Bekanntermaßen ist eine der Säulen zur Überwachung der Einhaltung des Datenschutzes in der Bundesrepublik Deutschland die staatliche Aufsicht in Gestalt der Datenschutz-Aufsichtsbehörden. Die Aufsichtsbehörden haben nicht nur die Befugnisse, die in § 43 BDSG genannten Ordnungswidrigkeiten in Form der Verhängung von Bußgeldern zu verfolgen.
Die Datenschutz-Aufsichtsbehörden haben darüber hinaus noch weitere Möglichkeiten, gegenüber Unternehmen zu agieren.
Zum einen besteht gemäß § 38 Abs. 3 BDSG ein Auskunftsrecht der Aufsichtsbehörden und damit korrelierend also eine Auskunftspflicht des Unternehmens über bestimmte datenschutzrechtlich relevante Sachverhalte. Über solch einen Fall berichtet das Verwaltungsgericht Leipzig in einer Pressemitteilung, nach welcher der sächsische Datenschutzbeauftragte von einem Unternehmen eine „Darstellung aller Geschäftsprozesse, welche die Erhebung, Verarbeitung und Nutzung personenbezogener Daten zum Gegenstand haben“ verlangt. Diese Auskunft erstreckt sich in dem geschilderten Fall auf praktisch alle datenschutzrechtlich relevanten Verarbeitungsprozesse im Unternehmen und kommt damit eigentlich dem Inhalt des sogenannten internen Verfahrensverzeichnisses gleich. Die Rechtmäßigkeit dieses sehr weiten Auskunftsbegehren hat das Verwaltungsgericht Leipzig bestätigt. Anbei die Pressemitteilung des Verwaltungsgerichts Leipzig:
Im Verfahren 5 L 1308/12 wandte sich die U. Holding GmbH gegen die vom Sächsischen Datenschutzbeauftragten auf der Grundlage des
§ 38 Abs. 3 Bundesdatenschutzgesetz (BDSG) verlangte »Darstellung aller Geschäftsprozesse, welche die Erhebung, Verarbeitung und Nutzung personenbezogener Daten zum Gegenstand haben«. Mit Beschluss vom 3. Dezember 2012 lehnte die 5. Kammer des Verwaltungsgerichts Leipzig den auf einstweiligen Rechtschutz gerichteten Antrag ab und bestätigte die Rechtmäßigkeit des Auskunftsverlangens des Datenschutzbeauftragten. Ein weiteres Verfahren der U. GmbH mit ähnlichem Sachverhalt steht kurz vor dem Abschluss.
Darüber hinaus sind noch weitere Verfahren anhängig. Hier geht es darum, dass U. und ihre Tochterfirmen sich gegen die vom Sächsischen Datenschutzbeauftragten verlangte Bestellung eines externen Datenschutzbeauftragten wenden. Ein hierzu anhängiges Eilverfahren soll demnächst entschieden werden.
Es ist darauf hinzuweisen, dass die verwaltungsgerichtlichen Verfahren und die Ermittlungsverfahren der Staatsanwaltschaft unabhängig voneinander geführt werden.
(Quelle: Pressemitteilung des VG Leipzig vom 13.12.2012)
Darüber hinaus ist eine Datenschutz-Aufsichtsbehörde gemäß § 38 Abs. 4 BDSG befugt, während der Betriebs- und Geschäftszeiten Grundstücke und Geschäftsräume des Unternehmens zu betreten und dort Prüfungen und Besichtigungen vorzunehmen. Hierbei darf die Datenschutz-Aufsichtsbehörde auch geschäftliche Unterlagen, die Verfahrensverzeichnisse und die gespeicherten personenbezogenen Daten und Datenverarbeitungsprogramme einsehen.
Stellt die Datenschutz-Aufsichtsbehörde Datenschutzverstöße im Unternehmen fest, dann kann sie deren Beseitigung verlangen (§ 38 Abs. 5 BDSG) und auch die Änderung technischer oder organisatorischer Maßnahmen gemäß § 9 BDSG (und Anlage) verlangen.
Ein Beispiel hierfür ist die erlassene Verfügung des unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein (ULD) gegen Facebook. Diese angeordneten Maßnahmen können mit den Mitteln des Verwaltungsvollstreckungsrechts (also unter anderem mit der Verhängung von Zwangsmitteln wie zum Beispiel Zwangsgeld) durchgesetzt werden.
Darüber hinaus hat die Datenschutz-Aufsichtsbehörde die Befugnis, einen nicht den Erfordernissen des § 4f BDSG (also in der Regel mangelnde Fachkunde, Interessenkonflikt oder schlichtweg Untätigkeit) genügenden Datenschutzbeauftragten abzuberufen.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe