Herzlich Willkommen zur neunten Einheit der Vorlesung Datenschutzrecht und Norm des E-Government. Wir haben heute zwei Themen und zwar einerseits die organisatorischen Anforderungen und

andererseits die Rolle der Aufsichtsbehörden. Wir fangen mit den organisatorischen Anforderungen an. Dabei geht es um solche Regelungen, bei denen jetzt nicht die Bedingungen und die Voraussetzungen für einen konkreten Datenverarbeitungsvorgang im Vorlag und stehen, sondern es geht eher um allgemeinere Pflichten, die die Adressaten beachten müssen, wenn sie vorhaben,

personenbezogene Daten zu verarbeiten. Unter A schauen wir uns zunächst an, wer Adressat dieser Pflichten sein kann, nämlich Verantwortliche und Auftragsverarbeiter. Und dann schauen wir uns diese einzelnen Pflichten an oder diese einzelnen organisatorischen Anforderungen an. Da sind einmal zu nennen Dokumentationspflichten, Anforderungen an die Datensicherheit,

sogenannte Datenschutzfolgeabschätzung sowie unter E die Benennung von Datenschutzbeauftragten. Zum zweiten Themenkomplex, den Aufsichtsbehörden, da schauen wir uns zunächst einen Überblick über die Aufsichtsbehörden im europäischen und deutschen Recht an. Dann gucken wir uns an, welche Aufsichtsbehörde wann zuständig ist.

Dann haben wir ein paar Punkte zu der Unabhängigkeit von Aufsichtsbehörden, zu ihren Aufgaben, zu ihren Befugnissen und abschließend die Möglichkeit des Rechtsschutzes gegen Maßnahmen der Aufsichtsbehörde. Los geht's mit den organisatorischen Anforderungen und hier zunächst vorgelagert die Frage,

wer ist Adressat von solchen organisatorischen Anforderungen? Die DSGVO differenziert hier zwischen Verantwortlichen und Auftragsverarbeitern, die dann spezifische Pflichten zu erfüllen haben bzw. Vorschriften zu beachten haben. Das ganze ist jetzt teilweise wiederholend, weil wir das schon kennen, vor allem die Ausführungen zum Verantwortlichen, den kennen wir schon, das ist der Hauptadressat

der DSGVO und das ist auch in Artikel 4 Nummer 7 legal definiert, der Verantwortliche ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die alleine oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Also die Verantwortlichkeit knüpft nicht an die Ausführung der Verarbeitung an sich an, sondern die Entscheidungsbefugnis. Verantwortlicher ist, wer die Entscheidung darüber trifft, welche Daten verarbeitet werden, wie lange die Daten verarbeitet werden sollen, wer Zugriff auf die Daten erhalten soll und welche Sicherungsmaßnahmen getroffen werden sollen.

Neben dem Verantwortlichen gibt es dann noch den Begriff des Auftragsverarbeiters. Wie auch der Verantwortliche ist der verauftragsverarbeiter in der DSGVO legal definiert, und zwar unter Artikel 4 Nummer 8. Demnach ist er eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Das hat folgenden Hintergrund, in der Praxis lohnt es sich oft, Datenverarbeitungsvorgänge outsourcen an eine externe Person, wie zum Beispiel ein Dienstleister, weil der zum Beispiel über das technische Know-how verfügt oder die Ressourcen. Das hat dann nicht zur Folge, dass dieser Dienstleister, der die technische Durchführung

nur macht, zum Verantwortlichen und damit zum Hauptadressaten der DSGVO werden würde, denn Hauptadressat als Verantwortlicher ist ja weiterhin der, der die Entscheidungsbefugnis über das ob und wie der Datenverarbeitung trägt. Der Auftragsverarbeiter, also der, der das Ganze am Ende nur händisch oder technisch

durchführt, der unterliegt anderen Regelungen, muss aber in der DSGVO auch als solcher dann adressiert werden. Und diese speziellen Regelungen an den Auftragsverarbeiter und vor allem die Beziehung zwischen dem Verantwortlichen und dem Auftragsverarbeiter, die finden sich in

Artikel 28 und da ist zum Beispiel unter anderem geregelt, dass der Verantwortliche bei der Auswahl des Auftragsverarbeiters gewährleisten muss, dass eine rechtmäßige und sichere Datenverarbeitung sichergestellt wird. Der Verantwortliche muss also nicht nur darauf achten, dass er selber datensicher und rechtmäßig verarbeitet, sondern wenn er diese Datenverarbeitung weitergibt oder

outsourced an einen anderen, der das dann für ihn macht, auch da muss die Rechtmäßigkeit und die Sicherheit gewährleistet werden und das gehört zu den Aufgaben des Verantwortlichen. Ein weiterer Punkt ist, dass die Datenverarbeitung durch den Auftragsverarbeiter nur durch dokumentierte Weisung des Verantwortlichen erfolgen soll, damit der

ganze Datenverarbeitungsprozess durch den Auftragsverarbeiter am Ende auch nachvollziehbar ist. Ein weiterer Punkt ist, dass der Auftragsverarbeiter, der Verantwortlichen muss den Auftragsverarbeiter zur Vertraulichkeit verpflichten, also dass der Auftragsverarbeiter vertraulich mit den personenbezogenen Daten, die er dann vom Verantwortlichen

bekommt, umgeht. Außerdem muss der Auftragsverarbeiter technische Sicherheitsforkierungen treffen für die Datenverarbeitung und es muss sichergestellt sein, dass der verantwortliche Informations- und Kontrollbefugnisse gegenüber dem Auftragsverarbeiter ausüben kann.

Das waren jetzt organisatorische Anforderungen, die sich spezifisch auf das Verhältnis zwischen Verantwortlichem und Auftragsverarbeiter beziehen. Darüber hinaus gibt es jetzt noch allgemeine datenschutzrechtliche organisatorische Anforderungen, die wir uns angucken. Und da haben wir als ersten Punkt die Dokumentationspflichten, denn

Verantwortliche und Auftragsverarbeiter müssen Datenverarbeitung grundsätzlich dokumentieren. Das erfüllt den Zweck, dass Datenverarbeitung nachvollziehbar und am Ende auch kontrollierbar sind. Es hat auch einen Nachteil, es führt nämlich zu erheblichem bürokratischen Aufwand, wenn Datenverarbeitungsvorgänge, die in der

Praxis durchaus häufig vorkommen können, alle dokumentiert werden müssen. Das wird durch das Datenschutzrecht aber in Kauf genommen. Es gibt mehrere einzelne Dokumentationspflichten, und zwar drei Stück, die wir uns angucken wollen. Erst einmal die allgemeine Rechenschaftspflicht, die sich aus Artikel 5 Absatz 2 der DSGVO ergibt, dann eine Pflicht zum Führen von

Verarbeitungsverzeichnis nach Artikel 30 DSGVO und eine sogenannte Verletzungsprotokollierung nach Artikel 33 Absatz 5 DSGVO. Fangen wir an mit der allgemeinen Rechenschaftspflicht. Diese ergibt sich aus Artikel 5 Absatz 2 der DSGVO und nimmt Bezug auf

