Die deutschen Aufsichtsbehörden im Datenschutz führen derzeit vermehrt anlasslose Kontrollen durch, ob Unternehmen die Vorgaben der Datenschutz-Grundverordnung (DS-GVO) ordnungsgemäß umgesetzt haben. Sofern Unternehmen untätig geblieben sind und keine ausreichenden Vorkehrungen getroffen haben, könnte es sehr teuer werden, da zu erwarten ist, dass die Höhe der verhängten Bußgelder steigen wird. So wurde kürzlich angekündigt, dass die Landesdatenschutzbehörde Berlin ein Unternehmen mit einem Bußgeld in Millionenhöhe belegen wird.
Viele Landesdatenschutzbehörden haben bereits vor Geltung der DS-GVO reagiert und Fragenkataloge an Unternehmen versendet, um diese auf die neuen Anforderungen aufmerksam zu machen. Welche Themen die Aufsichtsbehörden innerhalb der Fragebögen ansprechen und ggf. auch bei einer Kontrolle prüfen könnten, erklären wir Ihnen jetzt.
Fragenkataloge der Aufsichtsbehörden
Bereits vor Geltung der Datenschutz-Grundverordnung (DS-GVO) hatten viele Landesdatenschutzbehörden Fragenkataloge bereitgestellt, um Unternehmen eine Übersicht zu geben, welche Anforderungen die DS-GVO mit sich bringt. Die Landesdatenschutzbehörde Niedersachsen ging sogar einen Schritt weiter und hatte seit Juni 2018 großen und mittelgroßen Unternehmen Fragen zum Datenschutz gestellt, mit dem Ziel einen Überblick über die bis dahin geltende Datenschutzlage zu ermitteln. Die Landesdatenschutzbeauftragte von Niedersachsen Barabara Thiel erklärte hierzu in einer Pressemitteilung vom 29.06.2018:
„Ich möchte mir zunächst einen Überblick darüber verschaffen, wie die Firmen die zweijährige Übergangszeit bis zur Geltung der DS-GVO genutzt haben. […] Mein Hauptanliegen dabei ist es zu identifizieren, ob es bei den verantwortlichen Stellen noch Nachholbedarf gibt. Außerdem möchte ich mit dieser Prüfung das Bewusstsein für Datenschutz im Allgemeinen und die Vorschriften der DS-GVO im Speziellen stärken. Es geht zum jetzigen Zeitpunkt also nicht vorrangig darum, möglichst viele Fehler zu finden und Bußgelder zu verhängen. Stattdessen möchten wir aufklären, sensibilisieren und wertvolle Hinweise geben. Trotzdem kann es natürlich zu einem entsprechenden Verfahren kommen, wenn wir während der Prüfung Verstöße gegen die DS-GVO feststellen.“
Knapp ein Jahr später wurde ein Querschnittskatalog von der Landesdatenschutzbehörde Niedersachsen veröffentlicht. Dieser enthält einerseits die Fragen, welche den Unternehmen 2018 gestellt wurden sowie andererseits Ausführungen darüber, welche konkreten Anforderungen damit verbunden sind. So lassen sich aus dem Katalog interessante Rückschlüsse ziehen. Es wird klar, dass eine sehr detaillierte Beantwortung durch die Unternehmen gefordert wird. Die Konkretisierung der Fragestellungen gibt gleichzeitig Indizien darüber, was die Aufsichtsbehörden genau von den Unternehmen verlangen.
Auf was legen die Aufsichtsbehörden besonders viel Wert bei einer Kontrolle?
Beschafft man sich einen Überblick über die bisher veröffentlichten Fragebögen der Landesdatenschutzbehörden, zeigt sich, dass bestimmte Themen bei allen abgefragt werden. Nachfolgend erhalten Sie einen kurzen Überblick, welche Themengebiete in den geprüften Fragebögen behandelt werden:
- Häufig aufgekommen ist die Frage, ob Datenschutzschulungen vom Unternehmen durchgeführt werden und bereits interne Regelungen, wie beispielsweise ein Datenschutzkonzept, bestehen.
- Weiterhin wird gefragt, ob personenbezogene Daten rechtmäßig verarbeitet werden, wobei eine Dokumentation der Einwilligung gefordert wird.
- Wichtig ist auch die Einhaltung der Betroffenenrechte. Die gestellten Fragen nehmen hierbei konkreten Bezug auf die Kriterien innerhalb des Art. 13 bzw. 14 DS-GVO.
- Bei der Frage nach den technischen und organisatorischen Maßnahmen kommt es den Behörden grundsätzlich darauf an, dass Unternehmen die Wechselwirkung der Maßnahmen mit dem Datenschutz verstehen und konkret auf die wichtigen umzusetzenden Maßnahmen eingehen. Eine allgemeine Beantwortung der dazugehörigen Frage dürfte folglich nicht ausreichen.
- Des Weiteren befasste sich eine Fragestellung mit der Durchführung von Datenschutz-Folgenabschätzungen sowie ob sämtliche Vorgaben eingehalten wurden.
- Ebenso fand sich bei allen Fragenkatalogen die Thematik Auftragsverarbeitung bzw. der Abschluss von Auftragsverarbeitungsverträgen und ob diese den Voraussetzungen des Datenschutzes genügen.
Audits – Vorbereitung auf eine mögliche Kontrolle
Betrachtet man die Fragen, so wird klar, dass hinreichende Maßnahmen im Unternehmen getroffen werden sollten, um vor einer Prüfung einer Aufsichtsbehörde zu bestehen.
Ein klarer Überblick über die Lage innerhalb des Unternehmens oder auch des Konzerns kann zur Erfüllung dieser Aufgabe helfen. Dies kann durch regelmäßige interne Audits gewährleistet werden, womit Schwachstellen ermittelt und ausgewertet werden können, um diese im Nachgang zu beheben.
Aus den Fragestellungen geht – wie bereits erwähnt – ebenfalls hervor, dass die Aufsichtsbehörden sich nicht mit einfachen Antworten zufriedengeben dürften, sondern konkrete Nachweise über ein ordentlich durchgeführtes Datenschutzmanagement fordern. Bei der Erfüllung der Aufgaben im Bereich Datenschutz hilft Ihnen der Datenschutzbeauftragte.
Konsequenzen bei der Ermittlung von Datenschutzmängeln
Unternehmen, die hoffen, dass alles schon passen wird und keine Vorkehrungen treffen, könnten bei einer Überprüfung überrascht werden, da die Anforderungen im Vergleich zu den Altregelungen gestiegen sind. Werden datenschutzrechtliche Mängel bei einer Kontrolle durch eine Landesdatenschutzbehörde ermittelt, dürfte diese zwar dem betreffenden Unternehmen im Regelfall eine angemessene Zeit geben, um den Mangel zu beseitigen. Sofern der Mangel innerhalb der Frist allerdings nicht beseitigt wurde, könnte die überprüfende Aufsichtsbehörde dem Unternehmen ein Bußgeld auferlegen. Neben diesen werden Unternehmen zumeist auch mit Imageschäden und Schadenersatzansprüchen konfrontiert.
