DSGVO erfordert engere Kooperation mit Aufsichtsbehörden

Bislang kamen Unternehmen meist nur bei datenschutzrechtlichen Problemen oder Verstößen in Kontakt mit der zuständigen Aufsichtsbehörde. Im Rahmen der Datenschutzgrundverordnung (DSGVO) müssen sie wesentlich stärker mit ihr zusammenarbeiten. Auch die Aufseher sind zu mehr Kooperation mit Unternehmen verpflichtet. Die unterschiedlichen Aufgabenbereiche mit beratender und kontrollierender bzw. maßregelnder Funktion machen die Kooperation nicht einfach.

Freund oder Feind? Die Situation für Unternehmen bei der Zusammenarbeit mit den Datenschutz-Aufsichtsbehörden ist heikel. Einerseits fordert die DSGVO eine engere Kooperation zwischen beiden Seiten, andererseits stehen die Aufsichtsbehörden in der Pflicht, die Einhaltung der DSGVO bei den Unternehmen und Behörden zu überwachen. So regelt der erste Absatz in Artikel 57 die Überwachung und Durchsetzung, Absatz drei die Aufklärung und die datenschutzrechtlichen Pflichten. Wie das ab dem 25. Mai 2018 nach Ablauf der Übergangsfrist genau gehandhabt wird, ist unklar. „Möglicherweise wird die Aufklärungsaufgabe die Aufsichtsbehörden dahingehend beeinflussen, dass bei festgestellten Verstößen zunächst ´nur` eine Aufklärung stattfindet und Sanktionen daher bei einem Erstverstoß ausbleiben“, schreibt das Portal Datenschutzbeauftragter-Info.

Pflicht der Unternehmen zur Kooperation

Für beide Seiten – Unternehmen/Organisationen/öffentliche Verwaltung und Aufsichtsbehörde – ist die Situation neu. Kamen Unternehmen bislang mit der Datenschutzaufsichtsbehörde im Rahmen des Bundesdatenschutzgesetzes meist nur im Konfliktfall in Kontakt, so unterliegen sie bei der übergeordneten Verordnung DSGVO nun gewissen Pflichten zur Kooperation wie beispielsweise der Meldepflicht bei Verstößen und Konsultation bei Datenschutz-Folgeabschätzungen (s.u.). Auch bei der Umsetzung neuer Anforderungen wie dem Datenschutz durch Technikgestaltung und datenschutzfreundlichen Voreinstellungen ist eine Kooperation mit der Aufsichtsbehörde vorgesehen. Auch wenn ein Unternehmen ein Datenschutzzertifizierungsverfahren durchläuft, was angesichts des Nachweises der Umsetzung der DSGVO angeraten ist, sollte es zuvor bei der Aufsichtsbehörde anfragen, ob das Verfahren wie auch die Zertifizierungsstelle anerkannt sind. Ähnlich verhält es sich bei der Abstimmung branchenspezifischer Verhaltensregeln zur ordnungsgemäßen Datenverarbeitung beziehungsweise der Prüfung, ob es geeignete Verhaltensregeln für geplante Verfahren gibt.

Neue Aufgaben für die Aufsichtsbehörden

Dass die Aufsichtsbehörde sowohl beratend als auch kontrollierend aktiv werden muss, birgt Konfliktpotential.
Auf die Aufsichtsbehörden kommen mit der DSGVO ebenfalls neue Aufgaben hinzu, die sich auf die Zusammenarbeit mit Unternehmen auswirken. Kernaufgabe der Aufseher ist die Überwachung und Durchsetzung der Verordnung. Neu ist die Öffentlichkeitsarbeit zur Information über Risiken der Datenverarbeitung. Außerdem muss die Behörde Unternehmen über ihre datenschutzrechtlichen Pflichten aufklären und in enger Kooperation Datenschutz-Verarbeitungsprozesse klassifizieren. Der Gesetzgeber erwartet, dass bei Datenverarbeitungen, die mit einem erheblichen Risiko für die Rechte der betroffenen Personen verbunden sind, vorab eine sogenannte „Datenschutz-Folgenabschätzung“ vorgenommen wird. Dabei prüft der Datenschutzbeauftragte die besonderen Risiken für die Rechte und Freiheiten des Betroffenen und gibt am Ende dieser Prüfung eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung ab.

Neu ist auch die Zuständigkeit der Aufsichtsbehörden geregelt. Nach dem sogenannten „One-Stop-Shop-Mechanismus“ ist für Unternehmen, die grenzüberschreitende Datenverarbeitung mit Niederlassungen in mehreren EU-Ländern betreiben, nur die Aufsichtsbehörde am Hauptsitz zuständig. Ansonsten sind für Unternehmen und andere nicht-öffentliche Stellen in Deutschland grundsätzlich weiterhin die örtlich zuständigen Landesaufsichtsbehörden zuständig – ausgenommen sind Sonderzuständigkeiten wie im Bereich Telekommunikations- und Postdienstleistungen.

Diese ausgewählten Beispiele aus der DSGVO zeigen, dass sowohl auf Unternehmen/Organisationen/Behörden als auch auf die Aufsichtsbehörden für Datenschutz eine Reihe neuer Aufgaben hinzukommen, die sich nur in engerer Kooperation miteinander bewältigen lassen. Dass die Aufsichtsbehörde sowohl beratend als auch kontrollierend aktiv werden muss, birgt Konfliktpotential. Es bleibt zu hoffen, dass ein transparentes und kooperatives Vorgehen seitens der Unternehmen von den Aufsichtsbehörden mit dem beratenden und nicht sofort mit dem maßregelnden Auge betrachtet wird. Andererseits bleibt einem betroffenen Unternehmen gegenüber einer Sanktion immer noch der Einwand, die Behörde habe nicht ausreichend aufgeklärt, wozu sie schließlich ebenfalls verpflichtet ist.