Aktuelle Prüfungen der Datenschutzaufsichtsbehörden

Zuletzt geändert: | Lesezeit ca.: 7 Minuten

Die Datenschutzaufsichtsbehörden der Bundesländer prüfen schon seit Jahren die Umsetzung des Datenschutzes gemäß Bundesdatenschutzgesetz (BDSG) in Unternehmen. Mit der europäischen Datenschutz-Grundverordnung (DSGVO) dürften diese Prüfungen häufiger und umfassender werden. Ein wesentlicher Grund dafür sind die deutlich umfangreicheren Dokumentationspflichten. Weil unter der DSGVO empfindliche Bußgelder für Datenschutzverstöße drohen, sind Unternehmen gut beraten, genau zu wissen, wie die Aufsichtsbehörden vorgehen. Die jeweils aktuellen Prüfungen finden Sie in diesem Artikel.

Datenschutzprüfungen bei bayerischen Unternehmen und Ärzten (BayLDA, 7. November 2018)

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat seine Prüfaktivitäten wieder verstärkt aufgenommen und neue flächendeckende Datenschutzkontrollen in Bayern angestoßen. Dabei werden unter anderem Arztpraxen auf ihre Cybersicherheit (Stichwort „Ransomware“) überprüft und Fragebögen an kleine und mittelständische Unternehmen versandt.

Laut Pressemitteilung des BayLDA sei es nicht das Ziel, kleine Betriebe mit Datenschutzkontrollen zu überfordern, sondern größere und risikobehaftete Organisationen hinsichtlich möglicher Gefährdungsquellen zu sensibilisieren. Außerdem wolle man darauf hinwirken, dass personenbezogene Daten gerade dort wirksam und angemessen geschützt werden.

Achtung, sollten Sie von den Prüfungen betroffen sein: Das BayLDA plant im Nachgang zu den schriftlichen Prüfungen ausgewählte Unternehmen zum Teil auch vor Ort zu besuchen und die gemachten Angaben auf Richtigkeit zu kontrollieren.

Derzeit werden folgende Bereiche bzw. Unternehmen geprüft:

Sicherer Betrieb von Online-Shops (Cybersicherheit)

Zwanzig bayerische Online-Shops, zufällig aus allen Branchen zusammengestellt, wurden hinsichtlich der Verwendung von veralteten und unsicheren eCommerce-Systemen geprüft. Die Unternehmen haben ein detailliertes Prüfschreiben erhalten und sind aufgerufen, festgestellte Defizite zu beheben.

Verschlüsselungstrojaner in Arztpraxen (Cybersicherheit)

Verschlüsselungstrojaner („Ransomware“) sind auch in Bayern weiterhin aktiv: […] Das BayLDA hat sich deshalb entschieden, Ärzte zum Umgang und Prävention von Ransomware-Attacken zu kontrollieren.

Rechenschaftspflicht bei Großkonzernen

Das BayLDA hat drei Großkonzernen jeweils 50 Fragen gestellt und prüft damit, ob in der jeweiligen Organisation eine datenschutzkonforme Verarbeitung personenbezogener Daten stattfindet und mit Betroffenenrechten sowie Datenschutzverletzungen richtig umgegangen wird.

Lesen Sie zu diesem Thema unseren aktuellen Ratgeber zur Rechenschaftspflicht!

Erfüllung der Informationspflichten in Bewerbungsverfahren

Mit dieser Erfahrung entschied sich das BayLDA deshalb nun im Oktober 2018, erneut bei zufällig ausgewählten Verantwortlichen die Verarbeitung personenbezogener Daten in Bewerbungsverfahren zu untersuchen. […] Hierzu werden derzeit 15 Verantwortliche in Bayern, ausschließlich größere Betriebe und Vereine, geprüft.

Umsetzung der DSGVO bei kleinen und mittelständischen Unternehmen (KMUs)

In einer Prüfung zur allgemeinen Datenschutzorganisation sind 20 Fragen zu beantworten und zum Teil Unterlagen vorzulegen. […] Die 15 geprüften Unternehmen (mit jeweils über 100 Mitarbeitern) wurde nach folgenden Kriterien ausgesucht: Die Hälfte ist beim BayLDA bereits durch Beschwerden aufgefallen. Ansonsten wurden Verantwortliche aus unterschiedlichen Branchen aus ganz Bayern berücksichtigt.

Weitere angekündigte Prüfungen des BayLDA

Achtung: Auf seiner Website kündigt das BayLDA bereits weitere Prüfungen an:

  • Noch im November 2018 sollen Datenschutzverletzungen bei (Unter-)Auftragsverarbeitern geprüft werden. Das BayLDA fragt sich insbesondere, warum von (internationalen) Dienstleistern verhältnismäßig wenige Datenpannen gemeldet werden, während die Meldungen von Verantwortlichen gemäß Art. 33 und 34 DSGVO deutlich zugenommen hätten. Geprüft werden voraussichtlich 15 größere und datengetriebene Unternehmen mit (vermutlich) vielen Dienstleistern im internationalen Umfeld. Bei sieben dieser Unternehmen könnten auch Vor-Ort-Kontrollen stattfinden.
  • Im Dezember 2018 geht es dem BayLDA um das DSGVO-konforme und fristgerechte Löschen personenbezogener Daten in ERP-Systemen. Welche Unternehmen bzw. welche Kategorien von Unternehmen geprüft werden, ist aktuell noch offen.

