Datenschutzbehörde  Datenschutz Europa privacy service
 
Wann hat ein Verantwortlicher mit der Datenschutzbehörde zusammenzuarbeiten?
DSGVO Art 5-6, 24, 31, 33, 35, 40, 42, 57, 77, 82-83
Pflichten des Verantwortlichen gegenüber der Datenschutzbehörde - Nachweis- und Dokumentationspflichten - Aufgaben der Datenschutzbehörde im Interesse der Verantwortlichen - Meldung bzw. Benachrichtigung betreffend Verletzungen der Datensicherheit - Datenschutzfolgenabschätzung - Konsultationsverfahren mit der Datenschutzbehörde - Datensicherheit gewährleisten - Rechte der Betroffenen gegenüber der Datenschutzbehörde - Hohe Geldstrafen und Schadenersatzklagen drohen

Pflichten des Verantwortlichen gegenüber der Datenschutzbehörde

Gemäß Art 31 Datenschutz-Grundverordnung (DSGVO) sind Verantwortliche grundsätzlich verpflichtet mit der Datenschutzbehörde zusammen zu arbeiten. Neben der allgemeinen Pflicht zur Zusammenarbeit sieht die DSGVO auch besondere Verpflichtungen vor, wie zum Beispiel die Nachweis- und Dokumentationspflichten, das Führen eines Verarbeitungsverzeichnisses und einer Datenschutzfolgenabschätzung, die Meldepflicht bei Verletzung des Datenschutzes und die Zusammenarbeit im Zuge eines Konsultationsverfahren.


Dokumentations- und Nachweispflichten

In erster Linie haben die Verantwortlichen Dokumentations- und Nachweispflichten. Verantwortliche müssen dafür sorgen, dass die Einhaltung der Datenschutzgrundsätze (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit und Rechenschaftspflicht) gemäß Art 5 DSGVO gewährleistet ist und verordnungskonforme Datenverarbeitung durchführen wird. Dazu gehört auch der Nachweis, dass die personenbezogene Verarbeitung von Daten nach den in der DSGVO normierten Rechtmäßigkeitsvorschriften erfolgt (Art 6 DSGVO).

Darüber hinaus müssen Verantwortliche jederzeit nachweisen können, dass Ihre Datenverarbeitungen verordnungskonform sind. Dementsprechend wird ein verpflichtendes Verarbeitungsverzeichnis geführt, in dem alle personenbezogenen, Daten auf die Mitarbeiter Zugriff haben, dokumentiert werden. Dieses Verarbeitungsverzeichnis dient als eine wesentliche Grundlage zur Umsetzung der Dokumentationspflichten gemäß Art 24 DSGVO. Das Verarbeitungsverzeichnis ist schriftlich oder in elektronischer Form zu führen.

Darüber hinaus erfolgt eine Dokumentation der Einwilligungserklärungen, der technischen und organisatorischen Sicherheitsmaßnahmen, der Risikoabschätzung und eine Dokumentation der Vereinbarungen mit Auftragsverarbeitern.


Aufgaben der Datenschutzbehörde im Interesse der Verantwortlichen

Neben den Beratungs- und Genehmigungsbefugnissen im Sinne des Art 58 Abs 3 DSGVO, hat die Datenschutzbehörde die Aufgabe die Verantwortlichen für ihre datenschutzrechtlichen Pflichten zu sensibilisieren (Art 57 Abs 1 lit d DSGVO).

Sie hat ebenfalls Untersuchungsbefugnisse in Datenschutzangelegenheiten. Dazu müssen die Verantwortlichen die betreffenden Informationen bereitstellen. Die Mitarbeiter der Datenschutzbehörde dürfen Datenschutzprüfungen vor Ort durchführen. Dabei ist der Zugang zu den Daten und Geschäftsräumen zu gewährleisten.


Meldung bzw. Benachrichtigung betreffend Verletzungen der Datensicherheit

Bei einer Verletzung des Schutzes personenbezogener Daten sieht die DSGVO die Pflicht des Verantwortlichen unverzüglich, jedenfalls aber binnen 72 Stunden eine Meldung an die zuständige Datenschutzbehörde vor (Art 33 DSGVO). Eine Meldepflicht besteht, wenn einer voraussichtlich mit Risiken für Betroffenenrechte behafteten Verletzung der Datensicherheit zu rechnen ist. Zu denken ist an einen Datendiebstahl durch Eindringen in Computersysteme oder einen Datenverlust. Eine Meldung an die Aufsichtsbehörde darf unterlassen werden, sofern ein Risiko für Rechte und Freiheiten von Betroffenen unwahrscheinlich ist. Die Meldung hat die Beschreibung der Sicherheitsverletzung, Anzahl der Betroffenen bzw. der Datensätze, die Kontaktdaten der Anlaufstelle, die Beschreibung der wahrscheinlichen Folgen und der möglichen Gegenmaßnahmen zu enthalten.


