Allgemein

Kontrolle des Datenschutzes

Das deutsche Datenschutzrecht weist ein zweistufiges Kontrollsystem auf, welches hinsichtlich des Arbeitnehmerdatenschutzes zudem noch durch die Schutzfunktion der Betriebs- bzw. Personalräte ergänzt wird:

Stufe 1: Die betrieblichen bzw. behördlichen Datenschutzbeauftragten sind Träger einer innerbetrieblichen bzw. innerbehördlichen Selbstkontrolle.
Stufe 2: Hinzu kommt die Fremdkontrolle durch staatliche Kontrollbehörden.

Bezüglich der Fremdkontrolle sind in Deutschland im Wesentlichen drei datenschutzrechtlich unterschiedlich geregelte Bereiche zu unterscheiden:
  • Öffentlicher Bereich auf Bundesebene (öffentliche Stellen des Bundes, z. B. Arbeitsämter)
  • Öffentlicher Bereich auf Landesebene (öffentliche Stellen der Länder einschließlich rechtlich selbstständiger, der Aufsicht der Länder unterstehender juristischer Personen des öffentlichen Rechts)
  • Nicht-öffentlicher Bereich (Private: Natürliche und juristische Personen, z. B. GmbH)
  • Sonderregelungen bezüglich der Aufsicht bestehen im Bereich der öffentlich-rechtlichen Religionsgesellschaften, der Presse und auch der Rundfunkanbieter.


§ 30a Sächsisches Datenschutzgesetz weist dem Sächsischen Datenschutzbeauftragten auch die Kontrollzuständigkeit für den nicht-öffentlichen Bereich (vgl. § 38 Bundesdatenschutzgesetz – BDSG) zu. Darüber hinaus ist der Sächsische Datenschutzbeauftragte zugleich Ordnungswidrigkeitenbehörde für die Tatbestände des BDSG.

Aufgabenüberblick

Die einzelnen Aufgaben der Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich leiten sich wie folgt aus dem BDSG ab:
 

- Registerführung

Die Aufsichtsbehörden führen gem. § 38 Abs. 2 BDSG das Register der nach § 4d BDSG meldepflichtigen automatisierten Verarbeitungen mit den Angaben nach § 4e Satz 1 BDSG.
Diese Meldepflicht trifft zunächst alle Unternehmen, die personenbezogene Daten geschäftsmäßig zum Zweck der (gegebenenfalls auch anonymisierten) Übermittlung speichern (z. B. Wirtschaftsauskunfteien, Adresshändler, Markt- und Meinungsforschungsinstitute). Darüber hinaus unterliegen auch solche Unternehmen der Meldepflicht, die höchstens neun Arbeitnehmer mit der automatisierten Datenverarbeitung für eigene Zwecke beschäftigen, wenn diese Datenverarbeitung weder durch die Einwilligung der Betroffenen noch durch die Zweckbestimmung eines Vertragsverhältnisses gedeckt ist und im Übrigen auch keine Vorabkontrolle erforderlich ist.
Die bei den Datenschutz-Aufsichtsbehörden geführten Verfahrensregister sind in dem in § 38 Abs. 2 BDSG beschriebenen Umfang öffentlich und können folglich von jedem eingesehen werden.
Ein Registereintrag bietet dabei weder die Gewähr, dass das Unternehmen datenschutzkonform arbeitet bzw. dass es bereits einer Kontrolle durch die Aufsichtsbehörde unterzogen worden ist, noch stellt er eine Genehmigung oder Zustimmung zur Durchführung der gemeldeten Geschäftstätigkeit dar.
Die Meldung muss vor Inbetriebnahme eines Verfahrens erfolgen; auch Änderungen sind meldepflichtig. Verstöße gegen die Meldepflicht können mit einem Bußgeld geahndet werden.
 

- Anlass- und Regelkontrollen

Die Datenschutzaufsichtsbehörden dürfen, soweit die grundsätzlichen Anwendungsvoraussetzungen des BDSG erfüllt sind, alle nicht-öffentlichen Stellen kontrollieren (§ 38 Abs. 1 BDSG). Weder müssen hinreichende Anhaltspunkte für eine Datenschutzverletzung vorliegen noch ist eine meldepflichtige Tätigkeit Kontrollvoraussetzung.
Die der Kontrolle unterliegenden Stellen sind gegenüber der Aufsichtsbehörde auskunftspflichtig (vgl. § 38 Abs. 3 BDSG) und haben die Prüfung zu dulden - dazu verleiht § 38 Abs. 4 BDSG der Aufsichtsbehörde Zutritts-, Prüfungs-, Besichtigungs- sowie Einsichtnahmerechte.
 

- Beratungstätigkeit

Die Aufsichtsbehörde hat nach § 4g Abs. 1 Satz 2 BDSG (Aufgaben des Beauftragten für den Datenschutz) sowie § 4d Abs. 6 Satz 3 BDSG (Meldepflicht / Vorabkontrolle), den betrieblichen Datenschutzbeauftragten zu beraten, nach § 38 Abs. 1 Satz 2 BDSG darüber hinaus auch die verantwortlichen Stellen „mit Rücksicht auf deren typische Bedürfnisse“.
 

- Prüfung der Verhaltensregeln von Berufsverbänden

Berufs- und Unternehmensverbände können sich an die Aufsichtsbehörde wenden, um von ihnen erarbeitete Verhaltensregeln zur Förderung der Durchführung von datenschutzrechtlichen Regelungen auf die Vereinbarkeit mit geltendem Datenschutzrecht prüfen zu lassen (§ 38a BDSG).
 

