Skip to main content
Top

2017 | OriginalPaper | Chapter

5. Neue Pflichten der Datenschutzbehörden

Activate our intelligent search to find suitable subject content or patents.

search-config
loading …

Zusammenfassung

Jede Aufsichtsbehörde unterliegt bestimmten Pflichten, die sie erfüllen muss, wenn die Voraussetzungen vorliegen, ohne dass ihr dabei ein echtes Ermessen zukommt, in welchem Umfang und mit welcher Intensität sie diese Pflichten erfüllt. Sie hat diese Pflichten nach Art. 57 Abs. 3 DSGVO „für die betroffene Person und gegebenenfalls für den Datenschutzbeauftragten unentgeltlich“ zu erfüllen.

Dont have a licence yet? Then find out more about our products and how to get one now:

Springer Professional "Wirtschaft+Technik"

Online-Abonnement

Mit Springer Professional "Wirtschaft+Technik" erhalten Sie Zugriff auf:

  • über 102.000 Bücher
  • über 537 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Nachhaltigkeit
  • Finance + Banking
  • Management + Führung
  • Marketing + Vertrieb
  • Maschinenbau + Werkstoffe
  • Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

Springer Professional "Technik"

Online-Abonnement

Mit Springer Professional "Technik" erhalten Sie Zugriff auf:

  • über 67.000 Bücher
  • über 390 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Nachhaltigkeit
  • Maschinenbau + Werkstoffe




 

Jetzt Wissensvorsprung sichern!

Springer Professional "Wirtschaft"

Online-Abonnement

Mit Springer Professional "Wirtschaft" erhalten Sie Zugriff auf:

  • über 67.000 Bücher
  • über 340 Zeitschriften

aus folgenden Fachgebieten:

  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Finance + Banking
  • Management + Führung
  • Marketing + Vertrieb
  • Versicherung + Risiko




Jetzt Wissensvorsprung sichern!

Footnotes
1
S. hierzu Erwägungsgrund 142 DSGVO. Zur originären Geltendmachung von Ansprüchen und Einreichung von Klagen durch Verbände s. z.B. Spindler, ZD 2016, 114 ff.; Halfmeier, NJW 2016, 1126; Dönch, BB 2016, 962.
 
2
Erwägungsgrund 141 DSGVO.
 
3
Erwägungsgrund 141 DSGVO.
 
4
S. z.B. § 19 NDSG.
 
5
S. z.B. Brink, in: Wolff/Brink, Datenschutzrecht, 2013, § 38 Rn. 50; Petri, in: Simitis, BDSG, 8. Aufl. 2014, § 38 Rn. 35.
 
6
S. z.B. Halfmeier, NJW 2016, 1126; Spindler, ZD 2016, 114; Dieterich, ZD 2016, 265.
 
7
S. z.B. Gierschmann, ZD 2016, 53.
 
8
S. z.B. Gierschmann, ZD 2016, 53; Spindler, ZD 2016, 114; Dieterich, ZD 2016, 265.
 
9
S. hierzu Kap. 3.
 
10
S. näher Kap. 5.5.1.
 
11
S. näher Kap. 5.5.3.
 
12
Erwägungsgrund 143 DSGVO.
 
13
Erwägungsgrund 141 DSGVO.
 
14
S. z.B. Jarass, GRCh, 3. Aufl. 2016, Art. 47 Rn. 6 ff.
 
15
Erwägungsgrund 143 DSGVO.
 
16
S. z.B. § 26 Abs. 1 BDSG, § 27 DSG Bbg.
 
17
S. z.B. § 26 Abs. 1 BDSG.
 
18
Dies ist optional – s. Körffer, in: Paal/Pauly, DSGVO, 2016, Art. 59 Rn. 3.
 
19
S. Kap. 5.2.1.
 
20
S. zu dieser Kommunikationsaufgabe auch Kap. 4.​2.​5.
 
22
S. zur Datenschutz-Folgenabschätzung z.B. Friedewald u.a., White Paper Datenschutz-Folgenabschätzung, 2016; Hansen, DuD 2016, 587; Marschall, Datenschutz-Folgenabschätzung und Dokumentation, in: Roßnagel, Datenschutz-Grundverordnung, 2017, 156; Bieker/Hansen/Friedewald, RDV 2016, 188.
 
23
Erwägungsgrund 91 DSGVO erwähnt insbesondere „biometrische Daten“.
 
24
Auch bei „damit zusammenhängenden Sicherungsmaßregeln“ – s. hierzu Erwägungsgrund 91 DSGVO.
 
25
„Insbesondere mittels optoelektronischer Vorrichtungen“ – s. Erwägungsgrund 91 DSGVO.
 
