Durch die Schaffung des betrieblichen Datenschutzbeauftragten hat der Gesetzgeber eine originäre staatliche Aufgabe, die Überwachung der Einhaltung gesetzlicher Vorschriften, an eine private Person delegiert. Deshalb bedarf es der behördlichen Aufsicht über die Umsetzung des Datenschutzes bei Unternehmen und Behörden, Artt. 4 Nr. 22, 55 DSGVO.

In der Bundesrepublik Deutschland gibt es sowohl einen Bundesbeauftragten für den Datenschutz-, als auch in jedem Bundesland, wenn auch mit leicht abweichenden Bezeichnungen, Landesbeauftragte. Diesen sind per Gesetz ihre Aufgaben genau zugewiesen. Schnittpunkte bestehen nicht. Generell gilt, dass diesen Behörden die Funktion von Aufsichtsbehörden zukommt.

Die Aufgaben des Bundesbeauftragten für den Datenschutz ergeben sich aus den §§ 8 bis 16 BDSG. Schwerpunkt ist die Kontrolle der öffentlichen Stellen des Bundes auf die Einhaltung der Vorschriften zum Datenschutz.

Die Landes-Datenschutzbeauftragten hingegen überwachen die Umsetzung der Anforderungen des Datenschutzes bei den im jeweiligen Bundesland ansässigen privatwirtschaftlichen Unternehmen sowie bei den Landesbehörden. Entscheidend für die Begründung der aufsichtsbehördlichen Zuständigkeit ist somit der Sitz eines Unternehmens.

Die Zuständigkeiten und Kompetenzen der Landes-Aufsichtsbehörden ist im § 40 BDSG bundeseinheitlich geregelt, sodass die föderalen Unterschiede bei der Aufsichtsführung keine sonderlich große Bedeutung erlangen können.

Im Bereich der privaten Wirtschaft kontrollieren die Aufsichtsbehörden die automatisierte Verarbeitung personenbezogener Daten sowie die Verarbeitung personenbezogener Daten in oder aus nicht automatisierten Dateien verdachtsabhängig und verdachtsunabhängig. Ferner stehen sie den betrieblichen Datenschutzbeauftragten beratend und unterstützend zur Verfügung.

Die zuständige Aufsichtsbehörde ist berechtigt, Kontrollen vor Ort vorzunehmen, der Verantwortliche muss dies hinnehmen und die geforderten Auskünfte erteilen. Der Verantwortliche, namentlich die Geschäftsleitung, kann selbst bestimmen, wer der Aufsichtsbehörde als Ansprechpartner zur Verfügung stehen soll. Die benannte Person muss sachlich auch in der Lage sein, die geforderten Auskünfte zu erteilen. In der Regel werden die Geschäftsleitung und betriebliche Datenschutzbeauftragte, partiell möglicherweise noch von weiteren Personen unterstützt, die geforderten Auskünfte erteilen.

Sollte eine aufsichtsbehördliche Prüfung zu dem Ergebnis kommen, dass datenschutzrechtliche Mängel bestehen, kann die Behörde mit den Maßnahmen des allgemeinen Verwaltungszwanges deren Beseitigung erwirken. Daneben stehen ihr noch die spezifischen Rechte aus der DSGVO und dem BDSG zu. So kann die zuständige Aufsichtsbehörde unverbindliche Vorschläge zur Beseitigung der festgestellten Mängel unterbreiten, sie kann aber auch konkrete Maßnahmen anordnen, deren Umsetzung dann verbindlich ist. Werden von der Behörde geforderte Maßnahmen nicht fristgerecht umgesetzt, so kann eine Nachfrist gesetzt und mit der Androhung eines Zwangsgeldes versehen werden – nach Bundes- oder Landesverwaltungsvorschriften. Nach fruchtlosem Ablauf der Nachfrist wird dann das Zwangsgeld fällig. Da das Zwangsgeld nicht der Pönalisierung eines bereits begangenen Gesetzesverstoßes, sondern als Druckmittel dient, kann es auch dort angewandt werden, wo ein Bußgeld mangels Ordnungswidrigkeitentatbestandes (hierzu sogleich) nicht verhangen werden kann.

Ebenfalls ist die Behörde berechtigt, bestimmte Verstöße gegen Vorschriften des Datenschutzes als Ordnungswidrigkeiten zu ahnden und Bußgelder gegen den Verantwortlichen zu verhängen. Dies ist jedoch nur in denjenigen Fällen möglich, in welchen durch den Verantwortlichen einer der in Art. 83 Abs. 1 und 2 DSGVO genannten Tatbestände erfüllt ist. Somit kann nicht jeder Verstoß gegen den Datenschutz geahndet werden. Die Bußgelder können, je nach Schwere des Verstoßes, bis zu 20.000.000 EUR betragen und, sofern diese Summe „nicht ausreicht“, auch höher ausfallen, Art. 83 Abs. 6 DSGVO.

Für die Verhängung von Geld- oder Freiheitsstrafen, wie sie § 42 BDSG vorsieht, ist die Aufsichtsbehörde nicht zuständig. Dies ist nur im Rahmen formeller Strafverfahren zulässig. Liegt der Verdacht auf das Vorliegen einer Straftat vor, gibt die Aufsichtsbehörde den Fall an die zuständige Staatsanwaltschaft ab.

Schließlich sind die zuständigen Aufsichtsbehörden berechtigt, auch andere Behörden einzuschalten. An dieser Stelle ist insbesondere die Gewerbeaufsicht zu nennen, da dauerhafte oder nachhaltige Verstöße gegen gesetzliche Vorschriften oder behördliche Auflagen Zweifel an der für die Ausübung vieler Berufe erforderlichen gewerberechtlichen Zuverlässigkeit des Gewerbetreibenden zulassen.