammenarbeit nach Art. 39 Abs. 1 lit. d DSGVO und die Tätigkeit des Datenschutzbeauftragten als Anlaufstelle der Datenschutzaufsichtsbehörde aus Art. 39 Abs. 1 lit. e DSGVO.

Proaktive Zusammenarbeit mit der Datenschutzaufsichtsbehörde

In § 4g Abs. 1 S. 1 BDSG a.F. war damals vorgesehen, dass der Datenschutzbeauftragte sich nur in Zweifelsfällen an die Aufsichtsbehörde wenden konnte.

Das gilt heute so nicht mehr. Vielmehr liegt die Zusammenarbeit nach Art. 39 Abs. 1 lit. d DSGVO im Ermessen des Datenschutzbeauftragten und ist weit zu verstehen. Sie ist nicht auf Zweifelsfälle beschränkt und ist als umfassende, allgemeine und proaktive Zusammenarbeit seitens des Datenschutzbeauftragten zu verstehen.

Nachdem die Zusammenarbeit im Ermessen des Datenschutzbeauftragten steht, besteht auch keine Pflicht hierzu. Das heißt, der Datenschutzbeauftragte ist nicht verpflichtet ein Vorgehen des Verantwortlichen, welches er als unzulässig betrachtet, bei der Datenschutzaufsichtsbehörde zu melden. Lediglich bei strafrechtlich relevanten Vorgängen, dürfte der Datenschutzbeauftragte verpflichtet sein, die Datenschutzaufsichtsbehörde zu konsultieren.

Jedenfalls kann der Datenschutzbeauftragte die für ihn kostenlose Beratung nach Art. 57 Abs. 1 i.V.m. Abs. 3 DSGVO in Anspruch nehmen.

Rechtsgrund für die Beratung des Datenschutzbeauftragten

Wie oben dargestellt, gibt es keine explizite Beratungsfunktion der Datenschutzaufsichtsbehörde gegenüber dem Verantwortlichen. Jedoch kann der Verantwortliche über die Hintertür des Datenschutzbeauftragten, dem nach Art. 39 DSGVO i.V.m. § 40 Abs. 6 S. 1 BDSG gegenüber der Datenschutzaufsichtsbehörde eine Beratung zusteht, eine Beratung erreichen, indem der Datenschutzbeauftragte die Anfrage in seinem Namen stellt.

Beratung des Verantwortlichen als Ziel für die Zukunft

Letztendlich sollten sich die Datenschutzaufsichtsbehörden jedoch gegenüber der Beratung der Verantwortlichen nicht verschlossen zeigen und diese auch im eigenen Interesse, unabhängig von einer Verankerung im Gesetz, anbieten. Dies würde weder zu Wettbewerbsverzerrungen führen, noch ist eine Befangenheit der Behörde zu befürchten. Vielmehr wird durch die Beratung Rechtssicherheit und eine zügige Umsetzung eines gleichhohen Datenschutzniveaus erreicht.

Dies gilt umso mehr, als das die Beratung deshalb angefragt wird, weil Rechtsbegriffe unbestimmt sind, Unklarheit über deren Auslegung besteht und der datenschutzrechtlich sensibilisierte Verantwortliche sich von vornherein gesetzeskonform verhalten will. Dieses Verhalten sollte in einem Rechtsstaat unterstützt werden, schafft es doch für alle Beteiligten Rechtsklarheit. Letztendlich wird bei gleicher Handhabung über alle 16 Datenschutzaufsichtsbehörden hinweg auch Gerechtigkeit unter Berücksichtigung des Gleichbehandlungsgrundsatzes in Art. 3 Abs. 1 GG erreicht und damit auch einer Wettbewerbsverzerrung entgegengewirkt.

Im Übrigen bleibt es der Datenschutzaufsichtsbehörde unbenommen, eine einmal geäußerte Rechtsmeinung zu revidieren. Man darf wohl in einem Rechtsstaat davon ausgehen, dass diese Änderung der Rechtsauffassung nicht willkürlich erfolgt, sondern aufgrund einer beobachteten Markt- und Rechtsentwicklung, aus der heraus sich unter Berücksichtigung des Gesetzeszweckes, nämlich dem Erreichen eines einheitlichen Datenschutzniveaus, eine Notwendigkeit für die Änderung der Rechtsauffassung ergibt. Diese Änderung der Rechtsauffassung kann für die Zukunft auf vielfältige Weise, z. B. Aufsätze, Handlungsanweisungen etc. eingeleitet werden.

Personelle Kapazitäten, die die Datenschutzbehörde von der „zeitaufwendigen“ Beratung abhalten, sollten auch nicht als Argument angeführt werden. Alles was an Beratung nicht geleistet wird, muss hinterher bei der Überwachung in doppelter und dreifacher Weise aufgewendet werden. Es sei denn, eine flächendeckende Einhaltung des Gesetzes ist nicht intendiert.

Aus all diesen Gründen sollte weiterhin eine Beratungsleistung der Datenschutzaufsichtsbehörden angeboten werden. Und immerhin ist im eingangs verwiesenen Fall das BayLDA zu einer ähnlichen Schlussfolgerung gekommen.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de


HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Beratung des Verantwortlichen durch die Datenschutzaufsichtsbehörden.