Datenschutzbehörde: Freund & Helfer oder Behördenmonster?

Mit der kommenden EU-Datenschutz-Grundverordnung wird die Aufsichtsbehörde zur Anlaufstelle vieler Unternehmen und Privatpersonen. Die Datenschutzbehörde ist eine unabhängige Stelle, die der Aufgabe nachgeht, Datenschutzvorschriften zu überwachen. Dafür hat die Datenschutz-Aufsichtsbehörde sowohl Untersuchungs- als auch Abhilfe-Befugnisse. Die zuständige Datenschutzbehörde berät zu Datenschutzthemen und sie hat sich mit Beschwerden auseinanderzusetzen, die Verletzungen an der DSGVO oder dem Bundesdatenschutzgesetz (BDSG) vermuten lassen. In jedem EU-Mitgliedsstaat existiert eine Datenschutzbehörde.

Für Eure Organisation ist Eure zuständige Datenschutzbehörde Eure wichtigste Anlaufstelle für Fragen rund um den Datenschutz. Ist Euer Unternehmen in unterschiedlichen EU-Mitgliedsstaaten tätig und verarbeitet Daten oder gehört Eure Organisation zu einem Konzern aus anderen EU-Mitgliedsstaaten, ist es entscheidend, wo Ihr Euren Hauptsitz habt. Es können dann Datenschutzbehörden anderer EU-Mitgliedsstaaten verantwortlich sein. Die jeweils landesspezifischen Datenschutzbehörden listet die Europäische Kommission auf.

Welche Datenschutzbehörden gibt es?

In jedem Bundesland existiert eine eigene Datenschutz-Aufsichtsbehörde und die örtliche Zuständigkeit richtet sich nach dem Sitz der Organisation. Für gewöhnlich sind die jeweiligen Datenschutzbeauftragten der Bundesländer zuständig für öffentliche und nicht-öffentliche Bereiche; eine Ausnahme bildet hier Bayern. Sortiert nach Bundesländern, finden sich folgende Zuständigkeiten:

• Baden-Württemberg
• Bayern – öffentlicher Bereich und Bayern – nicht-öffentlicher Bereich
• Berlin
• Brandenburg
• Bremen
• Hamburg
• Hessen
• Mecklenburg-Vorpommern
• Niedersachsen
• Nordrhein-Westfalen
• Rheinland-Pfalz
• Saarland
• Sachsen
• Sachsen-Anhalt
• Schleswig-Holstein
• Thüringen

Neben den Stellen der einzelnen Bundesländer gibt es noch die oberste Bundesbehörde mit Andrea Voßhoff als Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Die vollständigen Adress- und Kontaktdaten der einzelnen Behörden findet Ihr im Datenschutz-Wiki.

Nicht nur Unternehmen, sondern auch Privatpersonen können sich an die zuständige Datenschutz-Aufsichtsbehörde wenden und kostenfrei sowie anonym Meldung über etwaige Datenschutzverstöße anbringen. Für spezielle Unternehmen oder Einrichtungen existieren darüber hinaus spezielle Ansprechpartner. So übernimmt die datenschutzrechtliche Kontrolle im Bereich des Rundfunks (also TV und Radio) der Rundfunkbeauftragte. Auch in den Kirchen muss das Einhalten der Datenschutzbestimmungen kontrolliert werden. Dies geschieht durch einen katholischen sowie einen evangelischen Datenschutzbeauftragten.

 

Was sind die Aufgaben einer Datenschutzbehörde?

Zunächst verfolgen die Datenschutz-Aufsichtsbehörde das Ziel, das Einhalten der Datenschutzgesetze zu kontrollieren. Beim Nichteinhalten reagieren sie mit Sanktionen. § 38 BDSG stellt die gesetzliche Basis für die verschiedenen Zuständigkeiten der Aufsichtsbehörden; dort heißt es unter anderem: „Die Aufsichtsbehörde kontrolliert die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz, soweit diese die automatisierte Verarbeitung personenbezogener Daten oder die Verarbeitung oder Nutzung personenbezogener Daten in oder aus nicht automatisierten Dateien regeln …“.

Der Paragraf zeigt im Folgenden, dass sich die Arbeit der Aufsichtsbehörden nicht nur aufs Kontrollieren begrenzt. Auch kommen den Aufsichtsbehörden beratende Funktionen zu und sie dienen als Anlaufstelle für datenschutzrechtliche Fragen. So heißt es weiter in § 38 BDSG: „Sie berät und unterstützt die Beauftragten für den Datenschutz und die verantwortlichen Stellen mit Rücksicht auf deren typische Bedürfnisse“.

Auch die Datenschutz-Grundverordnung befasst sich selbstverständlich mit der Rolle der Datenschutz-Aufsichtsbehörde. Insbesondere Art. 51 – 59 sowie Art. 31 DSGVO setzen sich damit auseinander. Art. 57 DSGVO Abs. d) zeigt deutlich, dass die Datenschutzaufsichtsbehörde mehr wird als ein sanktionseintreibendes Monster: Die Aufsichtsbehörde muss „die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus dieser Verordnung entstehenden Pflichten sensibilisieren“.

Immer mehr legen die Datenschutz-Aufsichtsbehörden ihren Fokus auch auf die IT-Sicherheit. So hatte die bayerische Datenschutz-Aufsichtsbehörde vor einiger Zeit von sich Reden gemacht, als sie Website-Formulare auf Verschlüsselung hin überprüfte. Deutlich spürbar ist ein Wechsel von den einst sehr rechtlich geprägten Datenschutz-Vorgaben hin zum Einhalten technischer Mindeststandards.

 

Was überprüft die Datenschutzbehörde im IT-Bereich?

Schon jetzt sind Unternehmen gemäß § 9 BDSG verpflichtet, „die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften (…) zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.“

Erwähnt wird insbesondere das Verwenden einer dem Stand der Technik entsprechenden Verschlüsselungslösung. Jedoch bleiben auch die Bereiche Zutritts-, Zugangs-, Zugriffskontrolle, Weitergabe, Eingabe oder Auftragskontrolle nicht unerwähnt.

Zum Stand der Technik äußert sich die bayerische Datenschutz-Aufsichtsbehörde konkret: „Zur möglichen Verschlüsselung der Kommunikation zwischen Mail-Servern ist der Einsatz des Protokolls STARTTLS nach dem Stand der Technik als erforderlich zu erachten. Findet im Rahmen der Nachrichtenübermittlung das Verschlüsselungsprotokoll SSL/TLS Einsatz, so ist zudem das Verschlüsselungsverfahren Perfect Forward Secrecy zum erhöhten Schutz der übermittelten Daten notwendig. Darüber hinaus ist eine Verwundbarkeit durch die Heartbleed-Lücke auszuschließen.“ (Stand: 2014)

Unklarer drückt sich der Gesetzestext der DSGVO in Art. 32 aus: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten …“. Im Folgenden wird etwas konkretisiert, beispielsweise „die Pseudonymisierung und Verschlüsselung personenbezogener Daten“.

Die Aufsichtsbehörde prüft also, inwieweit verwendete Sicherheitsstandards dem Stand der Technik entsprechen und welche Sicherheitsvorkehrungen wofür getroffen wurden. Hier wirken sich Zertifizierungen günstig aus: Durch sie belegen Unternehmen, Sicherheitsvorkehrungen für sensible Daten zu nutzen, die dem aktuellen Stand der Technik entsprechen.

 

Welche Datenschutzbehörde ist für mich zuständig?

Man unterscheidet die zuständigen Stellen auf Landes- und Bundesebene. Die Datenschutzbeauftragten der Länder haben wir Euch oben bereits nach Bundesländern sortiert aufgezeigt. Wendet Euch an den zuständigen Datenschutzbeauftragten, wenn Ihr als öffentliche Stelle, nicht öffentliche Stelle (z. B. Wirtschaftsunternehmen) oder Privatperson Fragen oder Beratungen rund um den Datenschutz ersucht.

Für die öffentlichen Stellen des Bundes ist die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI, Andrea Voßhoff) zuständig. Betroffen sind neben Organen der Rechtspflege auch Behörden sowie weitere öffentlich-rechtlich organisierten Einrichtungen. Weiter ist die Bundesdatenschutzbeauftragte auch für Telekommunikations- sowie Postunternehmen als nicht-öffentliche Stellen zuständig.