Die Befugnisse der Datenschutzbehörden

HMDATA Datenschutz-Newsletter 09/2024, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024

Solange man seinen Kunden die Betroffenenrechte im Datenschutz gewährt und keine gravierenden Datenpannen verursacht, hat man vermutlich nicht nur eine gewisse DSGVO-Compliance integriert, sondern hat auch nur äußerst selten Kontakt mit den zuständigen Datenschutzbehörden auf Länderebene.
Da aber jeder Kunde und Mitarbeiter seines Unternehmens bei einem möglichen Verstoß gegen die DSGVO nach Art. 77 DSGVO auch als Individuum das Recht auf Beschwerde bei einer Datenschutzbehörde hat und man bei entsprechendem Risiko meldepflichtig bei Datenpannen ist, kann es mit hoher Wahrscheinlichkeit dazu kommen, dass man von einer Landesdatenschutzbehörde zu einem Vorfall kontaktiert wird.

Die Landesdatenschutzbehörden sind nach Art. 51 DSGVO von den EU-Mitgliedstaaten einzurichten und nach Art. 52 DSGVO auch unabhängig und mit ausreichend personellen, technischen und finanziellen Ressourcen auszustatten, so dass diese Ihrem Auftrag nach Art. 57 DSGVO, insb. der Einhaltung Überwachung der DSGVO von öffentlichen und nichtöffentlichen Stellen nachkommen können.

Aber welche Rechte hat denn nun eine Datenschutzbehörde und welche Sanktionen kann sie aussprechen?

Eines vorweg: die DSGVO ist mit Sicherheit nicht zahnlos. Aus der Praxis hat sich gezeigt, dass die Sanktionen und hierbei insb. die Möglichkeit der Verhängung der "gefürchteten" Bußgelder mit Augenmaß und nur als Ultima Ratio angewandt werden. Den Behörden steht aber außer der "berüchtigten" Verhängung von Bußgeldern nach Art. 83 DSGVO noch ein viel größeres Sanktionsspektrum zur Verfügung, das außer den intensiven Untersuchungsbefugnissen, die in Art. 58 Abs. 1 DSGVO geregelt sind auch ein Maßnahmenkatalog zur Abhilfe beinhaltet. Insofern sollte man also auch rein aus Präventivgedanken nicht außer Acht lassen, dass bei vorsätzlichen oder gravierenden Verstößen gegen die DSGVO die Sanktionierung nicht ausschließlich fiskalischer Natur ist.

Insofern haben die Behörden nach Art. 58 Abs. 2 DSGVO durchaus das Recht und die Kompetenz

• Verwarnungen auszusprechen
• die Ausführung von Betroffenenrechten anzuordnen
• einzelne Verarbeitungsvorgänge auf Konformität einzufordern
• Personen zu benachrichtigen, deren Daten durch Datenpannen exfiltriert wurden
• Einschränkung oder Verbot einzelner Verarbeitungen durchzusetzen
• Berichtigung oder Löschung von Daten ohne Verarbeitung mit rechtlicher Grundlage
• Zertifizierungen zu widerrufen
• Aussetzung von Datenübermittlungen an Empfänger im Drittland durchzusetzen

Insofern ist es also wie immer ratsam, sich über das Risiko der eigenen Datenverarbeitung ausreichend Gedanken zu machen und diese nach Art. 32 DSGVO auch nachweisbar abzusichern. Neben dem Verbot einer Verarbeitung bei digital getriebenen Dienstleistungen mag da das Bußgeld harmlos erscheinen, wenn Teile der Wertschöpfung oder des Geschäftsfeldes behördlich stillgelegt werden, wenn man partout nicht seiner Verantwortung der Verarbeitung personenbezogener Daten nach Art. 24 DSGVO und seiner Pflichten nach Art. 5 DSGVO nachkommen will.

Nebenbei bemerkt sind Behörden zur Ahndung insb. bei Betroffenenrechten verpflichtet, es gibt also kaum Ermessenspielraum zur Untersuchung von Verstößen seitens der Behörden. Hier ist auch gerade ein Urteil vom 12.06.2024 spannend, das das BayLDA zur Durchsetzung von Betroffenenrechten verpflichtet hat, nachdem eine Betroffene gegen die Einstellung eines Verfahrens durch das BayLDA beim zuständigen Verwaltungsgericht geklagt hatte und das betreffende Unternehmen erneut zur Auskunft verpflichtete.

Fazit

Wo kein Kläger da kein Richter, wo kein Verstoß, da keine Klage. Insofern sollte man bei seinem datenschutzrechtlichen Risikomanagement und der Prävention nicht nur die Vermeidung eines Bußgeldes, sondern auch die gesamte Sanktionspalette der Behörden im Blick halten.