Wie prüfen Datenschutz-Aufsichtsbehörden Unternehmen?

Die deutschen Aufsichtsbehörden prüfen verstärkt die Umsetzung der Datenschutz-Grundverordnung (DSGVO) in Unternehmen. Doch wie gehen die Aufsichtsbehörden bei einer solchen Kontrolle überhaupt vor? Worauf achten die Datenschützer besonders? Und wie können Sie sich als Unternehmen optimal auf ein Audit durch die Aufsichtsbehörde vorbereiten? Die aktuelle Veröffentlichung der Landesbeauftragten für den Datenschutz Niedersachsen (LfD) gibt Aufschluss.

Hintergrund der Prüfung durch die Aufsichtsbehörde

In einer branchenübergreifenden Querschnittsprüfung hatte die LfD seit Juni 2018 50 großen und mittelgroßen Unternehmen Fragen zu zehn Bereichen des Datenschutzes gestellt. Laut der damaligen Pressemitteilung sollten daraus Hinweise für die zukünftige Arbeit der Aufsichtsbehörde gewonnen werden. So könnten sich zum Beispiel Schwerpunktprüfungen in bestimmten Branchen anschließen. Außerdem erwartete die Behörde Anhaltspunkte dafür, wo noch besonders viel Beratungs- und Aufklärungsbedarf besteht.

Ein gutes Jahr später veröffentlichte die Aufsichtsbehörde den Kriterienkatalog, mittels dessen die Antworten der geprüften Unternehmen ausgewertet wurden. Daraus lassen sich zwei sehr interessante Rückschlüsse ziehen: Zum einen wird klar, welche Punkte bei einer Auditierung auf DSGVO-Konformität für die Aufsichtsbehörde von besonderer Relevanz sind. Zum anderen zeigt sich, wie umfangreich die erwarteten Antworten tatsächlich sein müssen.

Was will die Aufsichtsbehörde konkret wissen?

Als roter Faden zieht sich durch das Dokument der LfD, dass die Aufsichtsbehörde nicht nur hören möchte, dass etwas getan wurde, sondern auch was konkret wie umgesetzt wurde. Standardantworten oder pauschale Aussagen zählen nicht. Es muss vielmehr gezeigt werden, dass sich die Verantwortlichen im Unternehmen konkret und im Detail mit den eigenen Anforderungen auseinandersetzten und hierfür passende individuelle Lösungen haben. Oberflächliche, allgemeine Antworten mit generalisierenden Aussagen reichen klar nicht aus.

Die Prüfung zeigt deutlich, wie wichtig eine detaillierte und dem konkreten Einzelfall angepasste Umsetzung der Datenschutzanforderungen ist. Lösungen „von der Stange“ sind hochgefährlich.

Um dies zu verdeutlichen folgt ein kurzer Überblick anhand einiger Beispiele, die aufzeigen sollen wie genau die Prüfung zu einzelnen Fragen ausgestaltet war:

  • Bei der Frage nach der Vorbereitung auf die DSGVO wurde explizit darauf geachtet, dass alle Unternehmensbereiche individuell beleuchtet, Datenschutzschulungen durchgeführt und geplante Maßnahmen auch tatsächlich umgesetzt wurden.
  • Bei der Frage nach Verzeichnissen von Verarbeitungstätigkeiten sollte ein Musterverfahren eingereicht werden. Dieses wurde anhand von zehn spezifischen Punkten einer Checkliste auf Konformität mit 30 Abs. 1 DSGVO überprüft.
  • Bei der Frage nach der Rechtsgrundlage für Verarbeitungen wurde nicht nur die Angabe einer solchen überprüft, sondern auch deren Plausibilität anhand des Verzeichnis von Verarbeitungstätigkeiten sowie die Angabe der die Rechtsgrundlage begründenden Punkte. Bei Angabe einer Einwilligung als Rechtsgrundlage wurde die konforme Einholung einer solchen detailliert überprüft.
  • Bei der Prüfung wie mit Betroffenenrechten verfahren wird, ging die Behörde auf jeden Punkt ein, der sich aus dem Gesetz ergibt. Die Checkliste allein dazu umfasst ca. drei Seiten.
  • Bei der Frage nach technischen und organisatorischen Maßnahmen kam es der Aufsichtsbehörde besonders darauf an, dass die Antwort Verständnis für die spezielle technische Thematik und deren Implikationen für den Datenschutz ausdrückt. Die Maßnahmen müssen dem konkret ermittelten Risiko entsprechen. Die Ermittlung des Risikos wird folglich als zwingend vorausgesetzt. Es wurde dabei auf konkrete für wichtig erachtete Maßnahmen eingegangen. Eine verallgemeinerte Antwort war daher nicht ausreichend.
  • Bei der Frage nach einer Datenschutz-Folgenabschätzung achtete die LfD darauf, ob nach allen relevanten Normen geprüft wurde, welche Risikobestimmungsmethodik verwendet wurde, ob konkrete Zuständigkeiten vergeben wurden und ob eine Dokumentation stattfand.
  • Bei der Frage nach Auftragsverarbeitung wurde nicht nur darauf geachtet, dass AV-Verträge Art. 28 DSGVO abgeschlossen wurden, sondern anhand einer umfangreichen Checkliste vor allem daraufhin geprüft, dass die Verträge unter allen Aspekten DSGVO-konform sind.

