Befugnisse der Aufsichtsbehörden

Art. 58 DSGVO unterscheidet in den Absätzen 1, 2 und 3 nach Untersuchungsbefugnissen, Abhilfebefugnissen und Genehmigungs- und Beratungsbefugnissen. Zusätzlich zu diesen Befugnissen räumt Art. 58 Abs. 6 DSGVO den Mitgliedstaaten das Recht ein, durch Rechtsvorschriften weitere Befugnisse vorzusehen. Des Weiteren schreibt Art. 58 Abs. 5 DSGVO vor, dass die Mitgliedstaaten durch Rechtsvorschriften bei Rechtsverstößen gegen die DSGVO für die Aufsichtsbehörden die Möglichkeit vorsehen, Verstöße den Justizbehörden zur Kenntnis zu bringen und ggf. eine Klagemöglichkeit zu schaffen. Damit ist sicherzustellen, dass die Aufsichtsbehörden Anzeigen erheben, Klagen einreichen oder sich an Klageverfahren beteiligen können.

Untersuchungsbefugnisse

Die Untersuchungsbefugnisse regeln die Rechte und Befugnisse der Aufsichtsbehörden bei der Durchführung von Untersuchungen und aufsichtlichen Prüfungen. Anlass für derartige Prüfungen und Untersuchungen können geplante Stichproben, Presseveröffentlichungen, Anfragen oder Beschwerden von Betroffenen, Mitteilungen von anderen Behörden u. a. sein. Grundsätzlich entscheiden die Aufsichtsbehörden nach ihrem Ermessen über die Art und Weise ihres Tätigwerdens und können auch anlassunabhängige Prüfungen durchführen. Gegenstand dieser Kontrollen ist die Prüfung, ob überhaupt ein Datenschutzverstoß durch den Verantwortlichen vorliegt. Die Aufsichtsbehörden sind in der Wahl ihrer Kontrollmaßnahmen (Anforderung von schriftlichen Auskünften und Unterlagen, Kontrollen vor Ort, Einsichtnahme in Unterlagen des zu prüfenden Unternehmens, Befragung von Beschäftigten etc.) grundsätzlich frei, sie haben aber bei ihrer Tätigkeit allgemeine rechtsstaatliche Grundsätze zu beachten. Kontrollen dürfen z. B. nicht willkürlich sein und bei gleichartigen Unternehmen müssen die Aufsichtsbehörden den Gleichheitsgrundsatz beachten, d. h., gleiche Fälle dürfen nicht nach ungleichen Grundsätzen behandelt werden.

Gemäß Art. 58 Abs. 1 DSGVO verfügt jede Aufsichtsbehörde über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten,

„a) den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind,

b) Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen,

c) eine Überprüfung der nach Artikel 42 Absatz 7 DSGVO erteilten Zertifizierungen durchzuführen,

d) den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen diese Verordnung hinzuweisen,

e) von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, zu erhalten,

f) gemäß dem Verfahrensrecht der Union oder dem Verfahrensrecht des Mitgliedstaats Zugang zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten.“

Gemäß Art. 90 Abs. 1 DSGVO können die Mitgliedstaaten die Befugnisse der Aufsichtsbehörden im Sinne des Artikels 58 Absatz 1 Buchstaben e und f DSGVO gegenüber den Verantwortlichen oder den Auftragsverarbeitern, die nach Unionsrecht oder dem Recht der Mitgliedstaaten oder nach einer von den zuständigen nationalen Stellen erlassenen Verpflichtung dem Berufsgeheimnis oder einer gleichwertigen Geheimhaltungspflicht unterliegen, regeln, soweit dies notwendig und verhältnismäßig ist, um das Recht auf Schutz der personenbezogenen Daten mit der Pflicht zur Geheimhaltung in Einklang zu bringen. Diese Vorschriften gelten nur in Bezug auf personenbezogene Daten, die der Verantwortliche oder der Auftragsverarbeiter bei einer Tätigkeit erlangt oder erhoben hat, die einer solchen Geheimhaltungspflicht unterliegen.

