BDSG 2018 – § 40 – online-Kommentar

§ 40 Aufsichtsbehörden der Länder

(1) Die nach Landesrecht zuständigen Behörden überwachen im Anwendungsbereich der Verordnung (EU) 2016/679 bei den nichtöffentlichen Stellen die Anwendung der Vorschriften über den Datenschutz.

(2) Hat der Verantwortliche oder Auftragsverarbeiter mehrere inländische Niederlassungen, findet für die Bestimmung der zuständigen Aufsichtsbehörde Artikel 4 Nummer 16 der Verordnung (EU) 2016/679 entsprechende Anwendung. Wenn sich mehrere Behörden für zuständig oder für unzuständig halten oder wenn die Zuständigkeit aus anderen Gründen zweifelhaft ist, treffen die Aufsichtsbehörden die Entscheidung gemeinsam nach Maßgabe des § 18 Absatz 2. § 3 Absatz 3 und 4 des Verwaltungsverfahrensgesetzes findet entsprechende Anwendung.

(3) Die Aufsichtsbehörde darf die von ihr gespeicherten Daten nur für Zwecke der Aufsicht verarbeiten; hierbei darf sie Daten an andere Aufsichtsbehörden übermitteln. Eine Verarbeitung zu einem anderen Zweck ist über Artikel 6 Absatz 4 der Verordnung (EU) 2016/679 hinaus zulässig, wenn

  1. offensichtlich ist, dass sie im Interesse der betroffenen Person liegt und kein Grund zu der Annahme besteht, dass sie in Kenntnis des anderen Zwecks ihre Einwilligung verweigern würde,
  2. sie zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer Gefahr für die öffentliche Sicherheit oder zur Wahrung erheblicher Belange des Gemeinwohls erforderlich ist oder
  3. sie zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Absatz 1 Nummer 8 des Strafgesetzbuchs oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Geldbußen erforderlich ist.

Stellt die Aufsichtsbehörde einen Verstoß gegen die Vorschriften über den Datenschutz fest, so ist sie befugt, die betroffenen Personen hierüber zu unterrichten, den Verstoß anderen für die Verfolgung oder Ahndung zuständigen Stellen anzuzeigen sowie bei schwerwiegenden Verstößen die Gewerbeaufsichtsbehörde zur Durchführung gewerberechtlicher Maßnahmen zu unterrichten. § 13 Absatz 4 Satz 4 bis 7 gilt entsprechend.

(4) Die der Aufsicht unterliegenden Stellen sowie die mit deren Leitung beauftragten Personen haben einer Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte zu erteilen. Der Auskunftspflichtige kann die Auskunft auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen der in § 383 Absatz 1 Nummer 1 bis 3 der Zivilprozessordnung bezeichneten Angehörigen der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde. Der Auskunftspflichtige ist darauf hinzuweisen.

(5) Die von einer Aufsichtsbehörde mit der Überwachung der Einhaltung der Vorschriften über den Datenschutz beauftragten Personen sind befugt, zur Erfüllung ihrer Aufgaben Grundstücke und Geschäftsräume der Stelle zu betreten und Zugang zu allen Datenverarbeitungsanlagen und -geräten zu erhalten. Die Stelle ist insoweit zur Duldung verpflichtet. § 16 Absatz 4 gilt entsprechend.

(6) Die Aufsichtsbehörden beraten und unterstützen die Datenschutzbeauftragten mit Rücksicht auf deren typische Bedürfnisse. Sie können die Abberufung der oder des Datenschutzbeauftragten verlangen, wenn sie oder er die zur Erfüllung ihrer oder seiner Aufgaben erforderliche Fachkunde nicht besitzt oder im Fall des Artikels 38 Absatz 6 der Verordnung (EU) 2016/679 ein schwerwiegender Interessenkonflikt vorliegt.

(7) Die Anwendung der Gewerbeordnung bleibt unberührt.

Kommentar

§ 40 BDSG 2018 wurde neu gefasst mit dem Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU – vom 30.06.2017, BGBl. I, vom 05.07.2017, S. 2097 und tritt am 25.05.2018 in Kraft.

Die Vorschrift konkretisiert und ergänzt Artikel 58 Absatz 6 DSGVO bzgl. der Befugnisse der Aufsichtsbehörden der Länder über nichtöffentliche Stellen (vgl. § 38 BDSG a. F.).