26
Zum Inhalt der Liste s. auch Laue/Nink/Kremer, Das neue Datenschutzrecht, 2017, 236.
 
27
S. z.B. Petri, in: Simitis, BDSG, 8. Aufl. 2014, § 4d Rn. 33; Marschall, Datenschutz-Folgenabschätzung und Dokumentation, in: Roßnagel, Datenschutz-Grundverordnung, 2017, 158.
 
28
Die Liste ist zwar nicht abschließend – s. z.B. auch Laue/Nink/Kremer, Das neue Datenschutzrecht, 2017, 237 –, dennoch kann sich die Aufsichtsbehörde von ihren dort getroffenen Feststellungen nicht einfach wieder lösen.
 
29
S. Kap. 3; zur systematischen Ignoranz dieser Risiken durch die Datenschutz-Grundverordnung s. Kap. 7.​3.
 
30
S. z.B. Pohler, CR 1998, 309. Der Düsseldorfer Kreis wurde 1977 als informelle Vereinigung der Aufsichtsbehörden der Länder, die die Einhaltung des Datenschutzes im nicht-öffentlichen Bereich überwachen, gegründet. Er ist seit 2013 ein Gremium in der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (s. zu dieser Kap. 6.​12.​5).
 
31
S. hierzu auch Laue/Nink/Kremer, Das neue Datenschutzrecht, 2017, 242f.
 
32
Zum Unterschied zur Datenschutz-Folgenabschätzung s. Kap. 6.​7.
 
33
S. z.B. Kap. 6.​5.​2; s. auch Petri, in: Simitis, BDSG, 8. Aufl. 2014, § 4d Rn. 37f.
 
34
So Laue/Nink/Kremer, Das neue Datenschutzrecht, 2017, 244.
 
35
S. hierzu näher Roßnagel, Konzepte der Selbstregulierung, in: ders. Handbuch Datenschutzrecht, 2003, 387.
 
36
Die Erarbeitung und Nutzung der Verhaltensregeln sollen die Transparenz der Verarbeitung und die Verantwortlichkeit des Verantwortlichen weiter fördern – s. z.B. Albrecht, CR 2016, 94.
 
37
S. Kranig/Peintinger, ZD 2014, 8; Paal, in: Paal/Pauli, DSGVO, Art. 40 Rn. 2.
 
38
S. hierzu die Aufzählung in Paal, in: Paal/Pauli, DSGVO, Art. 40 Rn. 5.
 
39
S. auch Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 2017, 99.
 
40
S. hierzu auch Vomhof, PinG 2014, 209.
 
41
S. Petri, in: Simitis, BDSG, 8. Aufl. 2014, § 38a Rn. 25.
 
42
S. z.B. Kranig/Peintinger, ZD 2014, 7; Wronka, RDV 2014, 94; Laue/Nink/Kremer, Das neue Datenschutzrecht, 2017, 244, s. hierzu nach geltendem Recht Petri, in: Simitis, BDSG, 8. Aufl. 2014, § 38a Rn. 25.
 
43
S. zum Verfahren näher Paal, in: Paal/Pauli, DSGVO, Art. 40 Rn. 19 bis 24.
 
44
Zur Situation in anderen Staaten s. z.B. Talidou, Regulierte Selbstregulierung, 2005, 204 ff.; Roßnagel, Konzepte der Selbstregulierung, in: ders., Handbuch Datenschutzrecht, 2003, 410 ff.
 
45
S. Schaar, Selbstregulierung im Datenschutz – Chancen, Grenzen, Risiken, 2013; Vomhof, PinG 2014, 209.
 
46
S. hierzu Berliner Beauftragter für Datenschutz und Informationsfreiheit, Datenschutz und Informationsfreiheit – Dokumente, 2012, 37 ff.; Vomhoff, PinG 2014, 109; Wronka, RDV 2014, 93; Kranig/Peintinger, ZD 2014, 3 (4).
 
47
S. Martini, NVwZ 2016, 353; Wolff, ZD 2017, 151.
 
48
S. näher Laue/Nink/Kremer, Das neue Datenschutzrecht, 2017, 258.
 
49
Erwägungsgrund 100 DSGVO. In Art. 42 DSGVO ist jedoch nur von „Verarbeitungsvorgängen“ die Rede, nicht von „Produkten und Dienstleistungen“.
 