Absatz 1 der Norm. In Artikel 5 Absatz 1 sind die sogenannten Grundsätze der Datenverarbeitung beschrieben. Das sind allgemeine Grundsätze, nach denen personenbezogene Daten verarbeitet werden müssen. Der erste Grundsatz davon ist Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz, also dass Datenverarbeitung auf

rechtmäßige Art und Weise erfolgen dürfen, aber auch nur treu mäßig und möglichst in einer transparenten Art und Weise. Außerdem ist da genannt die Zweckbindung der Datenverarbeitung, also dass Daten nur zu einem bestimmten Zweck verarbeitet werden sollen. Ausnahmen können sich ergeben bei einer späteren Zweckänderung,

wie zum Beispiel nach Artikel 6 Absatz 4 DSGVO. Weiterer Grundsatz ist der Grundsatz der Datenminimierung, also dass nicht unnötig viele Daten erhoben und gespeichert und verarbeitet werden sollen, sondern nur diese, die zu dem verfolgten Zweck auch erforderlich sind. Weiterer Grundsatz ist die Richtigkeit von Daten, auf die zu achten ist und die Speicherbegrenzung, also dass Daten auch in einer

zeitlichen Komponente nicht unbegrenzt gespeichert werden, sondern nur so lange, wie sie für die Zwecke benötigt werden. Der letzte Punkt, der in Artikel 5 Absatz 1 aufgeführt wird, ist die Integrität und Vertraulichkeit der Datenverarbeitung. Auf all diese Aspekte bezieht sich dann Absatz 2 von Artikel 5,

wo es heißt, der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können, in Klammern Rechenschaftspflicht. Die Einhaltung dieser Grundsätze, dass die nachgewiesen werden können muss, das führt zu einer Beweislastumkehr,

also dass der Verantwortliche das in jedem Fall immer nachweisen muss, dass diese Sachen eingehalten wurden und das führt zur faktischen Notwendigkeit einer umfassenden Dokumentierung von Datenverarbeitung. Also schon hier aus ergibt sich das Verantwortliche, wenn sie personenbezogene Daten verarbeiten, diese Vorgänge

umfassend protokollieren sollen. Daneben gibt es jetzt noch konkrete Dokumentationspflichten und zwar einerseits Verarbeitungsverzeichnisse. Das ergibt sich aus Artikel 30 Absatz 1 DSGVO, da heißt es, jeder Verantwortliche und gegebenenfalls ein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten,

die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben und dann folgt ein Katalog mit Angaben, die in dem Verzeichnis auftauchen müssen. Das zum einen zu nennen Name und Kontaktdaten von Verantwortlichen, Vertretern des Verantwortlichen und auch den Datenschutzbeauftragten. Darüber hinaus die Zwecke der Datenverarbeitung,

die Kategorien betroffener Personen und Daten sowie der Empfänger. Außerdem mögliche Datentransfer in Drittländer, Löschfristen für die Daten sowie technische und organisatorische Maßnahmen für die Datensicherheit. Die können wir gleich noch zu sprechen. Dadurch erfüllt dieses Verarbeitungsverzeichnis zwei

Funktionen. Einerseits hat es eine Kontrollfunktion, es ermöglicht die nachträgliche Kontrolle der Rechtmäßigkeit von Datenverarbeitung und darüber hinaus hat es aber auch eine Warnfunktion, denn der Verantwortliche muss sich durch diese Pflicht vor der Datenverarbeitung ein Verzeichnis anzulegen, diese Anforderung der Datenverarbeitung erst einmal

bewusst machen und sie auch Gedanken darüber machen, welche zum Beispiel technischen und organisatorischen Maßnahmen für die Datensicherheit er treffen könnte und sollte. Auftragsverarbeiter haben eine ähnliche Pflicht zur Führung eines solchen Verarbeitungsverzeichnisses. Diese ergibt sich dann aus Artikel 30, Absatz 2 der DSGVO.

Für die Pflicht zum Führen von Verarbeitungsverzeichnissen gibt es eine Ausnahme und die ergibt sich aus Artikel 30, Absatz 5 DSGVO. Da heißt es, die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter

beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen. Die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt in der Verarbeitung besonderer Datenkategorien gemäß Artikel 9, Absatz 1 beziehungsweise die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilung und Straftaten im Sinne

des Artikel 10. Also unter 250 Mitarbeitern muss man ein solches Verzeichnis nicht führen. Das würde denn auch kleinere Behörden erfassen im Verwaltungsdatenschutzrecht. Jedoch sind die Ausnahmen, die in Artikel 30, Absatz 5 DSGVO genannt sind, bei Behörden oft einschlägig, sodass in auch bei kleineren Behörden

ein solches Verzeichnis zu führen wäre, namentlich nochmal aufgelistet. Die Datenverarbeitungen sind nicht nur gelegentlich. Die Datenverarbeitungen wären risikobehaftet für die Rechte und Freiheiten der betroffenen Personen oder es erfolgt eine Verarbeitung von personenbezogenen Daten der besonderen Kategorien aus Artikel 9 und 10 DSGVO, die wir

auch schon kennengelernt haben. Im Endeffekt kann also eine solche Pflicht zur Führung von einem Verarbeitungsverzeichnis bei kleineren Behörden durchaus ausgeschlossen sein. Die Ausnahmen aus Artikel 30, Absatz 5 DSGVO dürften in der Praxis jedoch regelmäßig einschlägig sein, sodass auch kleinere

Behörden ein solches Verzeichnis führen müssten. Und dann kommen wir noch zu einer weiteren Dokumentationspflicht, nämlich der Verletzungsprotokollierung nach Artikel 33, Absatz 5 DSGVO. Diese Norm Artikel 33 DSGVO, die hatten wir uns schon in der letzten Vorlesungseinheit eingeguckt.

Da heißt es in Absatz 1, im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde. Es geht hier also um eine Informationspflicht im Fall eines Datenschutzverstoßes. Das hatten wir schon in der letzten Einheit zu den Rechtsfolgen von Datenschutzverstößen

behandelt. Und hier gibt es jetzt noch eine Sonderregel in Artikel 33, Absatz 5 DSGVO, welcher die Dokumentation betrifft. Da heißt es, der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, ihre Auswirkungen und ergriffene Abhilfemaßnahmen.

Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmung dieses Artikels ermöglichen. Also wir haben hier in dieser Norm die Informationspflichten im Fall eines Datenschutzverstoßes regelt. Zusätzlich eine Dokumentationspflicht, wo Verletzungen des Datenschutzes protokolliert werden müssen.

Und diese Verletzungen müssen protokolliert werden, unabhängig davon, ob im Endeffekt tatsächlich die Aufsichtsbehörde oder die betroffene Person informiert werden muss. Der Datenschutzverstoß muss in jedem Fall dokumentiert werden nach Artikel 33, Absatz 5 DSGVO.

