skip to Main Content
+49 (700) 34778539 info@firstlex.de
[layerslider id="6"]

Kontrolle im privaten Bereich

Die Aufsichtsbehörde
Im privaten Bereich regelt § 38 die Einsetzung einer Aufsichtbehörde. Sie werden jeweils von den Landesregierungen bestimmt und zumeist ins Landesinnenministerium integriert.
Ähnlich wie der BfD oder die LfD haben die Aufsichtsbehörden die Aufgabe der Kontrolle, Beratung und Information.
Sie haben Zutritts- und Einsichtsrechte, beraten Betroffene und verantwortliche Stellen, führen ein Register über Dateien, die geschäftsmäßig oder im Auftrag verarbeitet werden und gewähren Einsicht in das Register für jedermann.
Wichtig ist, dass die Aufsichtsbehörden jetzt auch ohne die bisher allein ausschlaggebende "begründete Darlegung des Betroffenen" tätig werden dürfen. Es genügen hierfür hinreichende Anhaltspunkte.
Der Unterschied ist, dass die Behörde im letzten Fall tätig werden kann, im ersten aber muss.
Beispiel: Spricht ein AN bei der Aufsichtsbehörde vor und erklärt, sein AG habe Daten aus dem Arbeitsverhältnis an ein Versandhaus übermittelt, so muss die Aufsichtsbehörde tätig werden. Wendet sich dagegen ein Unbeteiligter oder der betriebliche Datenschutzbeauftragte an die Behörde mit bestimmten Hinweisen oder Verdachtsmomenten, so kann die Behörde nach ihrem Ermessen tätig werden oder nicht. Dieser Ermessenspielraum ist allerdings nicht mit Willkür gleichzusetzen, sonder seinerseits gerichtlich nachprüfbar.
Zwar muss die Behörde dem AG nicht den Namen des AN, der sich an sie wandte, bekannt geben. Es besteht aber dennoch insoweit ein Risiko, als der AG ein Kündigungsrecht aus diesem Anlass hat, weil die herrschende Meinung bis heute eine Verletzung der arbeitnehmerischen Treuepflicht in ähnlichen Fällen (Anru-fen einer Aufsichtsbehörde bei einer Gesundheitsgefährdung am Arbeitsplatz) sieht.

Die Aufsichtsbehörde führt ein Register gem. §§ 4 d, 4 e S. 1.
Jedermann kann in dieses Register hineinsehen.
Allerdings erstreckt sich das Einsichtsrecht nicht auf die Beschreibung gem. § 4 e S. 1 Nr. 9, wo es um die Einschätzung des Unternehmens geht, ob die Maßnahmen gem. § 9 ausreichen.
Die Aufsichtsbehörde kann bei festgestellten Verstößen:
–    Das Gewerbeaufsichtsamt informieren, das seinerseits Anordnungen treffen und Bußgelder verhängen kann
–    Maßnahmen zur Datensicherheit und zum Datenschutz gem. § 9 anordnen
–    Zwangsgelder festsetzen, um bestimmte Handlungen zu erzwingen
–    Die Abberufung des Beauftragten für den Datenschutz innerhalb von Unternehmen (auch bei externen) verlangen, wenn dieser nicht die notwendige Fachkunde besitzt

Achtung:
Auch ohne Verstoß darf die Behörde in Geschäftsräume gehen, Grundstücke betreten und Unterlagen, DV-Anlagen und DV-Programme und die Übersicht gem. § 4 g II S. 1 einsehen

Meldepflicht
Unternehmen haben gem. § 4 d eine Meldepflicht gegenüber den Aufsichtsbehörden. Sie müssen die Art und den Umfang der stattfindenden DV mitteilen und dabei den Vorgaben gem. § 4 e folgen. Demnach ist z.B. zu melden:
–    die Zweckbestimmung der einzelnen DV-Vorgänge
–    eine Beschreibung von Kategorien der DV und betroffenen Personengruppen
–    Empfänger, denen die Daten mitgeteilt werden
–    Vorgesehene Fristen für die Löschung von Daten
Allerdings entfällt die Meldepflicht dann, wenn ein Datenschutzbeauftragter bestellt worden ist, gleichgültig, ob dies gesetzlich notwendig war oder freiwillig geschah.
Weil dies dazu führt, das die Aufsichtsbehörde das entsprechende Unternehmen wegen der ausbleibenden Meldung nicht in das Register aufnimmt, ist der Datenschutzbeauftragte seinerseits verpflichtet, eine Übersicht zu führen, die im Umfang der Meldung für das Register entspricht, § 4 g II. In diese Übersicht hat wiederum jedermann ein Einsichtsrecht.
Die Meldepflicht entfällt aber auch, wenn weniger als vier Personen mit der DV beschäftigt sind und es sich lediglich um DV handelt, die aufgrund von Einwilligungen oder von Vertragsverhältnissen stattfindet. Jedoch ist auch dann eine Übersicht gem. §§ 4 g II S. 3, 4 e Nr. 1 bis 8 aufzustellen und durch die verantwortliche Stelle jedermann auf Antrag zugänglich zu machen.

Der betriebliche Datenschutzbeauftragte
§§ 4 f, 4 g regeln die Einsetzung des betrieblichen DSB. Ein privates Unternehmen, das den DSB nicht rechtzeitig einstellt oder verpflichtet, riskiert eine Geldbuße in Höhe bis zu fünfundzwanzigtausend Euro gem. § 43 III.

Schreibe einen Kommentar

Back To Top