Absatz 1 bestimmt, dass für die Überwachung der Einhaltung des Datenschutzes die nach Landesrecht zuständigen Behörden zuständig sind. Maßgeblich sind die Landesdatenschutzgesetze der Bundesländer, die eine Zuständigkeit der jeweiligen Landesdatenschutzbeauftragten bestimmen.

Für den Fall, dass Verantwortliche oder Auftragsverarbeiter mehrere inländische Niederlassungen haben, bestimmt Absatz 2 Satz 1 die entsprechende Anwendbarkeit von Artikel 4 Nummer 16 DSGVO: Maßgeblich ist danach der Ort der Hauptverwaltung des Verantwortlichen. Davon abweichend ist eine andere Niederlassung maßgeblich, sofern in dieser die datenschutzrechtlich relevanten Entscheidungen über Zwecke und Mittel getroffen werden und diese Niederlassung zur Umsetzung der Entscheidungen befugt ist (Artikel 4 Nummer 16 Buchstabe a DSGVO). Für Auftragsverarbeiter ist ebenfalls der Sitz der Hauptverwaltung maßgeblich (Artikel 4 Nummer 16 Buchstabe b DSGVO). In entsprechender Anwendung von Artikel 4 Nummer 16 Buchstabe b DSGVO ist, wenn der Verantwortliche keine Hauptverwaltung in der Bundesrepublik unterhält, der Sitz derjenigen Niederlassung maßgeblich, in der die Verarbeitungstätigkeiten hauptsächlich stattfinden.

Wenn sich mehrere Behörden für zuständig oder für unzuständig halten oder wenn die Zuständigkeit aus anderen Gründen zweifelhaft ist, erfolgt nach Absatz 2 Satz 2 eine Bestimmung der Zuständigkeit nach § 18 Absatz 2. Danach legt die federführende Behörde einen Vorschlag für einen gemeinsamen Standpunkt vor. Wenn eine federführende Behörde nicht existiert, unterbreitet der gemeinsame Vertreter – dabei handelt es sich um den Bundesdatenschutzbeauftragten (§ 17 Absatz 1 Satz 1) – einen Vorschlag für einen gemeinsamen Standpunkt. Das Verfahren und die Entscheidungsbefugnisse bestimmen sich nach § 18 Absatz 2 (vgl. dort).

Absatz 2 Satz 3 sieht die entsprechende Anwendung von Vorschriften des Verwaltungsverfahrensgesetzes vor (§ 3 Absatz 3 f. VwVfG):

  • Wenn sich die Zuständigkeit während eines Verfahrens ändert, kann die ursprünglich zuständige Behörde, wenn das unter Wahrung der Interessen der Beteiligten der einfachen und zweckmäßigen Durchführung des Verfahrens dient, unter Zustimmung der später zuständig gewordenen Behörde das Verfahren fortsetzen (§ 3 Absatz 3 VwVfG);
  • Bei Gefahr in Verzug ist für unaufschiebbare Maßnahmen jede Behörde zuständig, in deren Bezirk der Anlass für die Amtshandlung hervortritt; die örtlich zuständige Behörde ist unverzüglich zu unterrichten (§ 3 Absatz 3 Satz 1 f. VwVfG).

Absatz 3 Satz 1 sieht vor, dass die Aufsichtsbehörde die von ihr gespeicherten Daten für Zwecke der Aufsicht verarbeiten und an andere Aufsichtsbehörden übermitteln darf.

Absatz 3 Satz 2 bestimmt Fälle, in denen eine Verarbeitung zu anderen Zwecken über Artikel 6 Absatz 4 DSGVO hinaus zulässig ist, nämlich im mutmaßlichen Interesse der betroffenen Person (Nummer 1), zur Abwehr von Gemeinwohlgefahren oder zur Abwehr von Gefahren für die öffentliche Sicherheit oder zur Wahrung von Gemeinwohlbelangen (Nummer 2) und zu den genannten Zwecken der Straf- und Ordnungswidrigkeitenverfolgung (Nummer 3).