Als nächste organisatorische Anforderung des Datenschutzrechts haben wir Anforderungen an die Datensicherheit. Die ergeben sich in der DSGVO zum Beispiel als Artikel 32. Da heißt es in Absatz 1 unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art des Umfangs der Umstände und der Zwecke der Verarbeitung

sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Recht und Freiheit natürlicher Treffen der verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um einem dem Risiko angemessenes Schutzniveau zu gewährleisten. Verantwortliche und Auftragsverarbeiter müssen also

Maßnahmen für eine sichere Datenverarbeitung treffen. Die Norm ist dabei technologieneutral formuliert. Das Generalklausel. Sie schreibt keine spezifischen technischen Maßnahmen vor, denn was notwendig ist, um Daten zu sichern oder eine Datenverarbeitung sicher zu gestalten. Das kann sich ja jederzeit

ändern, je nach Stand der Technik. Deswegen ist diese Norm hier technologieneutral formuliert. Außerdem muss ein angemessenes Schutzniveau erreicht werden, im Gegensatz zu einem höchstmöglichen Schutzniveau, was nicht gefordert wird. Das heißt, der Verantwortliche muss eine Abwägung treffen,

welche Maßnahmen notwendig sind, um ein angemessenes Schutzniveau zu erreichen. Er muss nicht alles tun, um die Verarbeitung möglichst sicher, so sicher, wie es nur irgendwie möglich ist, zu gestalten, sondern es muss angemessen sein, und zwar in dem die folgenden Faktoren berücksichtigt werden. Einerseits drohen Nachteile für

die Betroffenen, dann die Wahrscheinlichkeit der Nachteile, den Stand der Technik, also was ist überhaupt möglich, zu welchen Kosten, denn der nächste Punkt genau das die Implementierungskosten und insgesamt die Umstände der Datenverarbeitung im Einzelfall. Artikel 32 führt in Absatz 1,

Halbsatz 2, noch mögliche Beispiele für solche Sicherheitsmaßnahmen an. Da heißt es, diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein. Also dieser Katalog ist weder zwingend durch das Wort gegebenenfalls gekennzeichnet, noch abschließend durch die Formulierung unter anderem

gekennzeichnet. Es sind lediglich Beispiele, die eine sichere Datenverarbeitung gewährleisten können. In der Buchstabe A die Pseudonymisierung oder Verschlüsselung personenbezogener Daten, unter B die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer

sicherzustellen, unter C die Fähigkeit, die Verfügbarkeit der personenbezogener Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen und unter D ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Wie gesagt, diese Maßnahmen sind nicht alle zwingend, aber sie können dem Verantwortlichen als Richtschnur helfen, zu sehen, welche Maßnahmen notwendig sind, um ein angemessenes Sicherheitsniveau herzustellen. Eine weitere organisatorische Anforderung, die Verantwortliche zu beachten

haben, ist die sogenannte Datenschutz-Folgeabschätzung. Diesen Artikel 35 DSGVO geregelt. Da heißt es in Absatz 1, hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien aufgrund der Art des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheit natürlicher Personen

zur Folge. So führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Wir haben hier also ein Instrument, der Selbstkontrolle. Der Verantwortliche soll, bevor er personenbezogene Daten verarbeitet, in einem strukturierten Verfahren erst mal

ermitteln, welche Risiken durch diese Datenverarbeitung entstehen könnten. Und dadurch soll er sich der Risiken bewusst werden. Voraussetzung hierfür ist dann ein voraussichtlich hohes Risiko durch die Verarbeitung. Das muss der Verantwortliche einschätzen. Das ergibt sich an den Umständen des Einzelfalls,

ob durch eine Verarbeitung ein voraussichtlich hohes Risiko entstehen könnte. Es sind aber auch Beispielfälle in der Norm genannt unter Artikel 35 Absatz 3 DSGVO und da zum Beispiel die systematische Überwachung öffentlich zugänglicher Bereiche, also eine Konstellation, die wir auch schon in einem Beispielsfall in dieser

Vorlesungsreihe hatten. In dem Fall müsste dann eine Datenschutzfolge Abschätzung vorher durchgeführt werden. Was hat eine solche Datenschutzfolge Abschätzung zum Inhalt? Das ergibt sich aus Artikel 35 Absatz 7 der DSGVO. Erst einmal muss systematisch beschrieben werden die geplante Datenverarbeitung als der Vorgang der Datenverarbeitung

sowie der Zweck dieser Datenverarbeitung. Dann muss die Notwendigkeit und die Verhältnismäßigkeit der Datenverarbeitung bewertet werden. Die Risiken müssen bewertet werden und es muss ermittelt werden oder es muss protokolliert werden, welche Abhilfemaßnahmen

zur Bewältigung der identifizierten Risiken getroffen werden. Zum Beispiel Garantien, Sicherheitsvorkehrungen und Verfahren, um diese Risiken abzuschwächen oder auszuschließen. Wie geht es dann weiter, wenn eine solche Datenschutzfolge Abschätzung durchgeführt wurde? Das ergibt sich aus Artikel 36 DSGVO.

Da heißt es in Absatz 1, der Verantwortliche konsultiert vor der Verarbeitung die Aufsichtsbehörde, wenn aus einer Datenschutzfolge Abschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft. Also wenn der Verantwortliche diese Datenschutzfolge Abschätzung durchführt und zum Ergebnis kommt,

dass kein hohes Risiko besteht oder zwar ein hohes Risiko besteht, aber er dieses Risiko eindämmen konnte durch Abhilfemaßnahmen, dann kann er die Datenverarbeitung so durchführen. Falls weiterhin ein hohes Risiko besteht, dann muss er zunächst die Aufsichtsbehörde konsultieren. Und was die Aufsichtsbehörde dann macht, ergibt sich aus Artikel 36 Absatz 2.

Falls die Aufsichtsbehörde der Auffassung ist, dass die geplante Verarbeitung gemäß Absatz 1 nicht im Einklang mit dieser Verordnungsstunde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat, unterbreitet sie dem Verantwortlichen entsprechende schriftliche Empfehlungen und kann ihren Artikel 58 genannten

Befugnisse ausüben. Also die Aufsichtsbehörde muss den Verarbeitungsvorgang erst einmal bewerten und dann geht gegebenenfalls konkrete Hinweiserteilen, wie die Verarbeitung rechtskonform ausgestaltet werden kann. Die Aufsichtsbehörde wirkt hier als unterstützend und soll probieren, den Verantwortlichen dabei zu unterstützen,

rechtskonform zu handeln. Darüber hinaus kann sie aber auch ihre allgemeinen Befugnisse, zu der wir noch später kommen, ausüben. In Artikel 58 DSGVO zum Beispiel auch ein Verbot der Verarbeitung nach Absatz 2 Bustabe F in Artikel 58, wenn sie zu dem Ergebnis kommt, dass diese Datenverarbeitung

nicht rechtskonform durchgeführt werden kann. So insgesamt kann durch diese Datenschutzfolgeabschätzung schon bevor die Verarbeitung stattfindet präventiv geschaut werden, ob das rechtskonform und ohne große Risiken und Nachteile für die Rechte und Freiheiten

betroffener Personen durchgeführt werden kann und nicht, dass dieser Datenschutz rein restriktiv im Nachhinein wirkt, sondern wie gesagt schon präventiv vor der Verarbeitung. Als letzte organisatorische Anforderung haben wir jetzt noch die Benennung eines Datenschutzbeauftragten. Das ergibt sich aus Artikel 37 folgende

der DSGVO. In Artikel 37 Absatz 1 heißt es da zunächst, der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn a. die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln. Also Behörden,

wenn sie personenbezogene Daten verarbeiten wollen, müssen einen Datenschutz Beauftragten benennen. Nicht öffentliche Verantwortliche, also vor allem private Unternehmen müssen gegebenenfalls auch einen Datenschutz Beauftragten benennen, jedoch nicht zwingend in jedem Fall. Behörden dagegen müssen immer einen Datenschutz

Beauftragten haben, wenn sie personenbezogene Daten verarbeiten. Dieser Datenschutz Beauftragter dient dann als Instrument der Selbstkontrolle und soll die externen Datenschutzbehörden entlasten. Also der Datenschutz Beauftragte ist bei dem Verantwortlichen selbst angesiedelt, ist zum Beispiel ein Mitarbeiter und ist beim Verantwortlichen selbst

dann für den Datenschutz zuständig, sodass man immer eine Person hat, deren Aufgabe es ist, auf die Belange des Datenschutzes zu achten, Rücksicht zu nehmen und sie auch zur Geltung zu bringen. Dieser Datenschutz Beauftragter muss dann eine natürliche Person sein.