Danach können die Mitgliedstaaten durch Rechtsvorschriften konkretisierende bzw. zusätzliche Regelungen zum Schutz von personenbezogenen Daten treffen, die einem Berufsgeheimnis oder anderen gleichwertigen Geheimhaltungspflichten unterliegen, soweit dies notwendig ist, um die Befugnisse der Aufsichtsbehörden mit der Pflicht zur Wahrung des Berufsgeheimnisses in Einklang zu bringen.

Gemäß § 40 Abs. 4 BDSG haben die der Aufsicht unterliegenden Stellen sowie die mit deren Leitung beauftragten Personen einer Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte zu erteilen. Die Anforderung von Auskünften kann in Form eines Verwaltungsakts geschehen, muss aber dann auch den formellen Anforderungen eines Verwaltungsakts entsprechen. Die Anforderung muss dann eine Auskunftsverpflichtung zum Ausdruck bringen, mit einer Rechtgrundlage und i. d. R. auch mit einer Frist und einer Rechtsbehelfsbelehrung versehen sein. Die Aufsichtsbehörde kann die Erteilung von derart angeforderten Auskünften auch mit Zwangsmaßnahmen durchsetzen. So hat das VG Mainz mit Urteil von 09. Mai 2019 Az.: 1 K 760/18.MZ wie folgt entschieden:

„1. Den zuständigen datenschutzrechtlichen Aufsichtsbehörden (hier: Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz) steht gegenüber nichtöffentlichen Stellen gemäß Art. 58 Abs. 1 lit. a DS-GVO (juris: EUV 2016/679) ein Auskunftsanspruch zu, dem der datenschutzrechtlich Verantwortliche grundsätzlich nachkommen muss.

2. Ein solches Auskunftsverlangen kann in Form eines Verwaltungsakts geltend gemacht werden, wobei die darin enthaltene Handlungsaufforderung mit Zwangsmitteln durchgesetzt werden kann (hier: Festsetzung eines Zwangsgeldes in Höhe von 5.000,00 € wegen Nichtbeantwortung eines Fragenkatalogs zu der in einem erotischen Tanzlokal eingesetzten Videoüberwachungstechnik).“

Davon zu unterscheiden sind allgemein Erhebungen und Umfragen, die im Rahmen eines schlichten Verwaltungshandelns sog. Realakte darstellen.

Der Auskunftspflichtige kann die Auskunft auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen der in § 383 Abs. 1 Nr. 1 bis 3 der Zivilprozessordnung bezeichneten Angehörigen der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde. Dazu gehören Verlobte, Ehegatte oder Lebenspartner – auch wenn die Ehe oder die Lebenspartnerschaft nicht mehr besteht – und bis zum dritten Grad verwandte oder bis zum zweiten Grad verschwägerte Personen. Die Aufsichtsbehörden müssen den Auskunftspflichtigen auf dieses Auskunftsverweigerungsrecht hinweisen. Eine der bisherigen Regelung des § 38 Abs. 3 BDSG a. F. entsprechende Verpflichtung der Verantwortlichen zur unverzüglichen Erteilung der Auskunftserteilung findet sich in der DSGVO so nicht mehr. Dies ist allerdings nicht mit einer Rechtsänderung verbunden. Unverzüglich bedeutet gem. § 121 Abs. 1 BGB ohne schuldhaftes Zögern, d. h., die Anfrage ist innerhalb einer angemessenen Prüfungs- und Vorbereitungszeit zu beantworten. Dem Unternehmen steht also für die Beantwortung der Anfrage eine vom Einzelfall abhängige individuelle und angemessene Vorbereitungszeit und Überlegungsfrist zu. Dies schließt auch Zeit für die Zuziehung externer Unterstützung, z. B. eines Beraters für Datenschutzfragen, eines Anwalts oder eines technischen Sachverständigen zur Klärung bestimmter technischer Fragen, mit ein. Der Auskunftspflichtige ist darauf hinzuweisen.