Absatz 3 Satz 3 sieht eine Befugnis der Aufsichtsbehörden vor, die betroffenen Personen über sie betreffende Verstöße gegen Datenschutzvorschriften zu unterrichten, Anzeige bei den für die Verfolgung und Ahndung zuständigen Stellen – z. B. Staatsanwaltschaften oder Ordnungsbehörden – zu erstatten und schwerwiegende Verstöße den Gewerbeaufsichtsbehörden zur Kenntnis zu geben. Die Anzeige bei den Gewerbeaufsichtsbehörden soll die Einleitung gewerberechtlicher Maßnahmen ermöglichen. Das BDSG 2018 bestimmt nicht, welche Anforderungen an einen schwerwiegenden Verstoß zu stellen sind. Aus dem Regelungszusammenhang ergibt sich, dass die Befugnis zur Unterrichtung der Gewerbeaufsichtsbehörden dann besteht, wenn Verstöße gegen datenschutzrechtliche Bestimmungen zugleich relevant sind für eine mögliche Gewerbeuntersagung wegen Unzuverlässigkeit (§ 35 GewO).

Absatz 3 Satz 4 bestimmt die entsprechende Anwendung von § 13 Absatz 4 bis 7, die für den Bundesbeauftragten gelten und die Verschwiegenheitspflicht sowie Vorschriften zur Zeugenstellung enthalten.

Absatz 4 beinhaltet Auskunftspflichten und Auskunftsverweigerungsrechte nichtöffentlicher Stellen. Nach Satz 1 sind sowohl die nichtöffentlichen Stellen als auch die mit deren Leitung beauftragten Personen auskunftspflichtig, z. B. Geschäftsführer, Prokuristen, Vorstände, Leiter und Bevollmächtigte. Von der Auskunftspflicht umfasst sein kann auch die Offenlegung von technischen und organisatorischen Abläufen. Die betroffene Stelle ist nicht zur Anfertigung von Kopien verpflichtet und sie muss auch Originalunterlagen nicht herausgeben. Vielmehr ist es Sache der Aufsichtsbehörden bzw. der beauftragten Personen, die erforderlichen Kopien selbst anzufertigen oder Notizen und Skizzen zu fertigen. Durchgesetzt werden Auskunftspflichten durch den Erlass von Verwaltungsakten sowie deren Vollstreckung im Wege der Verwaltungsvollstreckung (z. B. durch Festsetzung von Zwangsgeld). Satz 2 enthält ein an das zivilprozessuale Zeugnisverweigerungsrecht angelehntes Auskunftsverweigerungsrecht für den Fall, dass sich der Auskunftsverpflichtete oder Angehörige gemäß § 383 Absatz 1 Nummern 1 bis 3 ZPO der Verfolgung wegen einer Straftat oder einer Ordnungswidrigkeit aussetzen würden. Das Recht zur Verweigerung der Auskunft gilt allerdings dann nicht, wenn die Straftat oder die Ordnungswidrigkeit erst durch die Erteilung der Auskunft verwirklicht werden würde. In persönlicher Hinsicht besteht das Auskunftsverweigerungsrecht für

  • Auskunftsverpflichtete gemäß Absatz 4 Satz 1,
  • Verlobte von Auskunftsverpflichteten / auch bzgl. der gleichgeschlechtlichen Lebenspartnerschaft (§ 383 Absatz 1 Nummer 1 ZPO),
  • Ehegatten von Auskunftsverpflichteten und vormalige Ehegatten (§ 383 Absatz 1 Nummer 2 ZPO),
  • Lebenspartner von Auskunftsverpflichteten (§ 383 Absatz 1 Nummer 2a ZPO),
  • in gerader Linie Verwandte (z. B. Kinder, Enkel, Eltern, Großeltern), Verschwägerte oder vormalige Verschwägerte, in der Seitenlinie bis zum dritten Grad Verwandte und bis zum zweiten Grad Verschwägerte oder vormals Verschwägerte (§ 383 Absatz 1 Nummer 3 ZPO).

Sofern sich ein Auskunftsverpflichteter auf das Auskunftsverweigerungsrecht berufen möchte, genügt Schweigen nicht. Notwendig ist vielmehr eine ausdrückliche Erklärung, dass er sich auf sein Auskunftsverweigerungsrecht beruft.

Absatz 4 Satz 3 bestimmt, dass Auskunftsverpflichtete auf die Auskunftsverweigerungsrechte hinzuweisen sind. Ein Verstoß gegen die Hinweispflicht kann zu einem Verwertungsverbot der erteilten Auskunft führen; die Maßgaben des strafprozessualen Zeugnisverweigerungsrechts gelten entsprechend.

