Jeder Mitgliedstaat muss mindestens eine unabhängige Behörde (Aufsichtsbehörde) vorsehen, die für die Überwachung der einheitlichen Anwendung der Datenschutzgesetze zuständig ist. Dies dient dem Schutz der Grundrechte und -freiheiten des Einzelnen bei der Verarbeitung und erleichtert den freien Verkehr personenbezogener Daten in der EU. Um die Ziele zu erreichen, müssen alle Aufsichtsbehörden in den jeweiligen Ländern miteinander und mit der Kommission zusammenarbeiten.
Aufsichtsbehörden werden durch nationale Gesetzgebung ernannt, so dass ihre Befugnisse auf das Gebiet ihrer MS beschränkt sind. Nach dem Grundsatz der einzigen Anlaufstelle können sich die Befugnisse der Aufsichtsbehörde jedoch auf die Verarbeitung in einem anderen EU-Land erstrecken.
WP29 bietet weitere Informationen unter: http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp244_de_40857.pdf
Die Liste aller nationalen Aufsichtsbehörden finden Sie unter: http://ec.europa.eu/justice/data-protection/article-29/structure/data-protection-authorities/index_en.htm
Befugnisse der Aufsichtsbehörde
Die Aufsichtsbehörde kann Verantwortliche und Verarbeiter (und/oder deren Vertreter) anweisen, alle Informationen zur Verfügung zu stellen, die sie zur Erfüllung ihrer Aufgaben benötigt. Die Behörde kann auch Untersuchungen in Form von Datenschutzaudits oder einer Überprüfung von Zertifizierungen durchführen. Darüber hinaus ist die Aufsichtsbehörde befugt, den Verantwortlichen/Verarbeiter über einen angeblichen DSGVO-Verstoß zu informieren. Die Aufsichtsbehörde ist berechtigt, nicht nur Zugang zu allen personenbezogenen Daten und Informationen, die für die Erfüllung ihrer Aufgaben erforderlich sind, sondern auch Zugang zu allen Räumlichkeiten des Verantwortlichen und des Verarbeiters zu erhalten, einschließlich aller Datenverarbeitungsgeräte und -mittel.
Wenn die Tätigkeit des Verantwortlichen oder Verarbeiters gegen die DSGVO verstoßen hat, kann die Aufsichtsbehörde Verwarnungen, Abmahnungen und Anordnungen erlassen, um den Anfragen der betroffenen Person nachzukommen, ihre Rechte aus der DSGVO auszuüben oder die Verarbeitung in Übereinstimmung mit der DSGVO zu bringen, sowie der betroffenen Person einen Datenschutzverstoß mitzuteilen. Die Aufsichtsbehörde kann auch eine vorübergehende/endgültige Beschränkung, einschließlich eines Verbots der Verarbeitung, vorschreiben und die Berichtigung/Löschung personenbezogener Daten oder die Beschränkung der Verarbeitung und die Benachrichtigung der Empfänger, denen die Daten mitgeteilt wurden, anordnen. Die Aufsichtsbehörde ist befugt, eine Zertifizierung zurückzuziehen, eine Geldstrafe zu verhängen oder die Aussetzung der Datenflüsse an einen Empfänger in einem Drittland bzw. an ein internationales Unternehmen anzuordnen.
Darüber hinaus umfassen die Genehmigungs- und Beratungsbefugnisse der Aufsichtsbehörde:
- Beratung des Verantwortlichen gemäß der vorherigen Konsultation
- Abgabe von Stellungnahmen an das nationale Parlament, die Regierungen der Mitgliedstaaten oder andere Organe und Einrichtungen sowie an die Öffentlichkeit zu allen Fragen im Zusammenhang mit dem Schutz personenbezogener Daten
- vorherige Genehmigung ( 36 Abs. 5 DSGVO)
- Abgabe einer Stellungnahme und Genehmigung von Entwürfen für Verhaltenskodizes
- Akkreditierung von Zertifizierungsstellen
- Ausstellung von Zertifizierungen und Genehmigungskriterien für Zertifizierungen
- Einführung von Standardklauseln zum Datenschutz
- Genehmigung von Vertragsklauseln
- Genehmigung von Verwaltungsvereinbarungen
- Genehmigung verbindlicher Unternehmensregeln