- Genehmigung von Datenübermittlungen in Drittstaaten

§ 4b BDSG regelt die Übermittlung personenbezogener Daten ins Ausland. Für den konkreten Fall, dass personenbezogene Daten in Drittstaaten ohne angemessenes Datenschutzniveau übermittelt werden sollen, stellt § 4c BDSG einen Ausnahmekatalog bereit, der vermeiden soll, dass der Wirtschaftsverkehr mit diesen Staaten unangemessen beeinträchtigt wird. Über diesen Katalog hinausgehende Ausnahmen sind von der Aufsichtsbehörde zu genehmigen (§ 4c Abs. 2 BDSG).
 

- Öffentlichkeitsarbeit

Die Aufsichtsbehörden für den nicht-öffentlichen Bereich haben regelmäßig, spätestens jedoch alle zwei Jahre, einen Tätigkeitsbericht zu veröffentlichen (§ 38 Abs. 1 Satz 7 BDSG).
 

- Durchführung von Ordnungswidrigkeitenverfahren

Die Zuständigkeit des Sächsischen Datenschutzbeauftragten zur Ahndung von Ordnungswidrigkeiten nach dem BDSG ergibt sich aus § 13 der Verordnung der Sächsischen Staatsregierung über Zuständigkeiten nach dem Gesetz über Ordnungswidrigkeiten – OWiZuVO).

Im Rahmen ihrer Tätigkeit können die Aufsichtsbehörden darüber hinaus nach pflichtgemäßem Ermessen von folgenden Durchsetzungs- bzw. Sanktionsbefugnissen Gebrauch machen:
  • Eigenständiges Strafantragsrecht bei BDSG-Straftatbeständen (§ 44 Abs. 2 BDSG)
  • Unterrichtung des Betroffenen und Anzeige der für den Verstoß verantwortlichen Stelle bei den zuständigen Ahndungs- und Verfolgungsbehörden (§ 38 Abs. 1 Satz 6 BDSG)
  • Verhängung von Zwangsgeldern zur Durchsetzung angeordneter Maßnahmen zur Mängelbeseitigung bzw. Verbot des Einsatzes einzelner Verfahren (§ 38 Abs. 5 Satz 1 und 2 BDSG)
  • Aufforderung zur Abberufung des betrieblichen Datenschutzbeauftragten (§ 38 Abs. 5 Satz 3 BDSG)
 

Örtliche Zuständigkeit

Die örtliche Zuständigkeit des Sächsischen Datenschutzbeauftragten beschränkt sich auf den Freistaat Sachsen (§ 3 Verwaltungsverfahrensgesetz).
Für die Kontrollzuständigkeit maßgeblich ist, wo die Daten verarbeitet werden, d. h. wo die einzelnen Verarbeitungshandlungen jeweils stattfinden. In der Praxis ist der Sächsische Datenschutzbeauftragte also vor allem dann zuständig, wenn die verantwortliche Stelle (§ 3 Abs. 7 BDSG), z. B. eine Bank, eine Niederlassung oder Zweigstelle in Sachsen unterhält und diese personenbezogene Daten verarbeitet hat. Soweit die Verarbeitung durch die Zentrale erfolgt, ist die dortige Aufsichtsbehörde zuständig.

Adressen und Kommunikationsdaten der Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich

Ohne Bedeutung ist in jedem Fall, wo der von der Datenverarbeitung Betroffene seinen Wohnsitz hat.
 

Sachliche Zuständigkeit

Als Datenschutzaufsichtsbehörde nach § 38 BDSG kann der Sächsiche Datenschutzbeauftragte nur dann tätig werden, wenn das BDSG und in Sonderheit dessen III. Abschnitt im Speziellen anwendbar ist, z. B. auch wenn andere Regelungen insoweit auf das BDSG verweisen.
Die sachliche Zuständigkeit des Sächsischen Datenschutzbeauftragten als Datenschutzaufsichtsbehörde ist demnach her nur dann gegeben, wenn (§ 27 Abs. 1 BDSG)
  1. personenbezogene Daten erhoben, genutzt oder verarbeitet werden UND
  2. es sich um nicht-öffentliche Stellen handelt UND
  3. dies unter Einsatz von Datenverarbeitungsanlagen oder in Gestalt so genannter nicht automatisierter Dateien stattfindet UND
  4. die Daten nicht ausschließlich für persönliche oder familiäre Tätigkeiten erhoben, verarbeitet oder genutzt werden.

Sind diese Voraussetzungen nicht alle erfüllt, können die Betroffenen ihre Rechte nur auf zivilrechtlichem Weg durchsetzen (Nr. 1, 3 und 4) bzw. müssen sie sich an die für die jeweilige öffentliche Stelle zuständige Kontrollbehörde wenden (Nr. 2).

Durch besondere Gesetze (bereichsspezifische Regelungen) kann die sachliche Zuständigkeit ausnahmsweise auch abweichend geregelt sein. Eine andere Stelle ist zuständig nach


Umgekehrt gibt es auch Erweiterungen der sachlichen Zuständigkeit, beispielsweise durch

wonach die Zuständigkeit der Aufsichtsbehörde jeweils auch dann gegeben ist, wenn keine Datenverarbeitung in oder aus Dateien erfolgt (vgl. oben Nr. 3) oder durch

wonach auch öffentlich-rechtliche, am Wettbewerb teilnehmende Unternehmen in die Zuständigkeit der Aufsichtsbehörden gem. § 38 BDSG fallen.