Interne Datenschutzaudits als Vorbereitung auf Kontrollen

Inhalt und Umfang der Kontrollen durch die Aufsichtsbehörde bestätigen wie wichtig es ist, regelmäßig interne Datenschutzaudits durchzuführen, die den Ist-Zustand des Datenschutzes im Unternehmen sowie möglichen Verbesserungsbedarf aufzeigen.

Unternehmen, die einfach darauf hoffen, dass schon alles passt, kann eine böse Überraschung ins Haus stehen, wenn die Datenschutzbehörde eine eigene Überprüfung durchführen möchte. Denn die Aufsichtsbehörden geben sich – wie aus dem Dokument der LfD Niedersachsen deutlich hervorgeht – nicht mit einfachen Antworten zufrieden.

Stattdessen wollen die Aufsichtsbehörden sehen, dass ein aktives Datenschutzmanagement betrieben wird und dafür ein konkretes Datenschutzkonzept vorgelegt bekommen. Aus diesem muss deutlich hervorgehen, dass DSGVO-Konformität im Unternehmen besteht, wie diese gewährleistet wird und wie zukünftig weitere Optimierungen und Anpassungen geschehen.

Anleitungen und Checklisten zur Durchführung eines Datenschutzaudits finden Sie in unserem Special zum Thema. Der Abgleich mit dem Bewertungskatalog der LfD Niedersachen bestätigt unser vorgeschlagenes Vorgehen.

4 Kommentare

  1. Klaus Fischer Profile Picture
    Klaus Fischer

    Guten Tag zusammen,
    ich hatte wegen den ToDoFragen für 1 Mann Betriebe gezielt meine zuständige Behörde in Ansbach für Mittelfranken mit meinen Unterlagen zur Prüfung kontaktiert.
    Antwort:
    Solche Prüfungen würden im Vorfeld als Hilfestellung nicht gemacht, man solle sich externe Hilfe holen oder wenn die Behörde per Prüfung die Unterlagen anfordert.
    Mein Einwand, das es dann zu spät sei um Felder zu beseitigen, es würden ja keine genauen Vorschriften seitens der Behörde, wie die Unterlagen zu sein haben , gefordert,
    sowas ist untragbar, bei Finanzamt habe ich für alles ein extra Formular mit Anleitung,
    das erwarte ich hier auch, immerhin sind es Behörden die bei Fehlern ordentliche Strafen austeilen
    mfg
    KF

    1. Ulrich Lasser Profile Picture
      Ulrich Lasser

      Guten Tag Herr Fischer,

      die Behörden können leider nicht bei jeder Anfrage Hilfestellung geben. Sie sind personell einfach nicht dafür aufgestellt.

      Wir versuchen durch unsere Artikel und kostenlosen Musterdokumente auf unserer Website einen Teil dazu beitragen zu können, gerade kleineren Unternehmen durch den oftmals unübersichtlichen Dschungel des Datenschutzrechts zu helfen.

      Wenn es aber größere Baustellen gibt, fahren Sie natürlich am sichersten wenn Sie professionelle rechtliche Unterstützung hinzuzuziehen.

  2. Dietmar Grün Profile Picture
    Dietmar Grün

    Eine sehr interessante Auswertung. Sie zeigt aber auch wie schwer es für kleine Unternehmen ist, die keinen DSB bestellen müssen, da weniger als 10 Pers. Zugriff auf pers. bez Daten haben, all diesen Anforderungen gerecht zu werden, bindet alleine das erstellen eines DS Konzeptes, der Verarbeitungsverzeichnisse, die Dokumentation technisch und organisatorscher Maßnahmen Resourcen ein, die kaum vorhanden sind. Aus der techn. Dokumentation ergibt sich Handlungsbedarf, der weiter materielle Mittel einbindet. Als Folge, muss man besispielsweise im Einzelhandel die Preise anheben, um ein Teil dieses Aufwandes weiterzugeben. Ist man der erste, freut es den Wettbewerb….. Das Handelssterben wird so jedenfalls bechleunigt…..

    1. Martin Röleke Profile Picture
      Martin Röleke

      Hallo Herr Grün,
      wir wissen um die Anforderungen, die insbesondere kleinere Unternehmen manchmal hart treffen können. Deshalb bieten wir zur Unterstützung eine Vielzahl an kostenlose Vorlagen an, mit denen wir helfen wollen, den Aufwand die datenschutzrechtlichen Anforderungen zu erfüllen, möglichst klein zu halten.
      Hinsichtlich der verpflichteten Benennung eines Datenschutzbeauftragten hat sich zwischenzeitg etwas getan. Informieren Sie sich hierzu gerne in userem Artikel.

      Viele Grüße
      Martin Röleke

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.