Er muss geeignet sein zur Füllung seiner Aufgaben, die in Artikel 39 DSGVO beschrieben sind. Und er kann sowohl ein Beschäftigter des Verantwortlichen sein als auch ein externer Dienstleister. Also es kann durchaus ein eigener Angestellter sein, der dann zum Teil oder vollständig diese Funktion

des Datenschutzbeauftragten übernimmt und sich dann für die Belange des Datenschutzrechts beim Verantwortlichen einsetzt. Er hat dann vor allem die Funktion, ein einheitlicher Ansprechpartner zu sein, einerseits für die Bediensteten des Verantwortlichen, für die Aufsichtsbehörde, die dann auch über den

Datenschutzbeauftragten mit dem Verantwortlichen kommunizieren kann oder aber auch für betroffene Personen, die sich an den Datenschutzbeauftragten eines Verantwortlichen wenden können. Die Aufgaben des Datenschutzbeauftragten ergeben sich aus einem Aufgabenkatalog in Artikel 39 Absatz 1 DSGVO, da es zunächst einmal genannt

die Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und auch von anderen Mitarbeitern hinsichtlich datenschutzrechtlicher Vorschriften. Also der Datenschutzbeauftragte ist die zuständige Person dafür, andere Mitarbeiter über den Datenschutzrechts zu briefen. Die zweite Punkt ist die Hauptaufgabe des Datenschutzbeauftragten

nämlich er soll überwachen, dass beim Verantwortlichen datenschutzrechtliche Vorschriften auch tatsächlich eingehalten werden. Dafür muss der datenschutzrechtliche Status quo beim Verantwortlichen untersucht und bewertet werden. Also der Datenschutzbeauftragte muss schauen, wo werden hier Daten verarbeitet und passiert das rechtmäßig?

Dann müssen Schutzdefizite und Datenschutzverstöße dadurch festgestellt werden und gegebenenfalls Vorschläge und Konzepte für die Verbesserung des Datenschutzes erarbeitet werden. Außerdem hat er eine Beratungsfunktion in der Datenschutzfolgeabschätzung und er ist zuständig für die Zusammenarbeit mit der Aufsichtsbehörde,

für welche er auch als Anlaufstelle beim Verantwortlichen fungiert. Weitere Regelungen finden sich in Artikel 38 DSGVO und dort geht es um die Stellung des Datenschutzbeauftragten. Also hier um das Verhältnis zwischen dem Datenschutzbeauftragten und seinem Verantwortlichen

oder Auftragsverarbeiter, also auf die Frage, wie der Datenschutzbeauftragte arbeitsorganisatorisch in die Struktur des Verantwortlichen mit eingebunden wird, wenn es um datenschutzrechtlich relevante Fragen geht. Dabei ergibt sich erst mal aus Artikel 38 Absatz 1 DSGVO,

dass der Datenschutzbeauftragter frühzeitig in alle datenschutzrechtlich relevante Fragen eingebunden werden muss. Also wenn ein Verantwortlicher merkt, dass er personenbezogene Daten verarbeitet und dass es hier zu datenschutzrechtlich relevanten Problemen kommen könnte, dann muss er schon zu einem frühen Zeitpunkt seinen Datenschutzbeauftragten

in diese Fragen mit einbeziehen. Es wäre unzulässig, diese Datenverarbeitung erst durchzuführen und dann im Nachhinein erst den Datenschutzbeauftragten vor vollendete Tatsachen zu stellen. Weiterer Punkt ist, dass der Verantwortliche seinen Datenschutzbeauftragten mit ausreichend Ressourcen und auch dem Zugang zu personenbezogenen Daten ausstatten muss.

Sonst könnte der Datenschutzbeauftragte seine Aufgaben ja nicht erfüllen, wenn er gar nicht die Mittel hätte und gar nicht den Zugang hätte, das Datenschutz oder die Einhaltung datenschutzrechtlicher Vorschriften beim Verantwortlichen zu kontrollieren. Weiterer wichtiger Aspekt ist die Weisungsfreiheit bei der Erfüllung seiner Aufgaben. Das ist insbesondere relevant,

wenn der Datenschutzbeauftragte angestellt hat, das Verantwortlichen ist, dann ist er grundsätzlich weisungsgebunden bei der Erfüllung seiner Aufgaben als Datenschutzbeauftragte. Dagegen ist er weisungsfrei. Da hat der Verantwortliche ihm nicht reinzureden. Außerdem besteht ein Verbot der Benachteiligung wegen Erfüllung seiner Aufgaben. Auch das ist gerade dann relevant, wenn der Datenschutzbeauftragte

Angestellter des Verantwortlichen ist. Dann besteht ja die Gefahr, dass der Verantwortliche den Datenschutzbeauftragten, wenn ihm dessen Handeln nicht passt oder ihn das nicht gut findet, sanktionieren könnte und hier benachteiligen könnte. Das ist verboten,

wenn es um die Erfüllung der Aufgaben des Datenschutzbeauftragten geht. Jetzt kommen wir zu einer Pflicht des Datenschutzbeauftragten gegenüber dem Verantwortlichen beziehungsweise dem Auftragsverarbeiter. Er muss Bericht erstatten. Das ist logisch, dass wenn er zu Erkenntnissen kommt, dass er die weitergeben muss an den Verantwortlichen beziehungsweise Auftragsverarbeiter

für den er zuständig ist. Außerdem muss der Datenschutzbeauftragte als Ansprechpartner fungieren innerhalb der Organisation des Verantwortlichen auch für betroffene Personen in datenschutzrechtlichen Fragen. Und er unterliegt einer Geheimhaltungspflicht aus Artikel 38.5 DSGVO, wenn es um seine Aufgaben geht.

Der Datenschutzbeauftragte darf neben seiner Tätigkeit als Datenschutzbeauftragte, als solcher, auch andere Tätigkeiten für den Verantwortlichen durchführen. Also auch das ist relevant, wenn er Angestellter des Verantwortlichen ist, dann muss er das nicht in Vollzeit machen, sondern er kann auch mit anderen Aufgaben betraut werden.

Jedoch ist dann darauf zu achten, dass keine Interessenkonflikte entstehen zwischen der Tätigkeit als Datenschutzbeauftragter und den sonstigen Tätigkeiten. So viel erst mal zu den Regelungen bezüglich des Datenschutzbeauftragten. Und dann sind wir auch mit den organisatorischen Anforderungen des Datenschutzrechts fertig. Wir haben uns das jetzt vor allem

in der DSGVO-Sphäre angeguckt. Diese organisatorischen Anforderungen gelten aber auch vergleichbar im großen Maße in den anderen datenschutzrechtlichen Sphären. Also vor allem der Richtlinien-Sphäre und dem unionsrechtsfreien Bereich. Damit kommen wir dann zum zweiten Thema, der Rolle der Aufsichtsbehörden. Da gucken wir uns erst einmal

überblicksmäßig an, welche Aufsichtsbehörden es im Datenschutzrecht so auf europäischer und nationaler Ebene überhaupt gibt und wann dann welche Aufsichtsbehörde zuständig ist auf europäischer und nationaler Ebene. Dann schauen wir uns an, welche Vorschriften es zur Unabhängigkeit der Aufsichtsbehörden gibt, welche Aufgaben diese Behörden haben,

welche Befugnisse ihnen zustehen und dann als letzten Punkt, welche Rechtsschutzmöglichkeiten gegen Maßnahmen der Aufsichtsbehörde bestehen. Wir fangen an mit einem Überblick über die Aufsichtsbehörden auf europäischer Ebene. Das jedoch nur recht kurz, weil wir uns im Verwaltungsdatenschutzrecht eher auf die nationalen