50
S. zur Zertifizierung nach der Datenschutz-Grundverordnung z.B. Kraska, ZD 2016, 153; Spindler, ZD 2016, 407.
 
51
Zu den Rechtsfolgen s. z.B. Laue/Nink/Kremer, Das neue Datenschutzrecht, 2017, 267.
 
52
Sie müssen sich nach Art. 42 Abs. 2 Satz 2 DSGVO rechtlich verpflichten, „diese geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen“.
 
53
Zu dieser Doppelrolle der Aufsichtsbehörde s. Kap. 5.4.5.
 
54
S. hierzu Kap. 5.4.3.
 
55
Im Gegensatz zu einer Bestätigung eines Datenschutzmanagementsystems im Rahmen eines Datenschutzaudits – s. zu diesem Roßnagel, Datenschutzaudit, 2000; ders, Datenschutz, in: ders., Handbuch Datenschutzrecht, 2003, 462 ff.; ders., Datenschutzaudit – ein modernes Steuerungsinstrument, in: Hempel/Krasmann/Bröckling, Sichtbarkeitsregime, 2010, 263 ff.
 
56
S. hierzu auch S. Laue/Nink/Kremer, Das neue Datenschutzrecht, 2017, 265.
 
57
Zum Widerruf der Akkreditierung der Zertifizierungsstelle s. Art. 43 Abs. DSGVO sowie die Ausführungen in Kap. 5.4.5.
 
58
S. hierzu näher Kap. 5.4.5.
 
59
S. hierzu näher Kap. 5.4.5.
 
60
S. hierzu Kap. 5.4.3.
 
61
S. z.B. auch Gierschmann, ZD 2016, 52; Schantz, NJW 2016, 1846; Hofmann, Auftragsverarbeitung, in: Roßnagel, Datenschutz-Grundverordnung, 2017, 185.
 
62
S. hierzu auch Koós/Englisch, ZD 2014, 276 ff.; Petri, ZD 2015, 305 ff.; Hofmann, Auftragsverarbeitung, in: Roßnagel, Datenschutz-Grundverordnung, 2017, 180 ff.
 
63
Beschluss der Kommission vom 5.2.2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern, EU-ABl. L 39 vom 12.12.2010, 5.
 
64
S. z.B. Hessischer Datenschutzbeauftragter, Mustervereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach § 11 BDSG vom 28.9.2010 für den nicht-öffentlichen Bereich; Hessischer Datenschutzbeauftragter, Mustervertrag zur Auftragsdatenverarbeitung zwischen öffentlichen Stellen und öffentlichen oder nicht-öffentlichen Auftragnehmern vom 13.11.2007.
 
65
S. hierzu näher Kap. 5.5.3.
 
66
S. Kap. 3.
 
67
S. zu dieser Kap. 5.3.6.
 
68
Entscheidung der Kommission 2001/497/EG vom 15.6.2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG, EG ABl. L 181 vom 4.7.2001, 19; Entscheidung der Kommission 2004/915/EG vom 27.12.2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer, EG ABl. L 385 vom 29.12.2004, 74; Beschluss der Kommission vom 5.2.2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern, EU ABl. L 39 vom 12.2.2010, 5.
 
69
Zur Zertifizierung durch die Aufsichtsbehörden selbst s. Kap. 5.3.4.
 
70
Zur Genehmigung der Verhaltensregeln s. Kap. 5.3.3.
 
71
Sie hat sie außerdem nach Art. 41 Abs. 3 DSGVO dem Datenschutzausschuss zu übermitteln.
 
72
S. hierzu näher Kap. 5.5.3.
 
73
S. hierzu Kap. 5.4.4.
 
74
Nach Art. 42 Abs. 1 DSGVO sollen Zertifizierungsverfahren möglichst auf Unionsebene durchgeführt werden und nach Art. 42 Abs. 5 Satz 2 DSGVO zu einem Europäischen Datenschutzsiegel führen. Soweit solche europäischen Verfahren installiert werden, genehmigt der Europäische Datenschutzausschuss die Kriterien für die Akkreditierung und die Zertifizierungskriterien unionsweit tätiger Zertifizierungsstellen nach Art. 42 Abs. 5 Satz 1 DSGVO selbst.
 
75
Sie hat sie außerdem nach Art. 43 Abs. 6 Satz 2 DSGVO dem Datenschutzausschuss zu übermitteln.
 
76
S. zur Genehmigung von Zertifizierungskriterien Kap. 5.4.3.
 
77
S. hierzu Kap. 5.5.3.
 
78
Im Düsseldorfer Kreis gibt es bereits eine Arbeitsgruppe, die an Kriterien für die Zertifizierung von Datenverarbeitungsvorgängen und an Kriterien für die Akkreditierung von Zertifizierungsstellen arbeitet.
 