§ 40 Abs.5 BDSG enthält für die von einer Aufsichtsbehörde mit der Überwachung der Einhaltung der Vorschriften über den Datenschutz beauftragten Personen die Befugnis, zur Erfüllung ihrer Aufgaben Grundstücke und Geschäftsräume der Stelle zu betreten und Zugang zu allen Datenverarbeitungsanlagen und -geräten zu erhalten. Die Stelle ist insoweit zur Duldung verpflichtet.

Privaträume dürfen aber von den Aufsichtsbehörden zu Kontrollzwecken nicht betreten werden, allerdings kann die Aufsichtsbehörde bei Verdacht auf Straftaten die Staatsanwaltschaft einschalten. Diese hat nach den Vorschriften der Strafprozessordnung weitergehende Möglichkeiten. Ebenso auch die Ordnungsbehörde nach Einleitung eines Ordnungswidrigkeitenverfahrens.

§ 40 Abs. 3 BDSG bestimmt, dass die Aufsichtsbehörde die von ihr gespeicherten Daten nur für Zwecke der Aufsicht verarbeiten darf. Sie darf hierbei Daten auch an andere Aufsichtsbehörden übermitteln. Eine Verarbeitung zu einem anderen Zweck ist über Art. 6 Abs. 4 der Verordnung (EU) 2016/679 (Anm.: DSGVO) hinaus zulässig, wenn

„1. offensichtlich ist, dass sie im Interesse der betroffenen Person liegt und kein Grund zu der Annahme besteht, dass sie in Kenntnis des anderen Zwecks ihre Einwilligung verweigern würde,

2. sie zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer Gefahr für die öffentliche Sicherheit oder zur Wahrung erheblicher Belange des Gemeinwohls erforderlich ist, oder

3. sie zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Absatz 1 Nummer 8 des Strafgesetzbuchs oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Geldbußen erforderlich ist.“

Daten, die die Aufsichtsbehörden im Zusammenhang mit ihrer Prüftätigkeit zur Kenntnis nehmen und ggf. auch speichern, unterliegen dem Amtsgeheimnis. Diesem Amtsgeheimnis entspricht das Dienstgeheimnis, das von den Beschäftigten der Aufsichtsbehörden zu wahren ist. Verletzungen dieser Geheimhaltungspflichten unterliegen der Strafbarkeit gem. § 353b StGB.

Wenn die Aufsichtsbehörde einen Verstoß gegen die Vorschriften über den Datenschutz feststellt, ist sie befugt, die betroffenen Personen hierüber zu unterrichten, den Verstoß anderen für die Verfolgung oder Ahndung zuständigen Stellen anzuzeigen sowie bei schwerwiegenden Verstößen die Gewerbeaufsichtsbehörde zur Durchführung gewerberechtlicher Maßnahmen zu unterrichten.

Die Aufsichtsbehörden können wie bisher auch die Abberufung der oder des Datenschutzbeauftragten verlangen, wenn sie oder er die zur Erfüllung ihrer oder seiner Aufgaben erforderliche Fachkunde nicht besitzt oder im Fall des Artikels 38 Absatz 6 DSGVO ein schwerwiegender Interessenkonflikt vorliegt.

Diese Regelungen entsprechen weitgehend den bisherigen Regelungen. Gewerberechtliche und datenschutzrechtliche Maßnahmen können dabei unabhängig voneinander und parallel durchgeführt werden. So kann z. B. die Gewerbeaufsichtsbehörde gem. § 35 GewO die Ausübung des Gewerbes ganz oder teilweise untersagen, wenn Tatsachen vorliegen, die die Unzuverlässigkeit des Gewerbetreibenden oder einer mit der Leitung des Gewerbebetriebs beauftragten Person in Bezug auf dieses Gewerbe dartun, sofern die Untersagung zum Schutz der Allgemeinheit oder der im Betrieb Beschäftigten erforderlich ist.