Frühere Prüfungen der Datenschutzaufsichtsbehörden

DSGVO-Umsetzung in Niedersachsen (Juni 2018)

Die Landesbeauftragte für den Datenschutz Niedersachsen prüft als eine der ersten Datenschutzaufsichtsbehörden die Umsetzung der DSGVO in Unternehmen. In einer branchenübergreifenden Querschnittsprüfung sollen 50 Unternehmen zu je zehn Bereichen des Datenschutzes Stellung beziehen.

Im Fokus der Prüfung stehen 20 große und 30 mittelgroße Unternehmen. Es gehe explizit nicht um kleine Handwerksbetriebe oder ähnliches, teilte die Aufsichtsbehörde in ihrer Pressemitteilung mit. Man wolle zum einen prüfen, ob es bei den verantwortlichen Stellen Nachholbedarf gäbe. Zum anderen ginge es auch darum, das Bewusstsein für Datenschutz und die neuen DSGVO-Vorschriften zu stärken. Die Suche nach Fehlern und das Verhängen von Bußgeldern seien zum jetzigen Zeitpunkt nicht vorrangig.

Nach Auswertung der versandten Fragebögen sollten vereinzelt auch Vorort-Überprüfungen bei Unternehmen stattfinden, so die Landesbeauftragte für den Datenschutz in Niedersachsen, Barbara Thiel. Insgesamt erhoffe sie zu ermitteln, wo die Aufsichtsbehörde in Zukunft vermehrt aufklären und beraten müsse.

Welche Fragen stellt die Aufsichtsbehörde?

Der Fragenkatalog der niedersächsischen Datenschutzaufsichtsbehörde (hier als PDF verfügbar) vermittelt einen ersten Eindruck, wie umfangreich Prüfungen zukünftig ausfallen könnten. Folgende Themen werden abgefragt:

  1. Wie erfolgte die Vorbereitung auf die DSGVO?
  2. Wie wurde das Verzeichnis von Verarbeitungstätigkeiten erstellt? Wie wird es aktualisiert?
  3. Auf Basis welcher Rechtsgrundlagen werden Daten verarbeitet?
  4. Mittels welcher Prozesse werden Betroffenenrechte gewahrt?
  5. Mit welchen technischen und organisatorischen Maßnahmen (TOM) werden Daten geschützt und wie werden diese TOM aktualisiert?
  6. In welchem Umfang geschieht eine Datenschutz-Folgenabschätzung?
  7. Welche Verträge werden bei der Auftragsverarbeitung eingesetzt?
  8. Wie wird der Datenschutzbeauftragte eingesetzt?
  9. Auf welche Art und Weise wird den Meldepflichten gegenüber der Aufsichtsbehörde nachgekommen?
  10. Wie können die vorgenannten Punkte nachgewiesen werden?

Fachliche Einschätzung der Datenschutzprüfung

Die Aufsichtsbehörde Niedersachsens begnügt sich in ihrem Fragebogen nicht mit einfachen Aussagen. Stattdessen haben geprüfte Unternehmen ihren Antworten Muster und Beispiele beizufügen, damit die tatsächliche Umsetzung des Datenschutzes geprüft werden kann. Hier gilt es, gut vorbereitet zu sein.

Zudem ist zumindest kritisch zu hinterfragen, ob es tatsächlich bei einer solch gutwilligen Haltung der Aufsichtsbehörde bleibt. Denn Art. 83 DSGVO sieht explizit eine Pflicht zur Ahndung von Datenschutzverstößen vor. Handlungsspielraum haben die Aufsichtsbehörden lediglich bei der Höhe der Bußgelder.

Darüber hinaus sollten Unternehmen, bei denen die Prüfung zu Beanstandungen führt, diese Mängel umgehend beheben. Denn selbst wenn derzeit noch keine Bußgelder verhängt werden bzw. würden, sind einmal bekannt gewordene Defizite ein guter Grund für die Datenschutzaufsichtsbehörde, bald wieder vorstellig zu werden.

Umsetzungsstand DSGVO (Bayern - Mai 2017)

Ab 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung (DSGVO) unmittelbar anwendbar. Damit ist seit Inkrafttreten der neuen europäischen Datenschutz-Vorschriften genau die Hälfte der Zeit zur Umsetzung verstrichen. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) nutzt diesen Anlass, um 150 zufällig ausgewählte Unternehmen zu überprüfen. Inhalt der Kontrolle via Fragebogen ist der Stand der Umsetzung der DSGVO im Unternehmen.

