Die Rolle der Datenschutzbehörde in Österreich | Beitrag von Klaudia Suska, VACE Senior GRC Consultant

DIGITAL SOLUTIONS,
junger Männerkopf bis zur Schulter, nachdenkliche Pose und ein sportlicher Mann der innerhalb dieses Kopfes Treppen raufläuft

Die Aufsichtsbehörde hat gem. Art. 57 DSGVO eine Vielzahl von Aufgaben, die sie gegenüber verschiedenen Interessengruppen, insbesondere gegenüber der Öffentlichkeit, betroffenen Personen, dem nationalen Parlament, der Regierung und anderen Einrichtungen und Gremien, anderen Aufsichtsbehörden sowie Verantwortlichen und Auftragsverarbeitern wahrnehmen muss.

Die Aufgaben:

Gegenüber Verantwortlichen – im Folgenden Unternehmen genannt – hat die Aufsichtsbehörde im Wesentlichen die Hauptaufgaben, die Anwendung der DSGVO zu überwachen und durchzusetzen, Anfragen und Beschwerden von Betroffenen zu bearbeiten, Unternehmen bzgl. Ihrer Datenschutzpflichten zu sensibilisieren und Untersuchungen über die Anwendung der DSGVO durchzuführen.
Ferner legt sie u.a. Standardvertragsklauseln fest, erstellt eine Black- und Whitelist für die Notwendigkeit der Durchführung von Datenschutz-Folgenabschätzungen, fördert die Ausarbeitung von Verhaltensregeln, regt die Einführung von Datenschutz-Zertifizierungsmechanismen an, überprüft die Erteilung von Zertifizierungen, fasst Kriterien für die Akkreditierung von Zertifizierungsstellen ab, genehmigt Vertragsklauseln für den internationalen Datenverkehr sowie verbindliche interne Datenschutzvorschriften. Um das alles leisten zu können, verfolgt sie maßgebliche Entwicklungen, soweit diese sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie und der Geschäftspraktiken. 

Die Befugnisse:

Für die Erfüllung der oben genannten Aufgaben, insbesondere die Überwachung und Durchsetzung der Anwendung der Verordnung, stattet die Datenschutz-Grundverordnung die Aufsichtsbehörde mit Befugnissen aus (Art. 58 DSGVO). Diese lassen sich in Untersuchungs-, Abhilfe-, Genehmigungs- und Beratungsbefugnisse einteilen. 

Untersuchungsbefugnisse

Im Rahmen der Untersuchungsbefugnisse (Art. 58 Abs.1) kann die Aufsichtsbehörde für ihre Aufgabenerfüllung Zugang zu allen personenbezogenen Daten und Informationen sowie Zugang zu Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen- und Geräten verlangen. Sie ist zudem befugt, den Verantwortlichen anzuweisen, Verarbeitungsvorgänge in Einklang mit der Verordnung zu bringen oder zu beschränken. Dabei kann sie die Berichtigung oder Löschung anordnen oder die Unterrichtung von Datenempfängern oder die Benachrichtigung von Betroffenen verlangen. 
Ein Bestandteil der Untersuchung sind Datenschutzprüfungen, unabhängig davon, ob sie anlassbezogenen oder anlasslos durchgeführt werden. Eine Datenschutzprüfung soll die Aufsichtsbehörde in die Lage versetzen, verlässliche Aussagen über die Anwendung der DSGVO in einem Unternehmen zu treffen. Diese kann unterschiedliche Ziele verfolgen: 

  • Beschwerdeprüfung: Ist eine konkret erhobene Datenschutzbeschwerde eines Betroffenen begründet?
  • Konzeptionsprüfung: Gibt es eine ausreichende Beschreibung der Datenverarbeitungen im Unternehmen? Sind die nach der Verordnung zu treffenden Abwägungsentscheidungen zum Beispiel im Zusammenhang mit Privacy by Design, Privacy by Default, Durchführung von Datenschutz-Folgeabschätzungen und/oder Handhabung von Datenschutzverletzungen erfolgt und dokumentiert? Ist diese Konzeption des Datenschutzes in wesentlichen Belangen zutreffend?
  • Angemessenheitsprüfung: Sind die Grundsätze und Maßnahmen der DSGVO in allen wesentlichen Belangen zutreffend dargestellt und angemessen? Sind sie zu einem bestimmten Zeitpunkt implementiert?
  • Wirksamkeitsprüfung: Sind die Grundsätze und Maßnahmen der DSGVO in allen wesentlichen Belangen zutreffend dargestellt und angemessen? Sind sie zu einem bestimmten Zeitpunkt implementiert und in einem bestimmten Zeitpunkt wirksam?

