Aufgaben der Aufsichtsbehörde
Die Aufgaben der Aufsichtsbehörden für den Datenschutz sind in Art. 57 DSGVO in einem umfangreichen Katalog beschrieben. Die Aufgaben lassen sich in Prüf- und Überwachungsaufgaben, Informations-, Aufklärungs- und Beratungsaufgaben, Zusammenarbeit mit anderen Aufsichtsbehörden sowie Annahme und Untersuchung von Beschwerden gliedern. Darüber hinaus haben die Aufsichtsbehörden eine Reihe weiterer spezifizierter Aufgaben wahrzunehmen.
Prüf- und Überwachungsaufgaben
Die Aufsichtsbehörden haben die Anwendung dieser Verordnung zu überwachen und durchzusetzen. Dazu stehen den Aufsichtsbehörden Prüfrechte und Zwangsmittel zur Verfügung.
Informations-, Aufklärungs- und Beratungsaufgaben
Die Aufsichtsbehörden haben
- „die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung zu sensibilisieren und sie darüber aufzuklären. Besondere Beachtung finden dabei spezifische Maßnahmen für Kinder;
- im Einklang mit dem Recht des Mitgliedstaats das nationale Parlament, die Regierung und andere Einrichtungen und Gremien über legislative und administrative Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung zu beraten;
- die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus dieser Verordnung entstehenden Pflichten zu sensibilisieren;
- auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte aufgrund dieser Verordnung zur Verfügung zu stellen und gegebenenfalls zu diesem Zweck mit den Aufsichtsbehörden in anderen Mitgliedstaaten zusammenzuarbeiten;“
Zusammenarbeit mit anderen Aufsichtsbehörden
Die Aufsichtsbehörden haben mit anderen Aufsichtsbehörden zusammenzuarbeiten, auch durch Informationsaustausch, und ihnen Amtshilfe zu leisten, um die einheitliche Anwendung und Durchsetzung dieser Verordnung zu gewährleisten.
Annahme und Untersuchung von Beschwerden
Die Aufsichtsbehörden haben sich
„… mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gem. Art. 80 DSGVO zu befassen, den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung zu unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist.“
Unbeschadet dieser Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet weitere Aufgaben wahrnehmen, und zwar:
1. „Untersuchungen über die Anwendung dieser Verordnung durchführen, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen Behörde;
2. maßgebliche Entwicklungen verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie und der Geschäftspraktiken;
3. Standardvertragsklauseln im Sinne des Artikels 28 Absatz 8 DSGVO und des Artikels 46 Absatz 2 Buchstabe d DSGVO festlegen;
4. eine Liste der Verarbeitungsarten erstellen und führen, für die gem. Artikel 35 Absatz 4 DSGVO eine Datenschutz-Folgenabschätzung durchzuführen ist;
5. Beratung in Bezug auf die in Artikel 36 Absatz 2 DSGVO genannten Verarbeitungsvorgänge leisten;
6. die Ausarbeitung von Verhaltensregeln gem. Artikel 40 DSGVO fördern und zu diesen Verhaltensregeln, die ausreichende Garantien im Sinne des Artikels 40 Absatz 5 DSGVO bieten müssen, Stellungnahmen abgeben und sie billigen;
7. die Einführung von Datenschutzzertifizierungsmechanismen und von Datenschutzsiegeln und -prüfzeichen nach Artikel 42 Absatz 1 DSGVO anregen und Zertifizierungskriterien nach Artikel 42 Absatz 5 DSGVO billigen;
8. gegebenenfalls die nach Artikel 42 Absatz 7 DSGVO erteilten Zertifizierungen regelmäßig überprüfen;
9. die Kriterien für die Akkreditierung einer Stelle für die Überwachung der Einhaltung der Verhaltensregeln gem. Artikel 41 DSGVO und einer Zertifizierungsstelle gem. Artikel 43 DSGVO abfassen und veröffentlichen;
10. die Akkreditierung einer Stelle für die Überwachung der Einhaltung der Verhaltensregeln gem. Artikel 41 DSGVO und einer Zertifizierungsstelle gemäß Artikel 43 DSGVO vornehmen;
11. Vertragsklauseln und Bestimmungen im Sinne des Artikels 46 Absatz 3 DSGVO genehmigen;
12. verbindliche interne Vorschriften gem. Artikel 47 DSGVO genehmigen;
13. Beiträge zur Tätigkeit des Ausschusses leisten;
14. interne Verzeichnisse über Verstöße gegen diese Verordnung führen und gem. Artikel 58 Absatz 2 DSGVO ergriffene Maßnahmen und
15. jede sonstige Aufgabe im Zusammenhang mit dem Schutz personenbezogener Daten erfüllen.“
Um die Einreichung von Beschwerden zu erleichtern, hat jede Aufsichtsbehörde gem. Art. 57 Abs. 2 DSGVO ein Beschwerdeformular anzubieten, das auch elektronisch ausgefüllt werden kann. Andere Kommunikationsmittel dürfen dadurch nicht ausgeschlossen werden.
Die Erfüllung der Aufgaben jeder Aufsichtsbehörde ist für die betroffene Person und gegebenenfalls für den Datenschutzbeauftragten unentgeltlich, lediglich bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen kann die Aufsichtsbehörde eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund des Antrags tätig zu werden. In diesem Fall trägt die Aufsichtsbehörde die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter des Antrags (Art. 57 Abs. 3 und 4 DSGVO).