Abhilfebefugnisse

Gemäß Art. 58 Abs. 2 DSGVO verfügt jede Aufsichtsbehörde über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,

„a) einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,

b) einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,

c) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,

d) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,

e) den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person entsprechend zu benachrichtigen,

f) eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen,

g) die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung gemäß den Artikeln 16, 17 und 18 DSGVO und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 17 Absatz 2 und Artikel 19 DSGVO offengelegt wurden, über solche Maßnahmen anzuordnen,

h) eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle anzuweisen, eine gemäß den Artikeln 42 und 43 erteilte Zertifizierung zu widerrufen, oder die Zertifizierungsstelle anzuweisen, keine Zertifizierung zu erteilen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden,

i) eine Geldbuße gem. Artikel 83 DSGVO zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,

j) die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anzuordnen.“

Damit steht den Aufsichtsbehörden ein abgestufter und aufeinander aufbauender Katalog von Maßnahmen zur Verfügung, um die Beachtung der Vorschriften der DSGVO durchzusetzen. Als mildestes Mittel kann die Aufsichtsbehörde eine Warnung aussprechen, wenn beabsichtigte Datenverarbeitungsvorgänge voraussichtlich gegen Vorschriften der DSGVO verstoßen. Mit dieser Maßnahme stellt die Aufsichtsbehörde noch nicht rechtswirksam fest, dass ein Verstoß gegen Datenschutzvorschriften vorliegt, sondern äußert eine Vermutung, dass nach dem Stand der Prüfung zum Zeitpunkt dieser Maßnahme ein Verstoß vermutet wird. Diese Maßnahme kann sowohl laufende als auch beabsichtigte Datenverarbeitungsvorgänge, also z. B. Datenverarbeitungsverfahren, die sich noch nicht im Betrieb befinden, betreffen. Die Warnung soll den Verantwortlichen auf datenschutzrechtliche Probleme des Verarbeitungsverfahrens aufmerksam machen und zu einer entsprechend sorgfältigen Prüfung und Einrichtung geeigneter Maßnahmen veranlassen. Die Warnung ist deshalb auch nicht mit Sanktionen oder Auflagen verbunden. Allerdings kann die Nichtbeachtung der Warnung im Falle einer späteren Bußgeldverhängung gem. Art. 83 Abs. 2i DSGVO neben anderen Kriterien bei der Bemessung erschwerend berücksichtigt werden und zu einem höheren Bußgeld führen.

Wenn ein Verarbeitungsverfahren gegen datenschutzrechtliche Vorschriften verstößt, muss die Aufsichtsbehörde zunächst nach einer Überprüfung das Bestehen eines Datenschutzverstoßes feststellen. Diese Feststellung kann in einer gesonderten Information oder im Rahmen einer weiteren Maßnahme nach Art. 58 DSGVO erfolgen.

Je nach den Umständen des Einzelfalls und der Schwere einer bereits eingetretenen Datenschutzverletzung kann die Aufsichtsbehörde eine Verwarnung aussprechen, im Rahmen eines Eskalationsverfahrens weitere Maßnahmen nach Art. 58 DSGVO anordnen und zusätzlich oder anstelle einer Maßnahme nach Art. 58 DSGVO gem. Art. 83 Abs. 4 oder 5 DSGVO ein Bußgeld verhängen. Neben Sanktionen wie einer Verwarnung oder der Verhängung eines Bußgeldes kann danach die Aufsichtsbehörde die in Art. 58 Abs. 2 DSGVO genannten Anordnungen und Auflagen erteilen. Dies bedeutet, dass die Aufsichtsbehörden ein Tun (z. B. gem. Art. 58 Abs. 2c, d, e, und g DSGVO) oder ein Unterlassen (z. B. gem. Art. 58 Abs. 2f und j DSGVO) vorschreiben oder eine Zertifizierung widerrufen können.

EG 129 führt dazu aus:

„… Die Befugnisse der Aufsichtsbehörden sollten in Übereinstimmung mit den geeigneten Verfahrensgarantien nach dem Unionsrecht und dem Recht der Mitgliedstaaten unparteiisch, gerecht und innerhalb einer angemessenen Frist ausgeübt werden. Insbesondere sollte jede Maßnahme im Hinblick auf die Gewährleistung der Einhaltung dieser Verordnung geeignet, erforderlich und verhältnismäßig sein, wobei die Umstände des jeweiligen Einzelfalls zu berücksichtigen sind, das Recht einer jeden Person, gehört zu werden, bevor eine individuelle Maßnahme getroffen wird, die nachteilige Auswirkungen auf diese Person hätte, zu achten ist und überflüssige Kosten und übermäßige Unannehmlichkeiten für die Betroffenen zu vermeiden sind. (… ) Jede rechtsverbindliche Maßnahme der Aufsichtsbehörde sollte schriftlich erlassen werden und sie sollte klar und eindeutig sein; die Aufsichtsbehörde, die die Maßnahme erlassen hat, und das Datum, an dem die Maßnahme erlassen wurde, sollten angegeben werden und die Maßnahme sollte vom Leiter oder von einem von ihm bevollmächtigen Mitglied der Aufsichtsbehörde unterschrieben sein und eine Begründung für die Maßnahme sowie einen Hinweis auf das Recht auf einen wirksamen Rechtsbehelf enthalten. Dies sollte zusätzliche Anforderungen nach dem Verfahrensrecht der Mitgliedstaaten nicht ausschließen. Der Erlass eines rechtsverbindlichen Beschlusses setzt voraus, dass er in dem Mitgliedstaat der Aufsichtsbehörde, die den Beschluss erlassen hat, gerichtlich überprüft werden kann.“

Art. 78 Abs. 1 DSGVO bestimmt zwar, dass jede natürliche oder juristische Person unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde hat, regelt aber das weitere Verfahren nicht.

EG 143 konkretisiert dazu wie folgt:

„… sollte jede natürliche oder juristische Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf bei dem zuständigen einzelstaatlichen Gericht gegen einen Beschluss einer Aufsichtsbehörde haben, der gegenüber dieser Person Rechtswirkungen entfaltet. Ein derartiger Beschluss betrifft insbesondere die Ausübung von Untersuchungs-, Abhilfe- und Genehmigungsbefugnissen durch die Aufsichtsbehörde oder die Ablehnung oder Abweisung von Beschwerden. Das Recht auf einen wirksamen gerichtlichen Rechtsbehelf umfasst jedoch nicht rechtlich nicht bindende Maßnahmen der Aufsichtsbehörden wie von ihr abgegebene Stellungnahmen oder Empfehlungen. Verfahren gegen eine Aufsichtsbehörde sollten bei den Gerichten des Mitgliedstaats angestrengt werden, in dem die Aufsichtsbehörde ihren Sitz hat, und sollten im Einklang mit dem Verfahrensrecht dieses Mitgliedstaats durchgeführt werden. Diese Gerichte sollten eine uneingeschränkte Zuständigkeit besitzen, was die Zuständigkeit, sämtliche für den bei ihnen anhängigen Rechtsstreit maßgebliche Sach- und Rechtsfragen zu prüfen, einschließt. Wurde eine Beschwerde von einer Aufsichtsbehörde abgelehnt oder abgewiesen, kann der Beschwerdeführer Klage bei den Gerichten desselben Mitgliedstaats erheben.“

Auflagen oder Anordnungen der Aufsichtsbehörden sind überwiegend Verwaltungsakte i. S. v. § 35 S. 1 Verwaltungsverfahrensgesetz (VwVFG), und Streitigkeiten im Zusammenhang damit sind öffentlich-rechtliche Streitigkeiten. Die Frage, ob eine öffentlich-rechtliche Streitigkeit vorliegt, ist für die Bestimmung des Rechtsweges von Bedeutung. Bei Auflagen und Anordnungen ist der Rechtsweg zu den Gerichten der Verwaltungsgerichtsbarkeit gegeben.

Der Verwaltungsakt ist nach § 35 VwVFG von folgenden Kriterien gekennzeichnet:

• Es muss sich um eine Regelung, Verfügung, Entscheidung oder andere hoheitliche Maßnahme einer Behörde handeln, z. B. um eine Anweisung nach Art. 58 Abs.2 DSGVO.
• Die Regelung muss einen Einzelfall, also einen bestimmten Sachverhalt, z. B. einen bestimmten Datenschutzverstoß feststellen und betreffen.
• Es muss sich um eine Regelung auf dem Gebiet des öffentlichen Rechts, z. B. des Datenschutzrechts, handeln.
• Die Regelung muss auf eine unmittelbare Rechtswirkung nach außen gerichtet sein, d. h. an eine Stelle außerhalb der Behörde, z. B. an einen Verantwortlichen oder Auftragsverarbeiter, gerichtet sein.
• Die Regelung muss sich an eine bestimmte Person oder an einen bestimmten Personenkreis richten.