Aufsichtsbehörden konzentrieren wollen. Hier gibt es auf europäischer Ebene zunächst einmal den europäischen Datenschutzbeauftragten, abgekürzt EDSB. Das ist eine unabhängige Aufsichtsbehörde für die Organe und Einrichtungen der Union. Also er kontrolliert den Datenschutz bei der Union selbst. Seine Aufgaben sind einerseits die Aufsicht und die Beratung

der Unionsorgane und auch die Kooperation mit anderen Datenschutzbehörden, um die Kohärenz des Datenschutzes in Europa zu verbessern. Als zweite europäische Aufsichtsbehörde haben wir den Europäischen Datenschutzausschuss, abgekürzt EDA. Der setzt sich wie folgt zusammen. Der besteht aus den Vorsitzenden der Aufsichtsbehörden

der Mitgliedstaaten. Also ist es ein Gremium, was sich aus allen Mitgliedstaaten zusammensetzt. Und zwar schickt jede Mitgliedstaat eine Person in diesen Ausschuss. Und diese Person ist dann jeweils der Vorsitzende der nationalen Aufsichtsbehörde. Und darüber hinaus sitzt auch der europäische Datenschutzbeauftragter

in diesem Europäischen Datenschutzausschuss mit drin. Die Aufgabe des EDA ist die einheitliche Anwendung des Datenschutzrechts in der Union. Hier sehen wir also diese europäischen Aufsichtsbehörde haben vor allem die Aufgabe, den Datenschutz zwischen den einzelnen Mitgliedstaatlichen Behörden zu koordinieren und eine einheitliche

Anwendung des Datenschutzrechts zu ermöglichen oder zu verbessern. Wogegen dann sehen wir gleich die eigentliche fachliche Daten die eigentliche Aufsicht über den Datenschutz durch die nationalen Behörden durchgeführt wird. Kommen wir damit dann

zu den Aufsichtsbehörden auf nationaler Ebene. Und hier haben wir Aufsichtsbehörden einerseits auf Bundesebene als auch auf Landesebene. Auf Bundesebene haben wir den sogenannten Bundesbeauftragten für den Datenschutz und die Informationsfreiheit abgekürzt BFDI und darüber hinaus auf den Landesebene dann die einzelnen Landesdatenschutzbehörden.

Wir haben also in Deutschland eine Vielzahl von Aufsichtsbehörden auf Landes- und Bundesebene. Die stimmen sich dann aber ab und zwar in einem informellen Gremium der sogenannten Datenschutzkonferenz. Dort sind dann der Bundesbeauftragte für den Datenschutz und Vertreter der Landesdatenschutzbehörden, die dann zusammenkommen und probieren eine möglichst

einheitliche Auslegung des europäischen Daten oder europäischen und auch deutschen Datenschutzrechts zu erreichen. Wegen der Souveränität der Länder kann diese Datenschutzkonferenz hier keine verbindlichen Beschlüsse fassen. Sie kann aber Papiere formulieren, die die einheitliche Rechtsanwendung des Datenschutzrechts

erleichtern sollen. Wir haben also eine Vielzahl von Datenschutzaufsichtsbehörden. Einerseits auf europäischer Ebene, da hat jeder Mitgliedstaat seine eigene Aufsichtsbehörde und wenn auch auf nationaler Ebene, da haben wir einerseits die Bundesbehörde und dann hat auch noch jedes Bundesland seine eigene Datenschutzaufsichtsbehörde.

Und das führt natürlich zur Frage, wann welche Aufsichtsbehörde für einen konkreten Sachverhalt zuständig ist. Das gucken wir uns erst an auf Mitgliedstaatlicher Ebene. Also wenn ein Sachverhalt mehrere Mitgliedstaaten berührt, wann sind dann die Aufsichtsbehörden welches Mitgliedstaat zuständig?

Das ergibt sich zunächst aus Artikel 55 DSGVO, da heißt das in Absatz 1. Jede Aufsichtsbehörde ist für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaates zuständig. Also die internationale Zuständigkeit knüpft grundsätzlich erstmal an das Hoheitsgebiet der Mitgliedstaaten an.

Und für Behörden bedeutet das, die ja grundsätzlich im Inland arbeiten, dass in Deutschland handelnde Behörden dann auch der deutschen Datenschutzaufsicht unterstehen. Ausnahmen könnten sich höchstens in seltenen Fällen ergeben, wenn zum Beispiel die Auslandsvertretung in einem anderen Mitgliedstaat tätig werden. Darüber hinaus gibt es dann noch Artikel 55 Absatz 2 DSGVO.

Da heißt es, erfolgt die Verarbeitung durch Behörden oder private Stellen auf der Grundlage von Artikel 6 Absatz 1 Buchstabe C oder E. So ist die Aufsichtsbehörde des betroffenen Mitgliedstaats zuständig. Artikel 6, das beschreibt die Rechtsgrundlagen für eine Datenverarbeitung und unter Buchstabe C,

wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist oder unter Buchstabe E, wenn die Verarbeitung für die Wahrnehmung eine Aufgabe erforderlich ist, die im öffentlichen Interesse liegt. Das sind ja Rechtsgrundlagen, die gerade für Datenverarbeitung durch Behörden besonders relevant sind und deswegen im Verwaltungsdatenschutzrecht sehr oft einschlägig sein könnten.

Dann ist auf jeden Fall die Aufsichtsbehörde des betroffenen Mitgliedstaats in unserem Fall also eine deutsche Aufsichtsbehörde zuständig. Im Ergebnis kann man deswegen zur Mitgliedstaatlichen Zuständigkeit in Bezug auf das Verwaltungsdatenschutzrecht sagen, dass deutsche Aufsichtsbehörden in aller Regel auch für datenschutzrechtlich relevantes Handeln deutscher Behörden zuständig sein werden.

Dann stellt sich noch die Frage nach der innerstaatlichen Zuständigkeit. Also wenn wir geklärt haben, dass deutsche Aufsichtsbehörden per se zuständig sind für einen Sachverhalt. Welche Aufsichtsbehörde soll es denn sein? Da kommt ja dann entweder die Bundesbehörde im Form des Bundesbeauftragten für den Datenschutz in Betracht oder eine der jeweiligen

Landesdatenschutzbehörden. Und hier folgt die Kompetenzverteilung den allgemeinen Regeln aus Artikel 83 folgende des Grundgesetzes. Danach besteht erst mal eine grundsätzliche Zuständigkeit der Länder. Also die Länder üben die Aufsicht aus, insbesondere über nicht öffentliche Stellen, also private Unternehmen, die Daten verarbeiten und auch die öffentlichen Stellen

der Länder. Der Bund ist dagegen nur zuständig für die öffentlichen Stellen des Bundes selber, also der bundeseigenen Verwaltung. Es gibt daneben noch reichspezifische Ausnahmen, zum Beispiel die Kontrolle über Telekommunikationsdatenschutz, der welche durch die Bundesnetzagentur wahrgenommen wird. Dies spielt aber für uns hier keine große Rolle.

