Anlasslose Prüfungen durch die Datenschutzaufsicht in Bayern

Kontrollen sollen Aufmerksamkeit schaffen

Neben anlassbezogenen Kontrollen, zum Beispiel nach Betroffenenbeschwerden, führen Aufsichtsbehörden auch stichprobenartig anlasslose Kontrollen durch. Das BayLDA hat dafür nun eine eigene Stabstelle gegründet. Selbsterklärtes Ziel der regelmäßigen fokussierten Prüfungen soll aber nicht nur eine Ausweitung der datenschutzrechtlichen Kontrollen sein. Durch die begleitende Zurverfügungstellung von Informationen soll vor allem auch die Aufmerksamkeit auf die Prüfbereiche gelenkt werden.

Erste Prüfung: Ransomware

Die erste Überprüfung, welche laut Webseite des BayLDA momentan noch andauert, befasste sich mit dem Thema Ransomware. Abgefragt wurden technische und organisatorische Maßnahmen gem. Art. 32 Datenschutz-Grundverordnung (DSGVO), mit denen Unternehmen grundlegende Maßnahmen zum Schutz vor Ransomware-Angriffen getroffen haben sollten.

Vor allem kleinere Unternehmen stehen trotz der enormen Gefahr, die heutzutage flächendeckend von Ransomware ausgeht, oft nur unzureichend geschützt da. Nicht nur des Datenschutzes wegen, sondern vor allem auch aus eigenen wirtschaftlichen Interessen, sollte sich jedes Unternehmen ausreichend schützen.

Wir empfehlen allen Unternehmen sich den Fragebogen des BayLDA vorzunehmen und zumindest eine grobe Selbsteinschätzung vorzunehmen. Es handelt sich dabei nicht nur um ein Compliance-Thema, sondern vor allem auch um Selbstschutz vor Angriffen.

Zweite Prüfung: Selbstauskünfte von Mietinteressenten

Die jüngst gestartete zweite Prüfung der Stabstelle Prüfverfahren des BayLDA befasst sich mit Selbstauskünften von Mietinteressenten. Anders als beim Thema Ransomware, handelt es sich dabei mehr um ein Compliance- als ein Selbstschutz-Thema. Hier steht klar der Schutz betroffener Personen im Vordergrund.

Auch hier empfehlen wir relevanten Stellen, anhand des Fragebogens des BayLDA eine Selbsteinschätzung vorzunehmen. Das BayLDA nennt als Zielgruppe Immobilien- und Hausverwaltungen. Dennoch sollten auch private Vermieter das Datenschutzrecht im Blick haben. Der Anwendungsbereich der DSGVO ist regelmäßig auch für sie eröffnet.

Da es beim Thema Mietinteressenten-Selbstauskunft regelmäßig um besonders sensible Daten geht, fallen etwaige Bußgelder bei Verstößen voraussichtlich eher höher aus. Zumal Vermieter schon bisher klare Vorgaben der Aufsichtsbehörden haben, an die sie sich halten sollten. Die Datenschutzkonferenz der unabhängigen Aufsichtsbehörden in Deutschland (DSK) hat zu dem Thema bereits 2018 eine umfangreiche Orientierungshilfe veröffentlicht. Diese Orientierungshilfe bietet für die Selbsteinschätzung einen guten Maßstab, der aufgrund der sehr offenen Fragen auch notwendig ist.

Transparentes Vorgehen der Behörde stärkt den Datenschutz

Durch die transparente Veröffentlichung der Fragebögen und zusätzlicher Hinweise, geht die Wirkung der Kontrollen über die kontrollierten Unternehmen hinaus. Damit meinen wir nicht einmal die Drohwirkung der Kontrollen, sondern vor allem, dass relevanten Unternehmen die Chance zu einer Selbsteinschätzung und Verbesserung des eigenen Datenschutzniveaus angeboten wird.

Wir empfehlen allen Unternehmen diese Chance zu nutzen und die Fragebögen zusammen mit ihrem Datenschutzbeauftragten oder einem spezialisierten Anwalt durchzugehen. Das schafft Klarheit über den eigenen Stand im Datenschutzmanagement und bietet die Chance zur Verbesserung – und damit einhergehend natürlich auch zur Vermeidung von möglichen Sanktionen.