Aufsichtsbehörde (DSGVO)
In den Mitgliedstaaten der Europäischen Union sind Aufsichtsbehörden für die Überwachung der Anwendung der Datenschutz-Grundverordnung zu errichten. Die Aufsichtsbehörden haben die Aufgabe die Rechte der betroffenen Personen zu schützen und den freien Verkehr von personenbezogenen Daten in der Europäischen Union zu garantieren.[1] Darüber hinaus sind Kirchen berechtigt, sofern sie bereits am 24. Mai 2016 umfassende Regeln bei der Verarbeitung personenbezogener Daten anwenden, eigene Aufsichtsbehörden zu errichten.[2]
Aufgaben
Die Aufgaben der Aufsichtsbehördem folgen aus Artikel 57 der Datenschutz-Grundverordnung. Danach müssen die Aufsichtsbehörden in Ihrem Hoheitsgebiet
- die Anwendung der Datenschutz-Grundverordnung überwachen und durchsetzen;
- die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung Personenbezogener Daten sensibilisieren und sie darüber aufklären. Besondere Beachtung finden dabei spezifische Maßnahmen für Kinder;
- im Einklang mit dem Recht des Mitgliedsstaats das nationale Parlament, die Regierung und andere Einrichtungen und Gremien über legislative und administrative Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung beraten;
- die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus der Datenschutz-Grundverordnung entstehenden Pflichten sensibilisieren;
- auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte aufgrund der Datenschutz-Grundverordnung zur Verfügung stellen und gegebenenfalls zu diesem Zweck mit den Aufsichtsbehörden in anderen Mitgliedstaaten zusammenarbeiten;
- sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 80 der Datenschutz-Grundverordnung befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist;
- mit anderen Aufsichtsbehörden zusammenarbeiten, auch durch Informationsaustausch, und ihnen Amtshilfe leisten, um die einheitliche Anwendung und Durchsetzung der Datenschutz-Grundverordnung zu gewährleisten;
- Untersuchungen über die Anwendung der Datenschutz-Grundverordnung durchführen, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen Behörde;
- maßgebliche Entwicklungen verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie und der Geschäftspraktiken;
- Standardvertragsklauseln im Sinne des Artikels 28 Absatz 8 und des Artikels 46 Absatz 2 Buchstabe d der Datenschutz-Grundverordnung festlegen;
- eine Liste der Verarbeitungsarten erstellen und führen, für die gemäß Artikel 35 Absatz 4 der Datenschutz-Grundverordnung eine Datenschutz-Folgenabschätzung durchzuführen ist;
- Beratung in Bezug auf die in Artikel 36 Absatz 2 der Datenschutz-Grundverordnung genannten Verarbeitungsvorgänge leisten;
- die Ausarbeitung von Verhaltensregeln gemäß Artikel 40 Absatz 1 der Datenschutz-Grundverordnung fördern und zu diesen Verhaltensregeln, die ausreichende Garantien im Sinne des Artikels 40 Absatz 5 der Datenschutz-Grundverordnung bieten müssen, Stellungnahmen abgeben und sie billigen;
- die Einführung von Datenschutzzertifizierungsmechanismen und von Datenschutzsiegeln und -prüfzeichen nach Artikel 42 Absatz 1 der Datenschutz-Grundverordnung anregen und Zertifizierungskriterien nach Artikel 42 Absatz 5 er Datenschutz-Grundverordnung billigen;
- gegebenenfalls die nach Artikel 42 Absatz 7 der Datenschutz-Grundverordnung erteilten Zertifizierungen regelmäßig überprüfen;
- die Anforderungen an die Akkreditierung einer Stelle für die Überwachung der Einhaltung der Verhaltensregeln gemäß Artikel 41 der Datenschutz-Grundverordnung und einer Zertifizierungsstelle gemäß Artikel 43 der Datenschutz-Grundverordnung abfassen und veröffentlichen;
- die Akkreditierung einer Stelle für die Überwachung der Einhaltung der Verhaltensregeln gemäß Artikel 41 der Datenschutz-Grundverordnung und einer Zertifizierungsstelle gemäß Artikel 43 der Datenschutz-Grundverordnung vornehmen;
- Vertragsklauseln und Bestimmungen im Sinne des Artikels 46 Absatz 3 der Datenschutz-Grundverordnung genehmigen;
- verbindliche interne Vorschriften gemäß Artikel 47 der Datenschutz-Grundverordnung genehmigen;
- Beiträge zur Tätigkeit des Europäischen Datenschutzausschusses leisten;
- interne Verzeichnisse über Verstöße gegen die Datenschutz-Grundverordnung und gemäß Artikel 58 Absatz 2 der Datenschutz-Grundverordnung ergriffene Maßnahmen und
- jede sonstige Aufgabe im Zusammenhang mit dem Schutz personenbezogener Daten erfüllen.
Errichtung
Die Mitgliedsstaaten des Europäischen Wirtschaftsraums errichten Aufsichtsbehörden durch eigene Rechtsakte. In Deutschland ist dies einerseits das Bundesdatenschutzgesetz für den Bundesbeauftragten, und die Landesdatenschutzgesetze für die Landesbeauftragten. In Österreich wird die Datenschutzbehörde durch das Datenschutzgesetz errichtet. Die Datenschutzstelle von Liechtenstein wird ebenfalls durch ein Datenschutzgesetz errichtet, die Organisation der Behörde wird teilweise durch die Datenschutzverordnung geregelt.