Also es bleibt dabei, grundsätzlich sind die Länder zuständig für nicht öffentliche Stellen und auch die öffentlichen Stellen der Länder, also für Landesbehörden, wogegen der Bund zuständig ist für öffentliche Stellen des Bundes, also Bundesbehörden. Das ergibt sich auch jetzt einfach gesetzlich aus Paragraph 9 BDSG. Da heißt es in Absatz 1, Satz 1,

die oder der Bundesbeauftragte ist zuständig für die Aufsicht über alle öffentlichen Stellen des Bundes, auch soweit sie als öffentlich-rechtliche Unternehmen an Wettbewerb teilnehmen. Und dann stellt sich in der Zuständigkeit abschließend auch die Frage nach der Vertretung in internationalen Angelegenheiten. Ist ja so, dass im Europäischen Datenausschuss

jeder Mitgliedstaat, ein Vertreter seiner Aufsichtsbehörde in diesen Ausschuss entsendet und dort dann auf europäischer Ebene auch Entscheidungen getroffen werden. Und da wir ja mehrere Aufsichtsbehörden in Deutschland haben, stellt sich die Frage, welche Aufsichtsbehörde Deutschland auf der europäischen Bühne nach außen hin vertritt. Da gucken wir uns zunächst das Außenverhältnis an,

also wirklich die Frage, wer denn Deutschland vertritt. Und das macht der Bundesbeauftragte, der vertritt Deutschland im Europäischen Datenausschuss und ist auch die zentrale Anlaufstelle für die Kommunikation mit dem Ausschuss und den Aufsichtsbehörden anderer Mitgliedstaaten. Darüber hinaus will der Bundesrat dann noch einen Stellvertreter und das ist dann der Leiter einer Landesbehörde.

Dann gucken wir uns noch das Innenverhältnis an. Also wie innerhalb Deutschland dann Entscheidungen getroffen werden und Positionen vertreten werden, die der BfDI dann nach außen auf europäischer Ebene vertritt. Erst einmal probiert dann der Bundesbeauftragte und die Landesbehörden einen größtmöglichen Konsens anzustreben, dass man also eine

einheitliche Position findet, mit der alle leben können. Und wenn das nicht möglich ist, also wenn dieser Konsens nicht erreicht werden kann, auf nationaler Ebene zwischen den Landesbehörden und dem Bundesbeauftragten, dann wird mit einfacher Stimme-Mehrheit beschlossen und dabei haben dann der Bundesbeauftragte und jede Landesbehörde jeweils eine Stimme. So schafft man es dann

eine gemeinsame Position zu finden, die der Bundesbeauftragte dann nach außen hin, also auf europäischer Ebene für Deutschland vertreten kann. Eine wichtige Eigenschaft der datenschutzrechtlichen Aufsichtsbehörden ist ihre Unabhängigkeit. Die ergibt sich in der DSGVO-Sphäre aus Artikel 52 Absatz 1, jede Aufsichtsbehörde handelt bei der Erfüllung

ihrer Aufgaben und bei der Ausübung ihrer Befugnisse gemäß dieser Verordnung völlig unabhängig. Das Ziel ist es, hier eine Regierungsferne der Datenschutzaufsicht sicherzustellen, also vor allem, dass die Gefahr von politischer Einflussnahme minimiert wird und dass die Mitglieder der Aufsichtsbehörden frei von Weisungen und Druck handeln können. Diese Unabhängigkeit

ist auch primärrechtlich vorgeschrieben in Artikel 16 Absatz 2 IOV und in unserem Datenschutzgrundrecht auf europäischer Ebene Artikel 8 Absatz 3 der Grundrechtecharta. Auf sekundärrechtlicher Ebene wird die Unabhängigkeit dann noch präzisiert durch DSGVO und J.I. Richtlinie. Einerseits wird da eine Weisungs-

und Beeinflussungsfreiheit der Datenschutzaufsichtsbehörden vorgeschrieben. Also sie unterliegen keiner Fach- und Rechtsaufsicht, die dann Anweisung erteilen kann, wie eine solche Aufsichtsbehörde handeln soll. Dann dürfen die Mitglieder der Aufsichtsbehörde keinen nur mit ihrem Amt

unvereinbare Tätigkeit wahrnehmen und die Aufsichtsbehörden müssen mit den notwendigen personellen, sachlichen, technischen und finanziellen Ressourcen ausgestattet werden, um auch unabhängig ihre Aufgaben erfüllen zu können. Hier sind jetzt die Normen der DSGVO aufgelistet, aus denen sich das ergibt. Die Parallelvorschriften in der Richtlinien-Sphäre

sind dann in Artikel 42 vor allem und die dort jeweils parallelen Absätze. Als nächstes kommen wir dann zu den Aufgaben der Datenschutzbehörden. Hier findet sich ein nicht abschließender Katalog von Aufgaben in Artikel 57 Absatz 1 DSGVO, der sehr groß ist.

Da findet sich zum Beispiel folgende Aufgabenbeschreibung. Einerseits die Aufsichtstätigkeit als solche, also dass sie die Anwendung des Datenschutzrechts in ihrer Zuständigkeit überwachen und durchsetzen. Dann informationelle Aufgaben, also dass sie zum Beispiel an Betroffene verantwortlich oder die Öffentlichkeit relevante Hinweise geben und auch Tätigkeitsberichte

verfassen. Dann haben die Aufsichtsbehörden beratende Aufgaben inne, also dass sie vor allem staatliche Einrichtungen in Fragen des Datenschutzrechts beraten. Sie haben Aufgaben im Bereich von Untersuchungen und Beobachtungen. Sie müssen also zum Beispiel auch die Entwicklung der Informations- und Kommunikationstechnologie mitverfolgen, wie sich das technisch verändert und wie das datenschutzrechtlich

einzuordnen ist. Dann dienen sie als Beschwerdestelle für betroffene Personen, Organisationen und Verbände. Und sie haben aber auch jede sonstige Aufgabe im Zusammenhang mit dem Schutz personenbezogener Daten inne. Das ergibt sich aus Artikel 57 Absatz 1 Buchstabe V der DSGVO und zeigt noch mal, dass dieser Katalog an Aufgaben

in Artikel 57 Absatz 1 DSGVO nicht abschließend ist, sondern sich auf, sondern dass sich der Aufgabenbereich auf jegliche Frage, auf jegliche Aufgabe im Zusammenhang mit dem Schutz personenbezogener Daten erstreckt. Darüber hinaus ist noch geregelt, dass die Erfüllung der Aufgaben

für die beteiligten Personen grundsätzlich unentgeltlich erfolgen muss, also dass die Behörden da nichts in Rechnung stellen. Es gibt dann Ausnahmen, wenn zum Beispiel Anfragen missbräuchlich sind oder zum Beispiel offensichtlich unbegründet oder exzessiv häufig gestellt werden. Das ergibt sich aus Artikel 57 Absatz 3 und Absatz 4 DSGVO.

