Pflichten des DSB - Zusammenarbeit mit der Aufsichtsbehörde

Guten Tag,
ich denke gerade über den Fall nach, in dem ein DSB bei seinem Verantwortlichen erhebliche Verstöße gegen die DSGVO feststellt. Ein Schaden für Betroffene ist (noch) nicht eingetreten, kann aber die Folge der Pflichtverstöße sein.
Natürlich ist der DSB nicht verantwortlich, aber Art. 39 verpflichtet ihn zur Zusammenarbeit mit der zuständigen Aufsichtsbehörde. Folgt daraus eine indirekte Verpflichtung zur Meldung der Verstöße, wenn der Verantwortliche sich beharrlich weigert, den fortgesetzten Verstoß zu unterlassen. Mich interessieren Eure Meinungen.
Gruß PD

Nein, das ist nicht der Fall.

Deine Verpflichtung ist es, auf Lücken hinzuweisen und ggf. Lösungsvorschläge anzubringen. Was der Verantwortliche daraus macht liegt nicht in Deiner Hand.
An dieser Stelle ist eine ordentliche Dokumentation langfristig sicher hilfreich… :wink:

4 „Gefällt mir“

Wie @Rumpelberta schon geschrieben hat, ordentliche Dokumentation das man auf die Lücken hingewiesen und Lösungen vorgeschlagen hat. So hält man sich den Rücken mehr oder weniger frei…

1 „Gefällt mir“

Kommentar Kühling/Bucher Art 39 RdNr 19:
…Diese Pflicht zur Zusammenarbeit birgt in Kombination mit den hohen Sanktionsdrohungen (→ Art. 83 Rn. 38 ff.) und dem Umstand, dass der Datenschutzbeauftragte regelmäßig der erste Kontakt der Aufsichtsbehörde im Unternehmen bzw. in der Behörde sein wird (→ Rn. 18), ein erhebliches Konfliktpotential,38 auch wenn der Datenschutzbeauftragte – allenfalls mit Ausnahme besonders schwerer Verstöße wie Straftaten – nicht verpflichtet ist, von sich aus Verstöße gegen Datenschutzrecht der Aufsichtsbehörde zu melden.

Der DSB soll durch Beratung und Überwachung einen effektiven Schutz personenbezogener Daten sicherstellen. Wird die Beratung durch den DSB vom Datenverantwortlichen ignoriert, so wäre es klug, diese zu dokumentieren. Gem. Art. 39 Abs. 1 d kann der DSB durchaus dies bei der Aufsichtsbehörde zur Anzeige bringen. Gemäß Art. 33 DSGVO muss ein Verstoß gegen den Datenschutz innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. (Hier hat das Wort “führt” eine besondere Bedeutung, da es auch Ereignisse in der Zukunft betrifft). Es hat also auch präemtive Bedeutung.

1 „Gefällt mir“

Danke für den Kommentar, den kannte ich noch nicht.

Gerne.
Nach meiner Erfahrung bekommt man von den Aufsichtsbehörden gute Auskünfte zu allgemeinen Fragen. Eine Anfrage zu einem konkreten Anliegen sollte jedoch sehr gut überlegt sein…

Das ist sicher ein Thema fürsich. Aber dazu muss ich tatsächlich sagen, dass ich alle Anfragen bisher nach frühestens einem halben Jahr beantwortet bekommen habe…(Anfragen in verschiedenen Bundesländern). Das ist für die Praxis ziemlich hinderlich.

Oh, da hatte ich wohl mehr Glück, bisher habe ich allerdings auch erst eine Anfrage gemacht. Da bekam ich innerhalb von 24 Stunden schon eine Antwort und auf eine Rückfrage in der gleichen Angelegenheit nach 2,5 Wochen.

Bei der Meldepflicht innerhalb von 72 Stunden sehe ich nicht jeden Fall eines Verstosses meldepflichtig. Solange kein Betroffener einen Nachteil oder Schaden nimmt, können solche Vorfälle auch “intern” geregelt werden. Andernfalls ist neben der Meldepflicht auch der Betroffene umgehend zu informieren.

Wie meine Vorredner bereits geschrieben haben, besteht die Verpflichtung nicht. Aber eine telefonische Beratung durch die AB kann durchaus zu einer guten Lösung zum weiteren Vorgehen führen.

The customer is always right. But he may be not right for you…