Jansen, SGB X § 81 Recht auf Anrufung, Beauftragte für d ... / 2.2.2 Befugnisse der oder des Bundesbeauftragten nach Art. 58 DSGVO i. V. m. § 16 BDSG

Rz. 13

Die Befugnisse der oder des Bundesbeauftragten ergeben sich zunächst unmittelbar aus Art. 58 DSGVO, auf den auch § 16 Abs. 1 Satz 1 BDSG verweist. Die Aufsichtsbehörden sollten nach Erwägungsgrund (EG) 129 DSGVO in jedem Mitgliedstaat dieselben Aufgaben und wirksamen Befugnisse haben, um die Überwachung und Durchsetzung der DSGVO sicherzustellen, insbesondere im Fall von Beschwerden natürlicher Personen. Dies wurde durch umfangreiche Untersuchungs-, Abhilfe- und Sanktions- und Genehmigungsbefugnisse sowie beratende Befugnisse umgesetzt.

Art. 58 DSGVO enthält in Abs. 1 zunächst Untersuchungsbefugnisse (Rz. 14); überträgt mit Abs. 2 den Aufsichtsbehörden umfassende Abhilfebefugnisse (Rz. 15).

2.2.2.1 Untersuchungsbefugnissse

Rz. 14

Jede Aufsichtsbehörde, also jede für die Kontrolle des Datenschutzes zuständige Stelle (vgl. Rz. 5) verfügt nach Art. 58 Abs. 1 DSGVO über folgenden Untersuchungsbefugnisse:

• den Verantwortlichen, den Auftragsverarbeiter und ggf. den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind,
• Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen,
• Überprüfungen der nach Art. 42 Abs. 7 DSGVO erteilten Zertifizierungen durchzuführen (vgl. auch die Komm. zu § 78c),
• den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen diese Verordnung hinzuweisen,

• von dem Verantwortlichen und dem Auftragsverarbeiter Zugang

  • zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, sowie
  • zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen und -geräte zu erhalten.

2.2.2.2 Abhilfebefugnisse

Rz. 15

Laut EG 129 DSGVO sollte den Aufsichtsbehörden ausdrücklich auch die Befugnis eingeräumt werden, eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen.

Die oder der Bundesbeauftragte kann den Verantwortlichen auch davor warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen in diesem Gesetz enthaltene und andere auf die jeweilige Datenverarbeitung anzuwendende Vorschriften über den Datenschutz verstoßen.

Konkret gestatten die Abhilfebefugnisse gemäß Art. 58 Abs. 2 DSGVO den Aufsichtsbehörden (Rz. 5)

• einen Verantwortlichen oder einen Auftragsverarbeiter

• zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen (Buchst. a); übernommen in § 16 Abs. 2 Satz 4 BDSG, nachdem die oder der Bundesbeauftragte den Verantwortlichen auch davor warnen kann, "dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen in diesem Gesetz enthaltene und andere auf die jeweilige Datenverarbeitung anzuwendende Vorschriften über den Datenschutz verstoßen",
• zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat (Buchst. b),
• anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen (Buchst. c),
• anzuweisen, Verarbeitungsvorgänge ggf. auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen (Buchst. d),

• den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person entsprechend zu benachrichtigen (Buchst. e, vgl. die Komm. zu § 83a Rz. 21),
• eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen (Buchst. f),
• die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung gemäß Art. 16, 17 und 18 DSGVO und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Art. 17 Abs. 2 und Art. 19 DSGVO offengelegt wurden, über solche Maßnahmen anzuordnen (Buchst. g),
• eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle anzuweisen, eine gemäß. Art. 42 und 43 DSGVO erteilte Zertifizierung zu widerrufen, oder die Zertifizierungsstelle anzuweisen, keine Zertifizierung zu erteilen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden (Buchst. h, vgl. die Komm. zu § 78c),
• ggf. eine Geldbuße gemäß Art. 83 DSGVO zu verhängen (Buchst. i),
• die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anzuordnen (Buchst. j, vgl. die Komm. zu § 77).

2.2.2.3 Genehmigungsbefugnisse

Rz. 16

Folgenden Genehmigungsbefugnisse und beratenden Befugnisse stehen der Aufsichtsbehörde nach Art. 58 Abs. 3 DSGVO zu, die es ihr gestatten,

• ggf. den Verantwortlichen nach Art. 36 DSGVO zu beraten und die Verarbeitung gemäß Art. 36 Abs. 5 DSGVO zu genehmigen, falls im Recht des Mitgliedstaats eine derartige vorherige Genehmigung verlangt wird (vgl. die Komm. zu § 35 SGB I),
• zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Anfrage Stellungnahmen an das nationale Parlament, die Regierung des Mitgliedstaats oder im Einklang mit dem Recht des Mitgliedstaats an sonstige Einrichtungen und Ste...