Der Grundsatz bleibt aber die Aufsichtsbehörden handeln für die beteiligten Personen unentgeltlich und nebenumfassend dort ihre Aufgaben wahr. Dann schauen wir uns noch die Befugnisse der Datenschutzbehörden an, also was diese Behörden machen dürfen, um ihren Aufgaben nachzukommen. Und das ist in der DSGVO-Sphäre

geregelt in Artikel 58 DSGVO die Parallelvorschrift in der Richtlinien-Sphäre ist Artikel 47 der J.I.-Richtlinie. Erst einmal stehen die Behörden dabei Untersuchungsbefugnisse zu. Das heißt, sie können vom Verantwortlichen Informationen anfordern und sie können auch verlangen, dass ihnen Zugang gewährt wird. Einerseits zur Information

und aber auch den Räumlichkeiten des Verantwortlichen, insbesondere zu Datenverarbeitungsanlagen, sodass die Aufsichtsbehörden auch hier erst einmal herausfinden können, wie ein Vorgang datenschutzrechtlich zu bewerten ist. Diese Untersuchungen erfolgen dann in Form von Datenschutzüberprüfung und zusätzlich haben die Datenschutzbehörden

hier auch noch die Möglichkeit, Hinweise an den Verantwortlichen zu erteilen, also ihn auf einen möglichen Verstoß gegen das Datenschutzrecht hinzuweisen, sodass er dann selber, also der Verantwortliche selber, Abhilfe leisten kann oder Abhilfe schaffen kann. Die Datenschutzbehörden haben aber auch eigene Abhilfebefugnisse.

Also können sie selber gegen Datenschutzrechtsverstöße vorgehen. Einerseits können sie Warnung und Verwarnung gegenüber dem Verantwortlichen aussprechen. Aber sie können dann auch den Verantwortlichen gegenüber Anweisungen erteilen, zum Beispiel den betroffenen Rechten nachzukommen oder aber auch eine Datenverarbeitung komplett zu beenden oder einzuschränken.

Denn sie können eine solche Datenverarbeitung verbieten oder beschränken. Darüber hinaus, was in der privatrechtlichen Zähre sehr relevant ist, können die Datenschutzbehörden die Bußgelder verhängen, die in der DSGVO enorme Summen erreichen können. Jedoch, das hatten wir uns schon angeguckt in der vorherigen Stunde, ist diese Möglichkeit gegenüber Behörden

stark eingeschränkt. Denn Artikel 83 DSGVO sieht ja vor, dass die Mitgliedstaaten die Möglichkeit der Verhängung von Geldbußen gegenüber öffentlichen Stellen einschränken können. Und davon haben die Mitgliedstaaten auch Deutschland fleißig Gebrauch gemacht, weswegen die Verhängung von Bußgeldern gegenüber Behörden in Deutschland praktisch ausgeschlossen ist.

Weitere Befugnisse der Datenschutzbehörden sind dann Genehmigungs- und Beratungsbefugnisse. Wir hatten uns das zum Beispiel angeguckt bei der Datenschutz-Folgeabschätzung in Artikel 35 und Artikel 36 DSGVO. Wenn eine Datenschutz-Folgeabschätzung zu dem Ergebnis kommt, dass ein hohes Risiko für die Rechte und Freiheit natürlicher Personen besteht,

dann muss zunächst die Datenschutzbehörde, die zuständige Aufsichtsbehörde konsultiert werden. Und die muss dann diese vorherige Konsultation durchführen. Das ergibt sich aus Artikel 36 DSGVO. Auch das ist ein Befugnis dieser Aufsichtsbehörden.

Diese Befugnisse nach Artikel 58 sind aber nicht abschließend. Es können auch noch Befugnisse nach nationalem Recht dazu kommen, denn es gibt eine Öffnungsklausel in Artikel 58 Absatz 6. Da heißt es, jeder Mitgliedstaat kann durch Rechtsvorschriften vorsehen, dass eine Aufsichtsbehörde neben den in den Absätzen 1, 2 und 3 aufgeführten Befugnissen über zusätzliche Befugnisse verfügt.

Die Ausübung dieser Befugnisse darf nicht die effektive Durchführung des Kapitel 7 beeinträchtigen. Also wir haben ja eine optionale Öffnungsklausel. Die müssen die Mitgliedstaat nicht wahrnehmen. Sie können das aber machen, wenn sie wollen, um ihren Aufsichtsbehörden weitergehende Befugnisse zu schaffen. Wir haben jetzt zum Beispiel Paragraph 16 BDSG für den Bundesbeauftragten

für Datenschutz. Da heißt es in Absatz 4, die öffentlichen Stellen des Bundes sind verpflichtet, der oder dem Bundesbeauftragten und ihren oder seinen Beauftragten erstens jederzeit Zugang zu den Grundstücken und Diensträumen, einschließlich aller Daten, Verarbeitungsanlagen und Geräte sowie zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer

oder seiner Aufgaben notwendig sind zu bewähren und zweitens alle Informationen, die für die Erfüllung ihrer oder seiner Aufgaben erforderlich sind, bereitzustellen. Also hier hat auch der nationale Gesetzgeber noch weitergehende Befugnisse für den Bundesbeauftragten geschaffen, hier vor allem öffentliche Stellen jederzeit kontrollieren zu können.

Ein wichtiger Aspekt bei den Befugnissen der Datenschutzbehörden ist die Frage der Durchsetzbarkeit. Also die Aufsichtsbehörden können zwar bestimmte Sachen anordnen, wie zum Beispiel das Verbot einer Datenverarbeitung. Aber was machen sie denn, wenn sich der Verantwortliche einfach nicht daran hält, also diese Anordnung der Aufsichtsbehörde ignoriert?

Hierfür haben wir einen kleinen realen Beispielsfall und der spielt in Niedersachsen und zwar im Jahr 2020. Der lautet wie folgt Mit Erlass vom 31. März 2020 wurden die Gesundheitsämter durch das Gesundheitsministerium angewiesen. Die Anschriften der unter häuslicher Quarantäne stehenden Personen nach einem positiven Test

auf Corona an die Polizei zu übermitteln. Die Landesbeauftragte für Datenschutz Niedersachsen hatte das Gesundheitsministerium nach Bekanntwerden am 3. April aufgefordert, den Erlass zurückzunehmen, da es insbesondere keine Rechtsgrundlage für die pauschale Übermittlung dieser sensitiven Gesundheitsdaten gibt. Statt dieser Aufforderung zu folgen, gab

das Ministerium kurz darauf einen weiteren bestätigenden Erlass an die Gesundheitsämter heraus. Also wir haben hier genau eine solche kritische Situation. Die Landesbeauftragte für den Datenschutz in Niedersachsen hat eine behördliche Datenverarbeitung untersagt, nämlich die Kontaktpersonen von unter häuslicher Quarantäne

stehenden Personen an die Polizei zu übermitteln und das zuständige Ministerium. Das Gesundheitsministerium hat dieser Aufforderung nicht Folge geleistet, sondern stattdessen einen weiteren bestätigenden Erlass an die Gesundheitsämter herausgegeben, dass sie diese Datenverarbeitung weiter durchführen sollen.

Wie geht jetzt die Datenschutzbehörde dagegen vor? Was kann man jetzt machen? Gucken wir uns das Ganze mal an. Wir haben hier eine verwaltungsrechtliche Maßnahmen einer Datenschutzbehörde. Die Landesbeauftragte für Niedersachsen hat hier dem Gesundheitsministerium und den Gesundheitsämtern verboten, personenbezogene Daten

an die Polizei weiterzugeben. Das darf sie. Das ergibt sich aus Artikel 58, Absatz 2, Buchstabe F der DSGVO. Da heißt es, jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten, eine vorübergehende oder endgültige Beschränkung der Verarbeitung einschließlich eines Verbots zu verhängen. Und das ist hier geschehen.