Abhilfebefugnisse

Abhilfebefugnisse (Art. 58 Abs. 2 DSGVO) ermächtigen die Aufsichtsbehörde, Verantwortliche und Auftragsverarbeiter zu verwarnen oder anzuweisen, die Erhaltung der Betroffenenrechte sicherzustellen, Bearbeitungsvorschläge in Einklang mit der Verordnung zu bringen, bei Datenschutzverletzungen die Betroffenen zu benachrichtigen, gegebenenfalls vorübergehend oder auch endgültig die Verarbeitung zu verbieten, Zertifizierungen zu widerrufen, Datenübermittlungen in ein Drittland auszusetzen und ergänzend oder parallel dazu Geldbußen zu verhängen.
Sollten Anforderungen und Pflichten der DSGVO nicht oder nur unzureichend erfüllt werden, drohen den Unternehmen u.a. Geldbußen. Die Aufsichtsbehörde soll dabei sicherstellen, dass die Verhängung der Geldbuße in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist (Art. 83 Abs.1 DSGVO). Geldbußen können in einer Höhe von bis zu 20 Mio. EUR oder bis 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden, je nachdem, welcher der Beträge höher ist. Dies gilt insbesondere für Verstöße gegen:

  • Grundsätze der Verarbeitung (Art. 5, 6, 7 und 9 DSGVO) 
  • Rechte der betroffenen Personen (Art. 12 bis 22 DSGVO)
  • Grundsätze der Datenübermittlungen in Drittländer (Art. 44 bis 49 DSGVO)  
  • Anweisungen der Aufsichtsbehörden gem. Art. 58 Abs. 1 oder 2

Bei den folgenden Verstößen können Geldbußen von bis zu 10 Mio. EUR oder bis 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden je nachdem, welcher der Beträge höher ist: 

  • Melde- und Benachrichtigungspflichten (Art. 33 und 34)
  • Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen 
  • Vorgaben für die Auftragsverarbeitung (Art. 28)
  • Verarbeitungsverzeichnis (Art. 30)
  • Sicherheit der Verarbeitung (Art. 32, Art 24)
  • Datenschutz-Folgenabschätzung (Art. 35)
  • (Nicht-) Bestellung eines Datenschutzbeauftragten (Art. 37)

Genehmigungs- und Beratungsbefugnisse

Nicht weniger relevant als die Untersuchungs- und  Abhilfebefugnisse sind die den Aufsichtsbehörden übertragenen Genehmigungs- und Beratungsbefugnisse (Art. 58 Abs. 3), da diese in erster Linie dazu dienen, alle oben genannten Interessengruppen, denen gegenüber sie ihre Aufgaben erfüllen müssen, für den Datenschutz zu sensibilisieren und zu beraten und durch geeignete Mittel dafür zu sorgen, dass Datenschutzverletzungen nicht eintreten. Damit soll dem Hauptanliegen, dem alle, die sich um die Einhaltung des Datenschutzes bemühen, nämlich dem vorbeugenden Grundrechtschutz, Rechnung getragen werden.
Dazu dienen neben der individuellen Beratung insbesondere Stellungnahme zu Verhaltensregeln sowie die Genehmigung dieser, die Akkreditierung von Zertifizierungsstellen, die Genehmigung von Kriterien für Zertifizierungen oder auch die Erteilung von Zertifizierungen, die Festlegung von Standarddatenschutzklauseln für Auftragsverarbeiter oder Vertragsklauseln für den internationalen Datenverkehr und nicht zuletzt die Genehmigung verbindlicher interner Datenschutzvorschriften.