Artikel 57 EU-DSGVO: Aufgaben
- Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet
- die Anwendung dieser Verordnung überwachen und durchsetzen;
- die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung sensibilisieren und sie darüber aufklären. Besondere Beachtung finden dabei spezifische Maßnahmen für Kinder;
- im Einklang mit dem Recht des Mitgliedsstaats das nationale Parlament, die Regierung und andere Einrichtungen und Gremien über legislative und administrative Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung beraten;
- die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus dieser Verordnung entstehenden Pflichten sensibilisieren;
- auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte aufgrund dieser Verordnung zur Verfügung stellen und gegebenenfalls zu diesem Zweck mit den Aufsichtsbehörden in anderen Mitgliedstaaten zusammenarbeiten;
- sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 80 befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist;
- mit anderen Aufsichtsbehörden zusammenarbeiten, auch durch Informationsaustausch, und ihnen Amtshilfe leisten, um die einheitliche Anwendung und Durchsetzung dieser Verordnung zu gewährleisten;
- Untersuchungen über die Anwendung dieser Verordnung durchführen, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen Behörde;
- maßgebliche Entwicklungen verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie und der Geschäftspraktiken;
- Standardvertragsklauseln im Sinne des Artikels 28 Absatz 8 und des Artikels 46 Absatz 2 Buchstabe d festlegen;
- eine Liste der Verarbeitungsarten erstellen und führen, für die gemäß Artikel 35 Absatz 4 eine Datenschutz-Folgenabschätzung durchzuführen ist;
- Beratung in Bezug auf die in Artikel 36 Absatz 2 genannten Verarbeitungsvorgänge leisten;
- die Ausarbeitung von Verhaltensregeln gemäß Artikel 40 fördern und zu diesen Verhaltensregeln, die ausreichende Garantien im Sinne des Artikels 40 Absatz 5 bieten müssen, Stellungnahmen abgeben und sie billigen;
- die Einführung von Datenschutzzertifizierungsmechanismen und von Datenschutzsiegeln und -prüfzeichen nach Artikel 42 Absatz 1 anregen und Zertifizierungskriterien nach Artikel 42 Absatz 5 billigen;
- gegebenenfalls die nach Artikel 42 Absatz 7 erteilten Zertifizierungen regelmäßig überprüfen;
- die Kriterien für die Akkreditierung einer Stelle für die Überwachung der Einhaltung der Verhaltensregeln gemäß Artikel 41 und einer Zertifizierungsstelle gemäß Artikel 43 abfassen und veröffentlichen
- die Akkreditierung einer Stelle für die Überwachung der Einhaltung der Verhaltensregeln gemäß Artikel 41 und einer Zertifizierungsstelle gemäß Artikel 43 vornehmen;
- Vertragsklauseln und Bestimmungen im Sinne des Artikels 46 Absatz 3 genehmigen;
- verbindliche interne Vorschriften gemäß Artikel 47 genehmigen;
- Beiträge zur Tätigkeit des Ausschusses leisten;
- interne Verzeichnisse über Verstöße gegen diese Verordnung und gemäß Artikel 58 Absatz 2 ergriffene Maßnahmen und
- jede sonstige Aufgabe im Zusammenhang mit dem Schutz personenbezogener Daten erfüllen.
- Jede Aufsichtsbehörde erleichtert das Einreichen von in Absatz 1 Buchstabe f genannten Beschwerden durch Maßnahmen wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.
- Die Erfüllung der Aufgaben jeder Aufsichtsbehörde ist für die betroffene Person und gegebenenfalls für den Datenschutzbeauftragten unentgeltlich.
- Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen kann die Aufsichtsbehörde eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund des Antrags tätig zu werden. In diesem Fall trägt die Aufsichtsbehörde die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter des Antrags.
Kommentar zu Art. 66 DSGVO
Was sagt Art. 66 DSGVO aus?
Art. 66 DSGVO regelt das Dringlichkeitsverfahren, welches betroffene Aufsichtsbehörden, abweichend vom Kohärenzverfahren (Art. 63, 64, 65 DSGVO) oder dem Verfahren nach Art. 60 DSGVO, unter bestimmten Voraussetzungen zum Erlass von sofortigen einstweiligen Maßnahmen ermächtigt.
