(1) Stellt die Datenschutzaufsicht Verstöße gegen Vorschriften dieser Bischöflichen Verordnung oder gegen andere Datenschutzbestimmungen oder sonstige Mängel bei der Verarbeitung personenbezogener Daten fest, so macht sie diese aktenkundig und beanstandet sie diese unter Setzung einer angemessenen Frist zur Behebung gegenüber der oder dem Verantwortlichen.
(2) Hat die Datenschutzaufsicht die Feststellung getroffen, dass eine Datenschutzverletzung objektiv vorliegt, kann der betroffenen Person im Verfahren vor den staatlichen Zivilgerichten über den Schadensersatz das Fehlen einer solchen nicht entgegengehalten werden.
(3) Wird die Beanstandung nicht fristgerecht behoben, so verständigt die Datenschutzaufsicht die Synodalvertretung und fordert sie zu einer Stellungnahme auf. Diese Stellungnahme soll auch eine Darstellung der Maßnahmen enthalten, die aufgrund der Beanstandungen der Datenschutzaufsicht getroffen worden sind.
(4) Die Datenschutzaufsicht kann von einer Beanstandung absehen oder auf eine Stellungnahme der Synodalvertretung verzichten, wenn es sich um unerhebliche Mängel handelt, deren Behebung mittlerweile erfolgt ist. Die Datenschutzaufsicht kann außerdem auf eine Stellungnahme der Synodalvertretung verzichten, wenn eine sofortige Entscheidung wegen Gefahr im Verzug oder im kirchlichen Interesse notwendig erscheint.
(5) Der Bescheid gemäß Absatz 1 kann Anordnungen enthalten, um einen rechtmäßigen Zustand wiederherzustellen oder Gefahren für personenbezogene Daten abzuwehren. Insbesondere ist die Datenschutzaufsicht befugt anzuordnen:
a) Verarbeitungsvorgänge auf bestimmte Weise und innerhalb einer von der Datenschutzaufsicht zu bestimmenden Frist mit dieser Verordnung in Einklang zu bringen,
b) die von einer Verletzung des Schutzes personenbezogener Daten betroffene Person entsprechend zu benachrichtigen,
c) eine vorübergehende oder endgültige Beschränkung sowie ein Verbot der Verarbeitung,
d) personenbezogene Daten zu berichtigen oder zu löschen oder deren Verarbeitung zu beschränken und die Empfängerinnen oder die Empfänger dieser Daten entsprechend zu benachrichtigen,
e) die Aussetzung der Übermittlung von Daten an eine Empfängerin oder einen Empfänger in einem Drittland oder an eine internationale Organisation,
f) den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen.
Die oder der Verantwortliche hat diese Anordnungen binnen der genannten Frist – falls eine solche nicht bezeichnet ist, unverzüglich – umzusetzen.
(6) Die Datenschutzaufsicht ist befugt, zusätzlich zu oder anstelle von den in Absatz 5 genannten Maßnahmen eine Geldbuße zu verhängen. Näheres regelt § 50.
(7) Mit der Beanstandung kann die Datenschutzaufsicht Vorschläge zur Beseitigung der Mängel und zur sonstigen Verbesserung des Datenschutzes verbinden.
(8) Bevor eine Beanstandung, insbesondere in Verbindung mit der Anordnung von Maßnahmen nach Absätzen 5 oder 6 erfolgt, ist der oder dem Verantwortlichen innerhalb einer angemessenen Frist Gelegenheit zu geben, sich zu den für die Entscheidung erheblichen Tatsachen zu äußern. Von der Anhörung kann abgesehen werden, wenn sie nach den Umständen des Einzelfalls nicht geboten, insbesondere wenn eine sofortige Entscheidung wegen Gefahr im Verzug oder im kirchlichen Interesse notwendig erscheint.
