Alle Treffer anzeigen
Dieses Fenster schließen

Präemptive Prüfung der DSGVO durch die Aufsichtsbehörde

Verstoß gegen § 38 BDSG

08.01.2016
auge
auge

Am 15. Dezember 2015 wurde eine Einigung über den finalen Entwurf der EU-Datenschutz-Grundverordnung erzielt (http://www.statewatch.org/news/2015/dec/eu-council-dp-reg-draft-final-compromise-15039-15.pdf). In einem Fragenkatalog des Hessischen Datenschutzbeauftragten wird bereits jetzt dazu aufgefordert, Auskunft über den Stand der Umsetzung der DSGVO im Unternehmen zu geben. Im Einzelnen heißt es:

 

  • „Hat Ihr Unternehmen bereits geprüft, ob die von Ihnen durchgeführten Datenverarbeitungsprozesse nach dem aktuellen Stand der Verhandlungen zur DSGVO zulässig sind?
  • Haben Sie bereits einen Plan zur möglicherweise notwendigen Anpassung an die Anforderungen der DSGVO erstellt?“

 

Diese Prüfpraxis erscheint ein wenig verfrüht. Die Kompromiss-Fassung muss immerhin zunächst von Parlament und Ministerrat angenommen werden, bis zur Geltung schließt sich dann eine Frist von zwei Jahren an. Mit anderen Worten: Es gibt noch keine DSGVO. Insoweit bewegt sich der Hessische Datenschutzbeauftragte außerhalb seines gesetzlichen Prüfauftrages.

 

Die Aufsichtsbehörde darf grundsätzlich gemäß § 38 Abs. 3 S. 1 BDSG die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte einholen. Dies geschieht in der Praxis zunächst im Wege der formlosen Anfrage und nicht in Form eines Verwaltungsaktes (Brink in: Wolff/Brink, Datenschutzrecht in Bund und Ländern, 2013, § 38 Rn. 56; zur Wirksamkeit rechtswidriger Verwaltungsakte vgl. §§ 43, 44 HVwVfG). Die befragten Unternehmen tun dennoch gut daran, solche Ersuchen gewissenhaft zu bearbeiten, da nach § 43 Abs. 1 Nr. 10 BDSG ein Bußgeld in Höhe von bis zu 50.000 € droht, sofern eine geforderte Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt wird.

 

An dieser Stelle kann aber Entwarnung gegeben werden. Die Aufsichtsbehörde darf gemäß § 38 Abs. 1 S. 1 BDSG (bzw. § 24 Abs. 1 S. 1 HDSG) lediglich die Einhaltung geltender Vorschriften über den Datenschutz prüfen. Ein doppelter Prüfmaßstab de lege lata sowie de lege ferenda verstößt offenkundig gegen den Gesetzmäßigkeitsgrundsatz der Verwaltung nach Art. 20 Abs. 3 GG. Der Stand der Umsetzung im Unternehmen darf folglich nicht zum Gegenstand eines aufsichtsrechtlichen Verfahrens gemacht werden, die Nichtbeantwortung der Frage darf insoweit auch kein Bußgeld nach sich ziehen. Die Behörde hat das Unternehmen vielmehr auf die Freiwilligkeit der Beantwortung hinzuweisen. Auf Grundlage freiwillig gemachter Angaben kann die Behörde dann ggf. gemäß § 24 Abs. 1 S. 2 Hs. 1 HDSG Empfehlungen zur Verbesserung des Datenschutzes geben.

 

Dipl.-Jur. Michael Atzert/Dr. iur. Lorenz Franck

 

(Foto: © Frank Täubel - Fotolia.com)



Aktuelles

News und Meldungen rund um Datenschutz und Datensicherheit

RDV - Recht der Datenverarbeitung

Die RDV ist eine der führenden Fachzeitschriften zum Datenschutzrecht. Sie bereitet ihre Themen seit 30 Jahren mit wissenschaftlichem Anspruch und Blick für die Praxis auf.

RDV-Online

RDV-Online ist der aktuelle Dienst der RDV mit News rund um die Themen Datenschutz und Datensicherheit. Sie bietet eigene Inhalte und vervollständigt zugleich RDV auf digitalem Weg.

GDD und DATAKONTEXT

Die GDD ist die größte deutsche Vereinigung zur Unterstützung des betrieblichen und behördlichen Datenschutzes und der Datensicherheit. Ihr Partner ist DATAKONTEXT als führender Informationsdienstleister für Datenschutz.

RDV - Recht der Datenverarbeitung

Die RDV ist eine der führenden Fachzeitschriften zum Datenschutzrecht. Sie bereitet ihre Themen seit 30 Jahren mit wissenschaftlichem Anspruch und Blick für die Praxis auf.

RDV-Online

RDV-Online ist der aktuelle Dienst der RDV mit News rund um die Themen Datenschutz und Datensicherheit. Sie bietet eigene Inhalte und vervollständigt zugleich RDV auf digitalem Weg.

GDD und DATAKONTEXT

Die GDD ist die größte deutsche Vereinigung zur Unterstützung des betrieblichen und behördlichen Datenschutzes und der Datensicherheit. Ihr Partner ist DATAKONTEXT als führender Informationsdienstleister für Datenschutz.

RDV - Recht der Datenverarbeitung

Die RDV ist eine der führenden Fachzeitschriften zum Datenschutzrecht. Sie bereitet ihre Themen seit 30 Jahren mit wissenschaftlichem Anspruch und Blick für die Praxis auf.

RDV-Online

RDV-Online ist der aktuelle Dienst der RDV mit News rund um die Themen Datenschutz und Datensicherheit. Sie bietet eigene Inhalte und vervollständigt zugleich RDV auf digitalem Weg.

GDD und DATAKONTEXT

Die GDD ist die größte deutsche Vereinigung zur Unterstützung des betrieblichen und behördlichen Datenschutzes und der Datensicherheit. Ihr Partner ist DATAKONTEXT als führender Informationsdienstleister für Datenschutz.