Haben Sie heute schon Post bekommen? Waren Sie auf alle Schreiben vorbereitet?

Seit einiger Zeit nimmt das Bayerische Landesamt für Datenschutzaufsicht seine Kontrollbefugnis nach § 38 BDSG  nicht mehr nur bei Anlass wahr, sondern wählt stichprobenartig Unternehmen aus, um bei diesen die Umsetzung des Datenschutzes zu überprüfen. Aktuell wurden etwa 160 Firmen angeschrieben.

Oft sind die Empfänger der Schreiben nicht ausreichend auf die Beantwortung der Fragen vorbereitet und sehen sich völlig unvermittelt mit deutlichem Handlungsbedarf konfrontiert, insbesondere da die Schreiben auch eine Frist zur Reaktion enthalten.

Vorweg gesagt: Die verstärkte aufsichtliche Kontrolle ist zu begrüßen, entspricht sie doch der zunehmenden Bedeutung des Datenschutzes und spiegelt auch das deutlich gewachsene öffentliche Bewusstsein für diesen Bereich wider. Durch die Ausweitung der Aufsicht dürfte eine weitere Verbreitung eines angemessenen und gleichmäßigen Datenschutzniveaus erfolgen, was allen Beteiligten zu Gute kommt. Eine größere Kontrolldichte dürfte auch der noch häufiger anzutreffenden Sichtweise entgegenwirken, die Regelungen des Datenschutzes wären vernachlässigbar, da die Befolgung nicht erzwungen, Verstöße nicht entdeckt und Zuwiderhandlungen nicht sanktioniert würden.

Was will das Landesamt wissen? Welchen Inhalt haben die Schreiben?

Die gestellten Fragen sind recht detailliert und gehen explizit auf etliche Punkte ein, deren Umsetzung in der Praxis oft nicht ausreichend erfolgt. Auch wird in Bereichen nachgehakt, in denen die Nichterfüllung der gesetzlichen Pflichten eine Ordnungswidrigkeit darstellt und somit mit einem Bußgeld belegt werden könnte.

Einige Beispiele:

  • Rechtsgrundlagen
    Auf welche Rechtsgrundlagen wird der Umgang mit personenbezogenen Daten im Unternehmen im Wesentlichen gestützt? Rechtsgrundlagen können gesetzliche Vorschriften sowie die wirksame Einwilligung der Betroffenen sein, § 4 Abs. 1 BDSG. Hierzu sind Ausführungen notwendig. Zu belegen wäre, dass für alle wesentlichen Zwecke, zu denen personenbezogene Daten im Unternehmen verwendet werden, auch eine taugliche Rechtfertigung besteht. Gefragt wird ausdrücklich auch nach dem Umgang mit Daten, der in der Praxis regelmäßig Zweifel aufwirft, etwa die Verwendung von E-Mailadressen und Telefonnummern zu Werbezwecken.
  • Datenschutzbeauftragter
    Existiert ein Beauftragter für den Datenschutz im Unternehmen? Das Landesamt begehrt hier überraschend ausführlich Auskunft. Neben dem Nachweis der korrekten Bestellung sind auch Einzelheiten gefragt, die Aufschluss über Person und Eignung des Beauftragten geben und Schlüsse auf seine Aktivität im Unternehmen zulassen. Die Behörde interessiert sich unter anderem etwa dafür, ob Schulungen stattfinden oder regelmäßige Berichte erfolgen, sowie für die vom Datenschutzbeauftragten erstellten Richtlinien.
  • Verfahrensverzeichnisse
    Das Landesamt möchte den Nachweis, dass die Pflicht zur Erstellung der Verfahrensverzeichnisse (§4g BDSG) erfüllt wurde und verlangt die Zusendung einer Kopie.
  • Datengeheimnis
    Nachzuweisen ist die korrekte Verpflichtung der Mitarbeiter auf das Datengeheimnis gemäß § 5 BDSG sowie die Vorlage des eingesetzten Musterformulars.
    Hinweis: Geeignete Muster für die Verpflichtung stellen wir auf diesen Seiten zur Verfügung.
  • Verarbeitung von Daten im Auftrag
    Es wird ausführliche Aufklärung über die im Rahmen der Datenverarbeitung eingesetzten Dienstleister verlangt. Nachzuweisen ist die Befolgung aller Pflichten nach § 11 BDSG, also die sorgfältige Auswahl, korrekte Beauftragung und Kontrolle der Dienstleister.
  • Videoüberwachung
    Zu welchen Zwecken und in welcher Ausgestaltung erfolgt eine Videoüberwachung?
  • Private Nutzung von dienstlichen Geräten
    und Kommunikationswegen sowie BYOD – Nutzung privater Geräte im Unternehmen. Existieren Regelungen und wenn ja, welche? In diesem heiklen Bereich ist schnell mit Folgefragen zu rechnen.
  • Technische und organisatorische Maßnahmen
    Es wird allgemein Auskunft über die getroffenen technischen und organisatorischen Maßnahmen verlangt (§ 9 BDSG mit Anlage hierzu). Erbeten wird in diesem Zusammenhang etwa die Übersendung eines Datenschutzkonzepts.

Um sich einen vollständigen Eindruck vom Inhalt zu machen, haben wir hier eine Kopie eines Schreibens des Landesamtes mit dessen freundlicher Genehmigung bereitgestellt.

Fazit:

Ein solcher Brief kann nicht ausreichend vorbereitete Unternehmen schnell in Bedrängnis bringen, da die Zeit zur Umsetzung geforderter Maßnahmen und zur Behebung ggf. bestehender Defizite durch die gesetzte Frist begrenzt ist. Mag sich die Verpflichtung von Mitarbeitern hier noch relativ einfach und kurzfristig nachholen lassen, wird es bei der Erstellung der angefragten Dokumente oder der Prüfung und korrekten vertraglichen Beauftragung aller eingesetzten Dienstleister schnell eng.

Nur wer sich frühzeitig und umfassend mit der Umsetzung des Datenschutzes befasst, kann einer solchen Prüfung gelassen entgegensehen. Auf unseren Seiten finden Sie hierzu viele hilfreiche Hinweise. Wir unterstützen Sie gerne auch direkt.

Historie der Datenschutz-Prüfungen durch das BayLDA

    0 Kommentare

    Ihr Kommentar

    Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
    Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.