Die Aufsichtsbehörden verfügen über ein breites Spektrum an Befugnissen, das weit über die blosse Verhängung von Bußgeldern hinausgeht.
Untersuchungsbefugnisse (Art. 58 Abs. 1 DSGVO):
- Den Verantwortlichen und Auftragsverarbeiter anweisen, alle für die Untersuchung erforderlichen Informationen bereitzustellen
- Datenschutzüberprüfungen (Audits) durchführen
- Zugang zu Geschäftsräumen und Datenverarbeitungsanlagen erhalten
- Überprüfung von Zertifizierungen
Abhilfebefugnisse (Art. 58 Abs. 2 DSGVO):
- Warnungen außprechen (bei beabsichtigten Verarbeitungen, die voraußichtlich gegen die DSGVO verstoßen)
- Verwarnungen erteilen (bei erfolgten Verstößen)
- Anweisungen erteilen: Betroffenenanfragen beantworten, Verarbeitungen in Einklang bringen, Betroffene über Datenpannen informieren, Drittlandsübermittlungen außetzen
- Beschränkung oder Verbot von Verarbeitungen anordnen
- Berichtigung, Löschung oder Einschränkung von Daten anordnen
- Zertifizierungen widerrufen
- Bußgelder verhängen (Art. 83 DSGVO)
Genehmigungsbefugnisse (Art. 58 Abs. 3 DSGVO):
- Beratung des Verantwortlichen bei der DSFA-Konsultation (Art. 36)
- Genehmigung von Vertragsklauseln und Binding Corporate Rules für Drittlandstransfers
- Genehmigung von Verhaltensregeln und Zertifizierungskriterien
Struktur in Deutschland:
Deutschland hat ein föderales System mit 18 Aufsichtsbehörden:
- BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit): Zuständig für Bundesbehörden und Telekommunikationsunternehmen
- 16 Landesbehörden: Jeweils zuständig für nichtöffentliche Stellen und Landesbehörden in ihrem Bundesland
- Die DSK (Datenschutzkonferenz) koordiniert die Zusammenarbeit
Durchsetzung: Alle Maßnahmen können mit Zwangsgeldern durchgesetzt werden. Die Nichtbefolgung von Anweisungen der Aufsichtsbehörde ist eigenständig bußgeldbewährt (Art. 83 Abs. 6 DSGVO: bis 20 Mio. EUR / 4%).