Befugnisse der Datenschutzaufsicht

(1) Die Datenschutzaufsicht verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten, 

a) den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls
den Vertreter oder die Vertreterin des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung der Aufgaben der Datenschutzaufsicht erforderlich sind,

b) Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen,

c) den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen dieses Gesetz hinzuweisen,

d) von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung der Aufgaben der Datenschutzaufsicht notwendig sind, zu erhalten,

e) gemäß dem geltenden Verfahrensrecht Zugang zu den Räumlichkeiten, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten.

(2) Die Datenschutzaufsicht verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,

a) einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen dieses Gesetz oder andere datenschutzrechtliche Bestimmungen verstoßen,

b) einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen,
wenn er mit Verarbeitungsvorgängen gegen dieses Gesetz oder andere
datenschutzrechtliche Bestimmungen verstoßen hat,

c) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den
Anträgen der betroffenen Person auf Ausübung der ihr nach diesem
Gesetz zustehenden Rechte zu entsprechen,

d) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit diesem Gesetz zu bringen,

e) den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffene Person entsprechend zu benachrichtigen,

f) eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen,

g) die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung gemäß den §§ 18, 19 und 20 und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß §§ 19 Absatz 2 und 21 offengelegt wurden, über solche Maßnahmen anzuordnen,

h) eine Geldbuße gemäß § 51 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,

i) die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation oder an ein nichtstaatliches Völkerrechtssubjekt anzuordnen.

(3) Hat die Datenschutzaufsicht die Feststellung getroffen, dass eine Datenschutzverletzung objektiv vorliegt, kann der betroffenen Person im Verfahren vor den staatlichen Zivilgerichten über den Schadensersatz das Fehlen einer solchen nicht entgegengehalten werden.

(4) Werden Maßnahmen nach Absatz 2 nicht in der von der Datenschutzaufsicht bestimmten Frist befolgt, so verständigt die Datenschutzaufsicht die für die kirchliche Stelle zuständige Aufsicht und fordert sie zu einer Stellungnahme gegenüber der Datenschutzaufsicht auf. 2
Diese Stellungnahme soll auch eine Darstellung der Maßnahmen enthalten, die getroffen worden sind.

(5) Vor Abhilfemaßnahmen nach Absatz 2 ist dem Verantwortlichen oder dem Auftragsverarbeiter innerhalb einer angemessenen Frist Gelegenheit zu geben, sich zu den für die Entscheidung erheblichen Tatsachen zu äußern. Von der Anhörung kann abgesehen werden, wenn sie nach den Umständen des Einzelfalls nicht geboten, insbesondere wenn eine sofortige Entscheidung wegen Gefahr im Verzug oder im kirchlichen Interesse notwendig erscheint.