Umstritten ist die Frage, ob es sich bei der Warnung um einen Verwaltungsakt handelt, weil der Warnung die Regelungswirkung fehlt.

Genehmigungs- und Beratungsbefugnisse

Jede Aufsichtsbehörde verfügt gem. Art. 58 Abs. 3 DSGVO über sämtliche folgenden Genehmigungsbefugnisse und beratende Befugnisse, die es ihr gestatten,

„a) gemäß dem Verfahren der vorherigen Konsultation nach Artikel 36 DSGVO den Verantwortlichen zu beraten,

b) zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Anfrage Stellungnahmen an das nationale Parlament, die Regierung des Mitgliedstaats oder im Einklang mit dem Recht des Mitgliedstaats an sonstige Einrichtungen und Stellen sowie an die Öffentlichkeit zu richten,

c) die Verarbeitung gemäß Artikel 36 Absatz 5 DSGVO zu genehmigen, falls im Recht des Mitgliedstaats eine derartige vorherige Genehmigung verlangt wird,

d) eine Stellungnahme abzugeben und Entwürfe von Verhaltensregeln gemäß Artikel 40 Absatz 5 DSGVO zu billigen,

e) Zertifizierungsstellen gemäß Artikel 43 DSGVO zu akkreditieren,

f) im Einklang mit Artikel 42 Absatz 5 DSGVO Zertifizierungen zu erteilen und Kriterien für die Zertifizierung zu billigen,

g) Standarddatenschutzklauseln nach Artikel 28 Absatz 8 und Artikel 46 Absatz 2 Buchstabe d DSGVO festzulegen,

h) Vertragsklauseln gemäß Artikel 46 Absatz 3 Buchstabe a DSGVO zu genehmigen,

i) Verwaltungsvereinbarungen gemäß Artikel 46 Absatz 3 Buchstabe b DSGVO zu genehmigen,

j) verbindliche interne Vorschriften gemäß Artikel 47 DSGVO zu genehmigen.“

Gemäß § 40 Abs. 6 Satz 1 BDSG beraten und unterstützen die Aufsichtsbehörden die Datenschutzbeauftragten mit Rücksicht auf deren typische Bedürfnisse.

§ 38 Abs.1 S. 2 BDSG a. F. hat ausdrücklich eine Beratung und Unterstützung der Beauftragten für den Datenschutz und der verantwortlichen Stellen, und zwar mit Rücksicht auf deren typische Bedürfnisse, vorgesehen. Eine derartige Beratungspflicht der Verantwortlichen ist in der DSGVO nicht mehr vorgesehen. Vorgesehen ist eine Beratung der Verantwortlichen gem. Art. 58 Abs. 3 lit. a DSGVO nur noch, wenn ein Verantwortlicher nach Art. 36 Abs. 1 DSGVO die Aufsichtsbehörde konsultiert, wenn aus einer Datenschutzfolgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft. In Art. 36 Abs. 2 DSGVO ist dazu ein Verfahren geregelt, nach dem die Aufsichtsbehörde, falls sie der Auffassung ist, dass die geplante Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat, dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von bis zu acht Wochen nach Erhalt des Ersuchens um Konsultation entsprechende schriftliche Empfehlungen geben und ihre in Art. 58 DSGVO genannten Befugnisse ausüben kann. Eine weitergehende Beratung der Verantwortlichen ist in der DSGVO nicht mehr vorgesehen. Lediglich § 40 Abs. 6 BDSG schreibt vor, dass die Aufsichtsbehörden die Datenschutzbeauftragten (nicht aber die Verantwortlichen) mit Rücksicht auf deren typische Bedürfnisse beraten und unterstützen. Datenschutzbeauftragte können sich auf dieser Rechtsgrundlage weiter ratsuchend an ihre Aufsichtsbehörde wenden.