Mit dem Inkrafttreten der DSGVO am 25.5.2018 wurden auch die Datenschutzbehörden gegründet. Davon gibt es nun in Deutschland 16 Stück – für jedes Bundesland eine. Zuvor gab es nur in einigen Bundesländern Ämter oder Abteilungen von Behörden, die sich mit dem Datenschutz beschäftigt haben. Deren Arbeit war nicht einheitlich strukturiert.
1. Die Aufgaben der Datenschutz-Behörden
Die Aufgaben der Datenschutz-Behörden sind sehr vielfältig:
- Sie veröffentlichen Empfehlungen, wie einzelne Passagen der Datenschutzgesetze auszulegen sind.
- Sie veröffentlichen Handlungsempfehlungen zu einzelnen Datenschutzthemen, z.B. wann eine Datenschutz-Folgenabschätzung erforderlich ist.
- Sie gehen Beschwerden von Betroffenen nach und nehmen diesbezüglich mit Bitte um Stellungnahme Kontakt zu den beschuldigten Unternehmen auf.
- Sie beraten Unternehmen, die sich direkt mit ihren Fragen an die Datenschutzbehörden wenden.
- Sie prüfen geplante Datenverarbeitungen, auf Bitte von Unternehmen.
- Sie überprüfen das Datenschutzmanagement von Unternehmen durch Dokumentenprüfungen und Begehungen.
2. Die beratende Funktion der Datenschutz-Behörden
Die Landesdatenschutzbehörden dürfen Bußgelder aussprechen, aber sie sind angehalten, zunächst beratend tätig zu werden. Findet bereits eine unzulässige Datenverarbeitung in größerem Umfang statt, wird die Beratung durch die Datenschutzaufsicht das Unternehmen nicht vor einem Bußgeld schützen, dieses wird aber geringer ausfallen, wenn sich das Unternehmen einsichtig und kooperativ zeigt und die unzulässige Datenverarbeitung schnellstmöglich abstellt. Bei kleineren Datenschutzvergehen kann die Datenschutzbehörde in der Regel von einem Bußgeld absehe.
Die Datenschutzaufsichten klären einzelne Fragestellungen der Unternehmen (= beratende Funktion), sie übernehmen aber nicht die vollumfängliche Beratung wie sie ein seriöser Berater anbietet.
3. Bußgeld-Bescheide durch die Datenschutz-Behörden
Auf der anderen Seite haben die Behörden angekündigt, dass sie solche unzulässigen Datenverarbeitungen bestrafen, die systematisch begangen werden, d.h. dass die Unrechtmäßigkeit der Datenverarbeitung eigentlich im Unternehmen bekannt ist, aber von der Geschäftsleitung gebilligt oder gewünscht ist. Solche Bußgelder wurden auch schon ausgesprochen, zuletzt im Herbst 2020 für den Bekleidungskonzern H&M über 35 Mio. € wegen unzulässiger Datenverarbeitungen von Mitarbeitern.
Lernen Sie, wie Sie den Datenschutz für Ihre Arztpraxis richtig aufsetzen und wie Sie richtig mit den Datenschutz-Behörden umgehen – in unseren kompakten und jederzeit verfügbaren eLearnings zum Datenschutz und in unseren Datenschutz-Beratungen.
Wenn Sie informiert werden möchten, wenn ein neuer Blog-Beitrag erschienen ist, dann abonnieren Sie gerne unseren Newsletter: