Um die Durchsetzung der Anforderungen der DSGVO im Unternehmenskontext überwachen zu können, räumt die Datenschutz-Grundverordnung den Aufsichtsbehörden in Art. 58 DSGVO umfangreiche Befugnisse ein. Dieser Beitrag soll aufzeigen, wo die Grenzen aufsichtsbehördlicher Untersuchungsbefugnisse liegen. Befugnisse von Amts wegen Art. 58 DSGVO differenziert hier zwischen: • Untersuchungsbefugnissen (Abs. 1), • Abhilfebefugnissen (Abs. 2), • sowie Genehmigungs- und Beratungsbefugnissen (Abs. 3). Während Absatz 3 präventiven Charakter aufweist und Absatz 2 voraussetzt, dass bereits ein Datenschutzverstoß vorliegt, können Untersuchungsbefugnisse nach Absatz 3 auch anlassunabhängig ausgeübt werden. Damit die Behörde gemäß Absatz 1 tätig werden darf, ist weder ein Anfangsverdacht noch das Vorliegen einer Beschwerde i.S.d Art. 77 DSGVO notwendig. Betroffene haben oftmals keine Kenntnis von grundrechtsverletzenden Verarbeitungstätigkeiten. Um dem Schutzzweck der DSGVO größtmöglich Rechnung zu tragen, ist die Behörde daher befugt, Kontrollen auch von Amts wegen auszuüben, um mögliche Verstöße aufzudecken. Keine Entziehungsmöglichkeit für Verantwortliche und Auftragsverarbeiter Die Befugnisse der Aufsichtsbehörden treffen hierbei sowohl die verantwortliche Stelle als auch ihre Auftragsverarbeiter. Nach Art. 31 DSGVO sind beide verpflichtet, die Behörde bei der Erfüllung ihrer Aufgaben zu unterstützen. Wegducken geht nicht – zumal ein Verstoß gegen die Mitwirkungspflichten gem. Art. 83 Abs. 4 lit. a DSGVO bußgeldbewehrt ist. Gestattet sind der Behörde nach Art. 58 Absatz 1 DSGVO unter anderem: • von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, zu erhalten (lit. e) • sowie Zugang zu den Räumlichkeiten, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten (lit. f) Einschränkung gegenüber Berufsgeheimnisträgern Diese weitreichenden Zugangs-, Zutritts- sowie Zugriffsrechte der Aufsichtsbehörden finden jedoch dort ihre Grenzen, wo Verantwortliche und Auftragsverarbeiter durch die Preisgabe der Daten aufgrund von Geheimhaltungspflichten ihrerseits in Interessen- und Pflichtenkollisionen kommen würden. Der nationale Gesetzgeber hat daher im Fall von Berufsgeheimnisträgern i.S.d. § 203 StGB von der Öffnungsklausel des Art. 90 DSGVO Gebrauch gemacht und die Zugriffsbefugnisse der Behörde durch § 29 Abs. 3 S. 1 BDSG wiederrum ausgeschlossen. Der Gesetzgeber wollte damit erreichen, dass etwa das Mandatsverhältnis sowie das Vertrauen der Öffentlichkeit in die Berufsstände des § 203 Abs. 1 StGB nicht durch Unsicherheiten belastet wird. Jura at its best! Das Recht der Behörde, die Einhaltung der Rechte der Betroffen zu prüfen, wird durch das Recht der Betroffenen auf informationelle Selbstbestimmung bezüglich vertraulicher Informationen gegenüber Berufsgeheimnisträgern und deren Schweigepflicht auch gegenüber den Behörden geschützt. Verstanden? Du, Aufsichtsbehörde, kommst hier nicht rein! Aufsichtsbehörden dürfen daher weder die Herausgabe derartiger Informationen verlangen, noch sind sie befugt, die Datenverarbeitungsanlagen und -geräte zu durchsuchen. Ausgeschlossen ist damit der Zugang zu Räumlichkeiten, in denen sich Akten oder IT-Systeme befinden, die einer Geheimhaltungspflicht unterliegenden Daten oder Informationen enthalten. Auch der Zugriff auf solche Systeme ist den Behörden untersagt. Dies gilt jedenfalls dann, wenn eine Trennung von nicht geschützten Datensätzen und Informationen nicht möglich ist. Mit der Einbeziehung der Auftragsverarbeiter will der Gesetzgeber zudem vermeiden, dass Auftragsverarbeiter gegenüber ihren Auftraggebern vertragsbrüchig werden, wenn sie vertrauliche Informationen gegenüber der Aufsichtsbehörde offenlegen müssten. Kein Zugriff durch die Hintertür Problematisch erscheint hier, dass § 29 Abs. 3 S. 1 BDSG die übrigen Rechte der Aufsichtsbehörden nach Art. 58 DSGVO nicht einschränkt, da sich die Norm lediglich auf die Befugnisse der Buchstaben e und f bezieht. Es besteht daher zumindest abstrakt die Möglichkeit, dass Aufsichtsbehörden versuchen, die Beschränkung durch Auskunftsanordnungen oder andere nach Art. 58 DSGVO zulässige Maßnahmen zu unterlaufen. Um die Geheimhaltungspflicht nicht leer laufen zu lassen, dürfen jedoch sowohl die verantwortliche Stelle als auch ihre Auftragsverarbeiter die Auskunft in einer Weise erteilen, die keine der Geheimhaltung unterliegenden Daten oder Informationen preisgibt. Pflicht der Aufsichtsbehörde zur Geheimhaltung Grundsätzlich gelten die Geheimhaltungspflichten der Berufsgeheimnisträger nicht für die Aufsichtsbehörden. Gleichwohl hat der Gesetzgeber das Risiko einer unzulässigen Kenntnisnahme durch die Behörde erkannt. Um einen effektiven Geheimnisschutz zu gewährleisten, hat er die Geheimhaltungspflichten durch § 29 Abs. 3 S. 2 BDSG kurzerhand auf die Aufsichtsbehörden und ihre Mitarbeiter verlängert. Keine ungeprüfte Auskunft an Behörden Insgesamt ist dem Gesetzgeber eine risikobewusste Regelung gelungen. Berufsgeheimnisträgern und ihren Auftragsverarbeitern ist dennoch zu raten, Aufsichtsbehörden nicht vorschnell Auskunft oder Zugriff auf sensible Datensätze zu gewähren. Geheimhaltungsverpflichtungen sind stets im Blick zu behalten! Beitrag hier kommentieren |