Nach Abs. 1 sind die Voraussetzungen gegeben, wenn außergewöhnliche Umstände vorliegen und nach Auffassung einer betroffenen Aufsichtsbehörde dringender Handlungsbedarf besteht, um Rechte und Freiheiten betroffener Personen zu schützen. Einstweilige Maßnahmen kommen also nur in seltenen Ausnahmefällen bei außergewöhnlichen Eilfällen in Betracht und sollen nicht den Interessen der Verarbeiter dienen, sondern dem Schutz der Interessen der betroffenen Personen. Außerdem dürfen sie nur rechtliche Wirkung im Hoheitsgebiet der zuständigen Behörde entfalten. Der Einschätzungsspielraum, welcher der Behörde dabei zusteht, kann auch gerichtlich überprüft werden. Dies ist aber nur eingeschränkt möglich. Die Geltungsdauer von einstweiligen Maßnahmen ist dabei auf höchstens drei Monate festgelegt. Nach Art. 66 Abs. 1 S. 2 DSGVO muss die zuständige Aufsichtsbehörde außerdem die anderen betroffenen Aufsichtsbehörden sowie den Ausschuss (EDSA) und die Kommission unverzüglich über den Erlass der einstweiligen Maßnahme informieren und die Gründe für die Maßnahme darlegen.
Wenn nach Auffassung der Aufsichtsbehörde, welche eine einstweilige Maßnahme erlassen hat, dringend endgültige Maßnahmen notwendig sind, kann sie nach Abs. 2 um eine Stellungnahme (Art. 64 DSGVO) oder einen verbindlichen Beschluss (Art. 65 DSGVO) des Ausschusses ersuchen. Hierbei hat sie wieder die entsprechenden Gründe darzulegen. Endgültige Maßnahmen sind solche, die über die Geltungsdauer der drei Monate hinauswirken und somit endgültige Wirkung haben. Nach Abs. 4 gelten für diese Stellungnahmen und Beschlüsse jedoch nicht die Fristen und Mehrheitsbestimmungen der Art. 64 Abs. 3 und Art. 65 Abs. 2 DSGVO. Sie sind hingegen innerhalb von zwei Wochen mit einfacher Mehrheit anzunehmen.
Abs. 3 regelt die sogenannte Untätigkeitsbeschwerde. Sofern eine zuständige Aufsichtsbehörde trotz Dringlichkeit keine geeigneten Maßnahmen zum Schutz der Rechte und Freiheiten betroffener Personen getroffen hat (Untätigkeit), darf auch jede andere Aufsichtsbehörde den Ausschuss, unter Angabe von Gründen, im Dringlichkeitsverfahren um eine Stellungnahme oder einen verbindlichen Beschluss ersuchen. Dazu gehören also auch nicht betroffene Behörden. Die Wahl der passenden Maßnahme, die dann von der zuständigen Behörde zu treffen ist, obliegt dabei dem Ausschuss. Die Untätigkeitsbeschwerde kommt aber nur in Betracht, wenn tatsächlich keine oder offensichtlich ungeeignete Maßnahmen getroffen wurden und geeignete Maßnahmen auch in Zukunft von der zuständigen Behörde nicht zu erwarten sind. Bei ergriffenen Maßnahmen, die grundsätzlich geeignet, jedoch unzureichend sind, greift Abs. 3 beispielsweise nicht. Hier gilt ebenfalls die Frist- und Mehrheitsbestimmung des Abs. 4 (s. o.).
Was ist neu?
Im Ausschussverfahren nach Art. 31 Abs. 2 RL95/46 EG (alte Fassung) konnte der Vorsitzende des Ausschusses bei gemeinschaftlichen Durchführungsmaßnahmen eine Frist für die Stellungnahme des Ausschusses zu einem Entwurf der Kommission setzen, bei der die Dringlichkeit des vorliegenden Falls berücksichtigt wurde. Das Dringlichkeitsverfahren ist also im Wesentlichen nicht neu, es hat sich lediglich etwas verändert.
Welche Folgen ergeben sich aus Art. 66 DSGVO?
Art. 66 DSGVO soll auch in Eilfällen für eine effektive Datenschutzaufsicht sorgen, hält aber gleichzeitig den kohärenten Vollzug aufrecht. Für Verantwortliche oder Auftragsverarbeiter ergeben sich hieraus also keine direkten Folgen. Sie sind aber natürlich weiterhin für die Einhaltung und Umsetzung der DSGVO zuständig. Denken Sie in diesem Zusammenhang auch an unsere Datenschutz Services.