Aufsichtsbehörde

Die Aufsichtsbehörde im Sinne der Datenschutz-Grundverordnung ist eine von jedem Mitgliedstaat eingerichtete, völlig unabhängige öffentliche Stelle, die für die Überwachung der Anwendung der DSGVO zuständig ist (Art. 51 DSGVO). In Deutschland gibt es aufgrund der föderalen Struktur den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Landesdatenschutzbehörden der 16 Bundesländer. Ihr Zweck ist es, die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten zu schützen und zugleich den freien Datenverkehr in der Union zu erleichtern.

Die Aufgaben der Aufsichtsbehörde sind in Art. 57 DSGVO geregelt und reichen von der Sensibilisierung der Öffentlichkeit über die Beratung von Verantwortlichen und Auftragsverarbeitern bis zur Bearbeitung von Beschwerden Betroffener. Zur Erfüllung dieser Aufgaben stehen ihr nach Art. 58 DSGVO weitreichende Befugnisse zu: Untersuchungsbefugnisse (etwa Zugang zu Räumen und Daten, Auskunftsverlangen, Durchführung von Audits), Abhilfebefugnisse (Verwarnungen, Anweisungen, vorübergehende oder endgültige Verarbeitungsverbote) sowie die Befugnis, Geldbußen nach Art. 83 DSGVO zu verhängen. Diese Geldbußen können bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes betragen.

Die Zuständigkeit richtet sich grundsätzlich nach dem Sitz des Verantwortlichen oder Auftragsverarbeiters. Bei grenzüberschreitenden Verarbeitungen greift das Verfahren der federführenden Aufsichtsbehörde (One-Stop-Shop, Art. 56 DSGVO): Die Behörde am Ort der Hauptniederlassung wird federführend, arbeitet aber im Kohärenzverfahren mit den betroffenen Aufsichtsbehörden zusammen, um eine einheitliche Rechtsanwendung sicherzustellen. Auf europäischer Ebene koordiniert der Europäische Datenschutzausschuss (EDSA) die Behörden und kann verbindliche Streitentscheidungen treffen. Für Unternehmen ist die Aufsichtsbehörde daher zugleich Anlaufstelle, Aufsicht und potenzielle Sanktionsinstanz.