79
S. Kap. 5.4.1.
 
80
S. Kap. 5.3.4.
 
81
Nicht nur – wie nach Art. 42 DSGVO – zur Feststellung der Gesetzeskonformität.
 
82
S. hierzu einen Entwurf in Roßnagel, Datenschutzaudit, 2000, sowie in Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzrechts, 2001, 132 ff.
 
83
S. hierzu näher Roßnagel, Datenschutzaudit – ein modernes Steuerungsinstrument, in: Hempel/Krasmann/Bröckling, Sichtbarkeitsregime, 2010, 263 ff.
 
84
S. Art. 92 DSGVO.
 
85
S. hierzu auch Laue/Nink/Kremer, Das neue Datenschutzrecht, 2017, 258 ff.
 
86
S. zu diesem Kap. 5.4.1.
 
87
S. dazu Kap. 5.4.2.
 
88
S. BT-Drs. 18/11325, 106f.
 
89
Gesetz vom 31.7.2009, BGBl. I, 2625, zuletzt geändert durch Art. 4 Abs. 79 des Gesetzes vom 18.7.2016, BGBl. I, 1666.
 
90
S. z.B. Art. 20 und 30 eIDAS-VO; s. hierzu näher Roßnagel, Recht der Vertrauensdienste, 2016, 147 und 163f.
 
91
S. zur Zielsetzung dieser Regelung s. z.B. Jung, in: Callies/Ruffert, EUV/AEUV, 5. Aufl. 2016, Art. 106 Rn. 3.
 
92
Nach Kühling/Martini u.a., Die Datenschutz-Grundverordnung, 2016, 107, sind die „Zeiten nationaler Datenschutz-Fürstentümer“ vorbei.
 
93
Zur Kooperation zwischen federführender und betroffener Aufsichtsbehörde innerhalb Deutschlands s. § 19 BDSG-E.
 
94
S. zur Definition Art. 4 Nr. 23: Im Sinn der Verordnung bezeichnet der Ausdruck „ ‚grenzüberschreitende Verarbeitung‘ entweder a) eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist, oder b) eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann“.
 
95
Dies gilt allerdings nicht für Fälle, in denen der Verantwortliche oder der Auftragsverarbeiter keinen Sitz in der Union hat und die Datenschutz-Grundverordnung wegen des Marktortprinzips nach Art. 3 Abs. 2 DSGVO gilt. In diesem Fall ist nur die Aufsichtsbehörde zuständig, die für die betroffene Person zuständig ist.
 
96
S. zu diesem auch Erwägungsgrund 124 DSGVO.
 
97
S. die Definition in Art. 4 Nr. 16 DSGVO.
 
98
S. hierzu auch z.B. Schantz, NJW 2016, 1846f.; Gierschmann, ZD 2016, 52; Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 2017, 117; Hofmann, Datenschutzkontrolle, in: Roßnagel, Datenschutz-Grundverordnung, 2017, 189 ff.
 
99
S. z.B. Gierschmann, ZD 2016, 51.
 
100
S. z.B. Nguyen, ZD 2015, 266; Schantz, NJW 2016, 1847.
 
101
S. z.B. Nguyen, ZD 2015, 266; Schantz, NJW 2016, 1847; Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 2017, 121.
 
102
S. Kap. 5.1.1.
 
103
Erwägungsgrund 124 Satz 3 DSGVO geht davon aus, dass die Aufsichtsbehörde, bei der Beschwerde eingelegt wurde, auch eine betroffene Aufsichtsbehörde sein sollte, „wenn eine betroffene Person ohne Wohnsitz in dem betreffenden Mitgliedstaat eine Beschwerde eingelegt hat“.
 
104
Zur Zuständigkeit s. z.B. Laue/Nink/Kremer, Das neue Datenschutzrecht, 2017, 284 ff.
 
105
Dadurch sollen auch „Datenschutzoasen“ in der Europäische Union und dem Europäischen Wirtschaftsraum vermieden werden – s. Schantz, NJW 2016, 1847.
 
