Die Datenschutz-Aufsichtsbehörden verfügen über umfassende Untersuchungs-, Abhilfe- und Genehmigungsbefugnisse (Art. 58 DSGVO). Diese können sich seit der DSGVO auch gegen Auftragsverarbeiter richten.
Anläße für Prüfungen:
- Anlassbezogen: Aufgrund einer Beschwerde einer betroffenen Person (Art. 77 DSGVO), einer Datenpannenmeldung (Art. 33 DSGVO) oder Hinweisen aus der Presse/Öffentlichkeit.
- Anlasslos: Im Rahmen systematischer Branchenprüfungen oder themenspezifischer Kontrollen (z.B. Cookie-Banner-Prüfungen, Verzeichnispflicht-Kontrollen).
Untersuchungsbefugnisse (Art. 58 Abs. 1 DSGVO):
- Anordnung der Bereitstellung von Informationen
- Durchführung von Datenschutz-Überprüfungen (Audits)
- Zugang zu Geschäftsräumen und Datenverarbeitungsanlagen
Typischer Ablauf einer Prüfung:
- Anhörungsschreiben: Die Aufsichtsbehörde informiert über den Prüfungsanlass und fordert zur Stellungnahme auf.
- Fragebogen/Auskunftsverlangen: Detaillierte Fragen zu Verarbeitungstätigkeiten, Rechtsgrundlagen, TOM, Verzeichnissen.
- Vor-Ort-Prüfung (bei Bedarf): Einblick in Systeme, Prozesse, Dokumentation.
- Feststellungen und Beanstandungen: Die Behörde teilt ihre Bewertung mit.
- Anhörung und Stellungnahme: Der Verantwortliche kann sich äussern.
- Maßnahme: Je nach Ergebnis: Verwarnung, Anweisung, Bußgeld oder Verarbeitungsverbot.
Abgestufte Maßnahmen (Art. 58 Abs. 2 DSGVO):
Die Behörden können stufenweise vorgehen:
- Vorsorgliche Warnungen (bei beabsichtigten Verarbeitungen)
- Verwarnungen (bei erfolgten Verstößen)
- Anweisungen per Verwaltungsakt (z.B. Betroffenenrechte einhalten, Löschung anordnen)
- Beschränkung oder Verbot einer Verarbeitung
- Bußgelder nach Art. 83 DSGVO
Alle Maßnahmen können mit Zwangsgeldern durchgesetzt werden.
Kooperationsbereitschaft lohnt sich: Die Zusammenarbeit mit der Aufsichtsbehörde ist ein ausdrückliches Zumessungskriterium bei der Bußgeldberechnung (Art. 83 Abs. 2 lit. f DSGVO).