Dürfen Datenschutzbehörden (nicht) beraten?
Dr. Carlo Piltz Chefredakteur Datenschutz-Berater
Anfang August 2024 veröffentlichte der Verein „NOYB – Europäisches Zentrum für digitale Rechte“ (noyb) auf seiner Webseite eine Mitteilung, wonach noyb die Datenschutzbehörde aus Hamburg verklagt. Ein Klagegrund: die Hamburger Behörde habe das Nachrichtenmagazin DER SPIEGEL im Rahmen von Beschwerden zum sog. “Pay or OK”-Model rechtlich beraten und werde in Zukunft kaum eine Entscheidung treffen, mit der sie sich selbst widerspricht.
Nach Ansicht von noyb sei die Aufsichtsbehörde „Anwalt und Richter zugleich“ – nach der DSGVO dürften Datenschutzbehörden Unternehmen zwar “sensibilisieren”, aber keinesfalls beraten.
Ist dies so? Dürfen Datenschutzbehörden Verantwortliche und Auftragsverarbeiter wirklich nicht „beraten“, sondern nur „sensibilisieren“? Gibt es da überhaupt einen Unterschied?
Ich erlaube mir, meine Ansicht vorwegzunehmen: natürlich müssen Aufsichtsbehörden auch rechtlich beraten dürfen. Nimmt man Verantwortlichen und Auftragsverarbeitern die Möglichkeit, die Aufsichtsbehörde um Stellungnahme und Empfehlung zu bitten, dürfte die Einhaltung und Umsetzung der DSGVO in der Praxis hierunter noch mehr leiden – und am Ende wohl nur noch von Sanktionen bzw. der Angst davor abhängen. Eine Situation, die man sich nicht wünscht.
Schaut man hinsichtlich einer „allgemeinen Beratungsbefugnis“ in die DSGVO, stellt man fest, dass diese tatsächlich nicht festgeschrieben ist. Jedoch lässt sich aus mehreren Regelungen und auch der Systematik der DSGVO ableiten, dass Aufsichtsbehörden auch beraten dürfen.
Erstens, wird die Beratungsaufgabe der Aufsichtsbehörden in zwei Erwägungsgründen der DSGVO ausdrücklich erwähnt. Dies auch nicht beschränkt auf nur ein bestimmtes Beratungsthema. Nach ErwG 129 DSGVO sollten die Aufsichtsbehörden in jedem Mitgliedstaat dieselben Aufgaben und wirksamen Befugnisse haben, darunter auch beratende Befugnisse. Nach ErwG 143 DSGVO (Rechtsbehelfe gegen Beschlüsse des EDSA) umfasst das Recht auf einen wirksamen gerichtlichen Rechtsbehelf nicht rechtlich nicht bindende Maßnahmen der Aufsichtsbehörden wie von ihr abgegebene Stellungnahmen oder Empfehlungen. „Empfehlungen“ ist hier im Sinne von „Beratung“ gemeint, wie sich aus der englischen Sprachfassung ergibt („However, the right to an effective judicial remedy does not encompass measures taken by supervisory authorities which are not legally binding, such as opinions issued by or advice provided by the supervisory authority”). Auch das Bundesverwaltungsgericht Österreich geht davon aus (Geschäftszahl W108 2268760-1), dass die Aufsichtsbehörde „auf Anfrage des Verantwortlichen, Auftragsverarbeiters oder Vertreters“ tätig werden kann.
Zweitens, verfügen die Aufsichtsbehörden nach Art. 58 Abs. 3 DSGVO über sämtliche „folgenden Genehmigungsbefugnisse und beratenden Befugnisse“. Nach lit. b) ist hiervon die Befugnis umfasst, zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Anfrage Stellungnahmen an sonstige Einrichtungen und Stellen sowie an die Öffentlichkeit zu richten.
Drittens, haben die Aufsichtsbehörden nach Art. 58 Abs. 3 lit. a) DSGVO die Befugnis, gemäß dem Verfahren der vorherigen Konsultation nach Art. 36 DSGVO, den Verantwortlichen zu beraten. Wollte man annehmen, dass Aufsichtsbehörden nicht beraten dürften, wäre diese Vorgabe schon ohne Anwendungsbereich. Zugleich ergibt sich aus dieser Regelung aber auch, dass die DSGVO sehr wohl das von noyb als unzulässig adressierte Verhalten der Aufsichtsbehörde als unproblematisch im Hinblick auf die Durchsetzung und Verhängung von Bußgeldern ansieht. Denn bei einem Verstoß gegen Art. 35 oder 36 DSGVO können Aufsichtsbehörden nach Art. 83 Abs. 4 lit. a) DSGVO dennoch Bußgelder verhängen. Systematisch gestattet die DSGVO mithin gerade eine inhaltliche Beratung des Verantwortlichen, was aber nicht ausschließt, dass bei einem Verstoß gegen die gesetzlichen Vorgaben des Beratungsgegenstandes ein Bußgeld verhängt werden kann.
Viertens, dürfen Verantwortliche und Auftragsverarbeiter über die Person des eigenen Datenschutzbeauftragten (DSB) (sogar kostenlose) Beratung der Aufsichtsbehörde in Anspruch nehmen. Nach Art. 39 Abs. 1 lit. a) DSGVO obliegt es dem DSB den Verantwortlichen oder Auftragsverarbeiter zu beraten. Zudem dient er nach Art. 39 Abs. 1 lit. e) DSGVO als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen und gegebenenfalls Beratung zu allen sonstigen Fragen. Nach Art. 57 Abs. 3 DSGVO ist die Erfüllung der Aufgaben der Aufsichtsbehörde für den Datenschutzbeauftragten unentgeltlich.
Ich bin gespannt, wie das nun angestoßene Verfahren in Hamburg (oder eventuell am Ende erst in Luxemburg?) ausgeht.
Bis dahin wünsche ich Ihnen eine anregende Lektüre.
Ihr
Dr. Carlo Piltz