Ziel des BayLDA ist es, den Unternehmen in Bayern bereits jetzt ein Gefühl darüber zu vermitteln, wie sich ab Mai 2018 die verstärkten Prüfaktivitäten gestalten. Denn zwar bleiben viele Prinzipien des Datenschutzrechts vergleichbar mit dem noch geltenden Bundesdatenschutzgesetz (BDSG). Bei der konkreten Umsetzung ergeben sich jedoch maßgebliche Änderungen; insbesondere umfassendere Rechenschaftspflichten schlagen hier zu Buche.

Damit nicht nur die überprüften Unternehmen wissen, wie sich Datenschutz-Kontrollen unter der DSGVO (zumindest in Bayern) gestalten, hat das BayLDA den Prüffragebogen als PDF veröffentlicht.

Grenzüberschreitenden Datenübermittlung (bundesweit - November 2016)

Die Datenschutz-Aufsichtsbehörden von zehn Bundesländern prüfen seit November 2016 in einer koordinierten Aktion deutschlandweit 500 Unternehmen im Bereich der grenzüberschreitenden Datenübermittlung. Die Kontrolle erfolgt vorerst durch einen detaillierten Fragebogen. Je nach Ergebnis ist mit Folgemaßnahmen zu rechnen.

Durch die zunehmende Nutzung von Cloud-Computing und Software-as-a-Service (SaaS) in Unternehmen, aber auch durch die Auslagerung von Management- oder IT-Prozessen, werden immer häufiger personenbezogene Daten (etwa von Kunden oder Mitarbeitern) ins Nicht-EU-Ausland transferiert, weil die Server der jeweiligen Anbieter z. B. in den USA stehen. Vor dem Transfer der Daten muss vom Unternehmen sichergestellt werden, dass die Daten im Empfängerland ausreichend geschützt sind. Andernfalls hat die Übermittlung zu unterbleiben.

Die bisherige Erfahrung der Datenschutzaufsichtsbehörden zeige, dass sich Unternehmen bei Nutzung solcher Produkte nicht immer der Tatsache bewusst sind, dass daraus datenschutzrechtliche Konsequenzen resultieren. Die aktuelle Überprüfung habe deshalb den Zweck, Unternehmen für diese Herausforderung zu sensibilisieren, so das Bayerische Landesamt für Datenschutzaufsicht in seiner betreffenden Pressemitteilung (PDF).

Wo prüfen die Aufsichtsbehörden welche Unternehmen?

Die aktuelle Überprüfung wird koordiniert von den Datenschutz-Aufsichtsbehörden in den Bundesländern Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt angegangen. Im Rahmen der Prüfung werden rund 500 Unternehmen angeschrieben, die nach dem Zufallsprinzip ausgewählt wurden. Es wurde Wert daraufgelegt, Unternehmen unterschiedlicher Größenordnungen und verschiedener Branchen einzubeziehen.

Was wird überprüft?

Betroffene Unternehmen erhalten einen „Fragebogen zur Prüfung des internationalen Datenverkehrs“ (beim BayLDA als Download verfügbar). Gefragt wird zum Beispiel nach der Inanspruchnahme externer Leistungen und Produkte in Bereichen wie Fernwartung, Support, Ticketing-Bearbeitung, aber auch Customer-Relationship-Management oder Bewerbermanagement. Die Unternehmen werden dann aufgefordert, die entsprechenden von ihnen genutzten Dienstleistungen und Produkte konkret zu nennen.

Sofern personenbezogene Daten in Nicht-EU-Staaten übermittelt werden, sind die kontrollierten Unternehmen darüber hinaus aufgefordert anzugeben, auf welcher datenschutzrechtlichen Grundlage die Übermittlungen erfolgen. Mitgeteilt werden muss bspw., ob für das Zielland durch Beschluss der Europäischen Kommission ein angemessenes Datenschutzniveau anerkannt ist (dazu zählt auch das EU-U.S. Privacy Shield), ob Standardvertragsklauseln als Grundlage verwendet werden, ob die Übermittlungen auf Einwilligungen der Betroffenen gestützt werden und ob der Datenschutzbeauftragte des Unternehmens entsprechend konsultiert wurde.

Datenschutzrechtliche Einschätzung

Anzumerken ist, dass die aktuelle Prüfung der Aufsichtsbehörden sich vorwiegend auf den letzten zu klärenden Bereich beim Datentransfer in Drittstaaten bezieht. Denn die angemessene Datensicherheit am Empfängerort zu gewährleisten, ist längst nicht das einzige, was Unternehmen tun müssen.

Voraussetzung für einen zulässigen Drittstaatentransfer ist, dass für diesen an sich eine belastbare Rechtsgrundlage vorliegt und die gegebenenfalls notwendigen Formalien (etwa der Abschluss von Vereinbarungen zur Auftragsdatenverarbeitung) beachtet werden. Sind diese Voraussetzungen nicht erfüllt, ist die Datenübermittlung allein dadurch rechtswidrig. Diese Vorbedingungen werden im Fragebogen der Aufsichtsbehörden nur angedeutet.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.