Es wurde verboten, diese Gesundheitsdaten an die Polizei weiterzugeben. Aber diese Behörden haben sich nicht daran gehalten. Im Gegenteil, sie haben sich dieser Anordnung widersetzt. Und jetzt stellt sich die Frage, wie kann man denn gegenüber einer Behörde eine solche verwaltungsrechtliche Maßnahme durchsetzen? Und die Antwort ist,

kann man grundsätzlich erst mal gar nicht. Der Gesetzgeber sagt, so was braucht man nicht, denn wir haben ja Artikel 20, Absatz 3 des Grundgesetzes. Die Gesetzgebung ist an die verfassungsmäßige Ordnung. Die vollziehende Gewalt und die Rechtsprechung sind an Gesetz und Recht gebunden. Man geht also davon aus, dass Behörden als Teil des Staates,

als vollziehende Gewalt sich sowieso rechtmäßig verhalten würden. Und wenn eine rechtmäßige Anordnung von einer Datenschutzbehörde ergeht, dann wird eine Behörde dieser auch nachkommen. Und deswegen braucht man keine extra Durchsetzungsmaßnahme gegenüber einer Behörde.

Dazu hatten die Landesbeauftragte für den Datenschutz in Niedersachsen, das ist Frau Barbara Thiel, gesagt. Abschließend stellte die Landesbeauftragte für Datenschutz in Niedersachsen klar, dass ihre Anordnungen gegenüber Behörden oder Ministerien zwar möglich sind, diese allerdings nicht vollstreckt werden können, weil der Landesgesetzgeber bewusst darauf verzichtet hat, ihr weitreichend und damit

zugleich auch wirksame Befugnisse gegenüber öffentlichen Stellen zuzugestehen. Also wir haben ja eine Situation, in der sie zwar Anordnungen treffen kann. Das Gesundheitsministerium hat dieser Anordnung aber nicht Folge geleistet und zu einer Vollstreckung kommt es erst mal nicht. Das ist auch kein Versehen,

sondern vom Gesetzgeber bewusst so gewollt. Das ergibt sich zum Beispiel jetzt hier in Bezug auf Niedersachsen aus dem Gesetzesentwurf der Landesregierung zur Neuordnung des NDSG aus dem Jahr 2018. Da heißt es, dass die von der oder dem Landesbeauftragten geleitete Behörde zur Durchsetzung der Befugnisse nach Artikel 58 DSGVO

gegenüber juristischen Personen des öffentlichen Rechts und Behörden keine Zwangsmaßnahmen ausüben darf, ergibt sich bereits aus den allgemeinen verwaltungsvollstreckungsrechtlichen Vorschriften. Hier wird verwiesen auf das allgemeine Verwaltungsvollstreckungsrecht, das sieht grundsätzlich keine Vollstreckung gegenüber Hoheitsträgern vor. Das ergibt sich in Niedersachsen

aus Paragraph 70 NVW-VG in Verbindung mit den 64 Folgen des NPOG und dort insbesondere aus einem e contrario Schluss aus Paragraph 64 Absatz 2 Satz 3 des NPOG, dass eine Vollstreckung gegenüber Hoheitsträgern nicht statthaft sein soll. Weiter heißt es

in der Gesetzesbegründung, die Forderung der Landesbeauftragten für den Datenschutz nach einer Vollstreckungsbefugnis gegen öffentliche Stellen ist ebenfalls nicht zu entsprechen. Zunächst ist daran zu erinnern, dass alle öffentlichen Stellen an Recht und Gesetz gebunden sind. Hier wird also auch wieder auf Artikel 20 Absatz 3 des Grundgesetzes abgestellt.

Und hieraus kann die berechtigte Erwartung abgeleitet werden, dass Entscheidungen der oder des Landesbeauftragten für den Datenschutz spätestens, wenn diese gerichtlich bestätigt wurden, von der Betroffenen Stellen akzeptiert, jedenfalls aber umgesetzt werden. Also die Argumentation, die wir schon auf der vorherigen Folie gesehen haben, öffentliche Stellen

werden sich an Recht und Gesetz halten. Und deswegen besteht eine berechtigte Erwartung, dass auch die Entscheidung des oder der Landesbeauftragten für den Datenschutzrecht Folge geleistet werden. Als weitere Maßnahme kommen deswegen nur eine verwaltungsgerichtliche Maßnahme in Betracht, also dass die Aufsichtsbehörden

dann vor den Verwaltungsgerichten klagen, dass ihre Anordnung rechtmäßig sind und Folge geleistet werden müssen. Aus Artikel 58 Absatz 5 ergibt sich dabei, dass die Datenschutzbehörden selbst klagebefugt sind. Jeder Mitgliedstaat sieht durch Rechtsvorschriften vor, dass eine Aufsichtsbehörde befugt ist, Verstöße

gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahren zu betreiben oder sich sonst daran zu beteiligen, um die Bestimmungen dieser Verordnung durchzusetzen. Also auch hier können Sie dann die Landesbeauftragte für Datenschutz, Frau Barberat, hier Klage erheben und diese Anordnung

gerichtlich durchsetzen. Und die verwaltungsgerichtliche Vollstreckung, die ergibt sich in das Paragraph 172 VWGO, kommt die Behörde in den Fällen des Paragraphen 113 Absatz 1 Satz 2 Absatz 5 und 123, der ihr im Urteil oder in der einsweiligen Anordnung auferlegten Verpflichtung nicht nach. So kann das Gericht

gegen Sie ein Zwangsgeld bis 10.000 Euro durch Beschluss androhen, nach fruchtlosem Fristablauf festsetzen und vom Amtswegen vollstrecken. Das Zwangsgeld kann wiederholt angedroht festgesetzt und vollstreckt werden. Also hier besteht dann eine Möglichkeit, über ein Zwangsgeld zu erreichen, dass datenschutzrechtlich

das Anordnungen von Datenschutzaufsichtsbehörden durchgesetzt werden. Als letzten Aspekt haben wir dann noch den Rechtsschutz gegen die Aufsichtsbehörden, also die Frage, was kann eine öffentliche Stelle oder eine Behörde tun, wenn sie eine Anordnung erhalten hat von der Aufsichtsbehörde, aber mit dieser Anordnung

nicht einverstanden ist, diese Anordnung für rechtswidrig hält und sich dagegen wehren möchte. Das ergibt sich aus Artikel 78 Absatz 1 der DSGVO. Da heißt es, Jede natürliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehälfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf

gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde. Also jeder kann sich gerichtlich wehren oder muss sich europarechtlich vorgeschrieben gerichtlich wehren können müssen gegen Maßnahmen der Aufsichtsbehörde. Und das gilt auch für Behörden. Also auch Behörden können vorgerichten

sich wehren gegen Maßnahmen der Aufsichtsbehörde. Das Ganze ist dann konkretisiert im BDSG. Einerseits haben wir hier das Klagerecht einer Behörde gegen eine andere Behörde, möglicherweise des selben Rechtsträgers, was zu Interorgan Streiten führen kann. Die sind hier aber qua Unionsrecht zulässig.

Aus Paragraph 20 Absatz 1 des BDSG ergibt sich, dass der Verwaltungsrechtsweg eröffnet ist. Die örtliche Zuständigkeit richtet sich hier nach dem Sitz der Aufsichtsbehörde. Und die Aufsichtsbehörde ist beteiligungsfähig. Wir haben hier also das Behördenprinzip. Das ergibt sich aus Paragraph 20 Absatz 4 BDSG. Und dann kann vom Verwaltungsgericht

entschieden werden, ob ja, diese Anordnung der Aufsichtsbehörde rechtmäßig war und Bestand halten kann. Damit sind wir dann am Ende der Vorlesungseinheit angekommen. Ich bedanke mich recht herzlich für Ihre Aufmerksamkeit und bis zum nächsten Mal.