Datenschutzfolgenabschätzung

Eine Datenschutzfolgenabschätzung gemäß Art 35 DSGVO ist vorab vom Verantwortlichen durchzuführen, wenn eine Verarbeitung aufgrund der Art, des Umfangs, der Umstände und Zwecke ein voraussichtlich hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen zur Folge hätte. Das Unternehmen sollte die Eintrittswahrscheinlichkeit und Schwere des möglichen Risikos bewerten. Weiters sollten geeignete Maßnahmen, Garantien und Verfahren geprüft werden, um bestehende Risiken einzudämmen und verordnungskonform zu verarbeiten.


Konsultationsverfahren mit der Datenschutzbehörde

Wenn die Datenschutzfolgenabschätzung im Ergebnis dazu führt, dass eine Datenverarbeitung ohne Maßnahme ein hohes Risiko ergibt und nicht im Einklang mit der DSGVO stünde, so muss die Datenschutzbehörde verständigt werden. Das heißt, der Verantwortliche ist verpflichtet vor Beginn einer Verarbeitung die Datenschutzbehörde um Rat zu fragen, ob das Risiko ausreichend ermittelt wurde bzw. geeignete Maßnahmen vorgesehen sind. Im Zuge des Konsultationsverfahren muss der Verantwortliche der Behörde eine entsprechende Dokumentation über die geplante Verarbeitung zur Verfügung stellen. Durch die Datenschutzbehörde erfolgt binnen acht Wochen ein schriftlicher Rat, ob die vom Verantwortlichen vorgesehenen Maßnahmen zur Risikoeindämmung ausreichen oder ergänzende Vorkehrungen oder Modifikationen zu treffen sind.

Die Datenschutzbehörde hat eine Liste der Verarbeitungsvorgänge als Orientierungshilfe zu erstellen und zu veröffentlichen, für die eine Datenschutzfolgen-Abschätzung durchzuführen ist.


Datensicherheit gewährleisten

Der Verantwortliche muss durch geeignete technische und organisatorische Maßnahmen ein angemessenes Daten-Schutzniveau gewährleisten. Die Nachweispflicht der Datenschutz-Konformität kann im Zuge der Zusammenarbeit mit der Datenschutzbehörde auf Basis genehmigter Verhaltensregeln (Art 40 DSGVO) oder aufgrund genehmigter Zertifizierungsverfahrens (Art 42 DSGVO) nachgewiesen werden.

Unternehmen mit verpflichtenden Datenschutzbeauftragten im Sinne des Art 37 DSGVO müssen die Kontaktdaten des Datenschutzbeauftragten veröffentlichen und die Datenschutzbehörde unterrichten.

Der Datenschutzbeauftragte ist eine Person, die innerhalb einer Organisation für den Datenschutz verantwortlich ist. Er muss die Einhaltung der Datenschutzvorschriften gewährleisten, insbesondere betreffend die Verarbeitung personenbezogener Daten.


Rechte der Betroffenen gegenüber der Datenschutzbehörde

Die Datenschutzbehörde muss Informationen über Betroffenenrechte zur Verfügung stellen.
Die Prüfung einer Verletzung der Betroffenenrechte kann im Zuge eines Beschwerderechts durch die Datenschutzbehörde verlangt werden. Gemäß Art 77 DSGVO hat jede betroffene Person das Recht auf Beschwerde, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt. Nach der Befassung und Untersuchung der Beschwerde informiert die Datenschutzbehörde den Betroffenen über den Stand und die Ergebnisse der Rechtssache.

Für den Betroffenen erfolgt die Erfüllung der Aufgaben durch die Datenschutzbehörde kostenlos. Die Datenschutzbehörde darf gemäß Art 57 Abs 4 nur bei offenkundig unbegründeten oder exzessiven Anfragen eine angemessene Gebühr verlangen oder sich weigern, tätig zu werden. Hier trägt die Behörde die Beweislast.


Hohe Geldstrafen und Schadenersatzklagen drohen

Bei Verstoßen gegen die genannten Pflichten des Verantwortlichen können bis zu 4% des letzten weltweiten Jahresumsatzes oder bei Unternehmen bis zu 20 Mio. Euro als höchste Geldstrafe drohen (Art 83 DSGVO). Neben der Geldstrafe können auch für materielle und immaterielle Schäden der Betroffenen Schadenersatzklagen geltend gemacht werden (Art 82 DSGVO).

mehr --> Wichtige Datenschutzorganisationen

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungsservice angeboten. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixabay, Shutterstock, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2025 Information gemäß DSGVO webmaster