Absatz 5 Satz 1 enthält die Befugnis der von Aufsichtsbehörden beauftragten Personen, Grundstücke und Geschäftsräume zu betreten und Zugang zu Datenverarbeitungsanlagen und –geräten zu erhalten. Davon umfasst ist kraft der Verweisung gemäß Satz 3 (vgl. § 16 Absatz 4) auch die Einsichtnahme in personenbezogene Daten. Erforderlich ist stets, dass die Maßnahme zur Aufgabenerfüllung notwendig ist. Insoweit können anlassbezogene aber auch anlasslose Prüfungen gerechtfertigt sein sowie unangekündigte Prüfungen. Anders als nach der alten Rechtslage vor dem 25.05.2018 kann von dem Recht zum Betreten von Grundstücken und Geschäftsräumen „jederzeit“ und nicht bloß während der Betriebs- und Geschäftszeiten (vgl. § 38 Absatz 4 Satz 1 BDSG a. F.) ausgeübt werden. Da jede Maßnahme dem Verhältnismäßigkeitsprinzip entsprechen muss, dürften Prüfungen außerhalb der Betriebs- und Geschäftszeiten nur ganz ausnahmsweise vorkommen. Satz 2 verpflichtet die Stelle zur Duldung der Maßnahmen. Die Duldungspflicht umfasst die Herstellung von Fotos und Kopien etc. durch die Aufsichtsbehörde bzw. die beauftragte Person. Allerdings kann die betroffene Stelle nicht zur unentgeltlichen Herstellung von Kopien etc. verpflichtet werden. Aus der Duldungspflicht lässt sich nicht das Recht zur Mitnahme von Originalunterlagen herleiten.

Weitergehende Befugnisse können sich allerdings bei der Verfolgung von Straftaten und Ordnungswidrigkeiten bei der Durchsuchung, Sicherstellung oder Beschlagnahme beweisrelevanter Gegenstände, Daten und Unterlagen ergeben, § 41 (vgl. §§ 94 ff., 102 ff. StPO, § 46 Absatz 1 OWiG).

Nach Absatz 6 Satz 1 leisten die Aufsichtsbehörden Beratung und Unterstützung für Datenschutzbeauftragte. Ein Konflikt mit dem Rechtsdienstleistungsgesetz besteht nicht, da Rechtsdienstleistungen, die nicht im Zusammenhang mit einer entgeltlichen Tätigkeit stehen, erlaubt sind (§ 6 Absatz 1 RDG). Absatz 6 Satz 2 sieht vor, dass Aufsichtsbehörden die Abberufung von Datenschutzbeauftragten verlangen können, wenn sie die notwendige Fachkunde nicht besitzen oder wenn ein schwerwiegender Interessenkonflikt vorliegt. Die unmittelbare Abberufung durch die Aufsichtsbehörden ist nicht vorgesehen, die Aufsichtsbehörden können die Abberufung indessen durch Verwaltungsakt und Verwaltungsvollstreckung durchsetzen.

Absatz 7 enthält die Klarstellung, dass die Vorschriften der Gewerbeordnung unberührt bleiben. Das bedeutet, dass das BDSG 2018 keine abschließende Regelung darstellt, sondern Maßnahmen nch der Gewerbeordnung ergänzend oder parallel angewendet werden könne.

Die ab 25.05.2018 unmittelbar geltende DSGVO hat die folgenden Vorschriften entbehrlich gemacht, die dementsprechend gestrichen worden sind:

§ 38 Absatz 1 Satz 5 BDSG a. F. – Amtshilfe;

§ 38 Absatz 1 Satz 8 erste Alternative BDSG a. F. – Beschwerderecht;

§ 38 Absatz 2 BDSG a. F. – Registerführung meldepflichtiger Datenverarbeitungen;

§ 38 Absatz 4 Satz 2 BDSG a. F. – Einsichtsrecht in geschäftliche Unterlagen;

§ 38 Absatz 5 Satz 1 und 2 BDSG a. F. – Anordnungs- und Beseitigungsverfügungen;

§ 38 Absatz 6 BDSG a. F. – Bestimmung der zuständigen Aufsichtsbehörden durch die Landesregierungen.

zurück zum BDSG 2018