106
S. auch Erwägungsgrund 124 DSGVO. Zur gegenseitigen Abstimmung s. auch Erwägungsgrund 125 und 126 DSGVO.
 
107
S. zum Verfahren der Zusammenarbeit z.B. auch Schantz, NJW 2016, 1847; Albrecht, CR 2016, 96.
 
108
Kriterien für diese Entscheidung enthält Erwägungsgrund 128 DSGVO.
 
109
Nach Erwägungsgrund 126 DSGVO soll der Beschluss zwischen den beteiligten Aufsichtsbehörden „gemeinsam vereinbart werden“. In Zweifel entscheidet gemäß Erwägungsgrund 125 DSGVO jedoch die federführende Behörde. Zu den Pflichten der federführenden Behörde zur Kooperation bei der Bearbeitung von Beschwerden s. auch Erwägungsgrund 130 DSGVO.
 
110
S. zur Zuständigkeit der federführenden und der betroffenen Aufsichtsbehörden in Deutschland und ihre Zusammenarbeit § 19 BDSG-E.
 
111
S. zu diesen auch Laue/Nink/Kremer, Das neue Datenschutzrecht, 2017, 289 ff.
 
112
S. Kap. 5.5.3.
 
113
S. hierzu Kap. 5.5.3.
 
114
S. hierzu Kap. 6.​11.​4.
 
115
Dammann, ZD 2016, 309.
 
116
S. hierzu auch Hofmann, Datenschutzkontrolle, in: Roßnagel, Datenschutz-Grundverordnung. 2017, 196.
 
117
S. § 28a, 28b und 29 BDSG.
 
118
S. z.B. die in Ehmann, in: Simitis, BDSG, 8. Aufl. 2014, § 28b Rn. 37a bis 37c zitierte Rechtsprechung.
 
119
S. hierzu näher Roßnagel, Das künftige Datenschutzrecht, in: ders., Datenschutz-Grundverordnung, 2017, 60f.
 
120
S. hierzu Wichard, in: Callies/Ruffert, EUV/AEUV, 5. Aufl. 2016, Art. 342 AEUV, Rn. 10 ff.
 
121
S. hierzu auch Hofmann, Datenschutzkontrolle, in: Roßnagel, Datenschutz-Grundverordnung. 2017, 196.
 
122
S. zu vorbereitenden Maßnahmen Kap. 6.​12.​3.
 
123
S. hierzu näher Hofmann, Datenschutzkontrolle, in: Roßnagel, Datenschutz-Grundverordnung. 2017, 198.
 
124
So z.B. das Hessische Datenschutzgesetz.
 
125
S. Erwägungsgrund 133 DSGVO.
 
126
S. hierzu Kap. 6.​12.​4.
 
127
S. hierzu bestätigend Erwägungsgrund 120 DSGVO.
 
128
S. hierzu auch Erwägungsgrund 135 DSGVO; s. hierzu z.B. auch Nguyen, ZD 2015, 267f.
 
129
S. z.B. auch Hofmann, Datenschutzkontrolle, in: Roßnagel, Datenschutz-Grundverordnung. 2017, 191.
 
130
S. näher Laue/Nink/Kremer, Das neue Datenschutzrecht, 2017, 294 ff.
 
131
S. Kühling/Martini u.a., Die Datenschutz-Grundverordnung, 2016, 114.
 
132
Nach Erwägungsgrund 138 DSGVO soll das Kohärenzverfahren „eine Bedingung für die Rechtmäßigkeit einer Maßnahme einer Aufsichtsbehörde sein, die rechtliche Wirkungen entfalten soll“.
 
133
S. hierzu auch Erwägungsgrund 136 DSGVO.
 
134
Er bindet nicht die Gerichte, die letztlich über den Streitfall zu entscheiden haben – s. hierzu Roßnagel, Das künftige Datenschutzrecht, in: ders., Datenschutz-Grundverordnung, 2017, 61.
 
135
S. hierzu auch Erwägungsgrund 137 DSGVO.
 
136
S. z.B. Laue/Nink/Kremer, Das neue Datenschutzrecht, 2017, 276; Kühling/Martini u.a., Die Datenschutz-Grundverordnung, 2016, 113.
 
137
S. z.B. Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 2017, 119f.
 
138
S. z.B. Hofmann, Datenschutzkontrolle, in: Roßnagel, Datenschutz-Grundverordnung, 2017, 189.
 
139
S. hierzu näher Kap. 6.​12.​7.
 
140
S. hierzu näher Roßnagel, Das künftige Datenschutzrecht, in: ders., Datenschutz-Grundverordnung, 2017, 61; Roßnagel/Geminn/Jandt/Richter, Datenschutzrecht 2016 – „Smart“ genug für die Zukunft?2016, 157 ff.
 
Metadata
Title
Neue Pflichten der Datenschutzbehörden
Author
Alexander Roßnagel
Copyright Year
2017
DOI
https://doi.org/10.1007/978-3-658-18506-0_5

Premium Partner