Die deutschen Aufsichtsbehörden prüfen verstärkt die Umsetzung der Datenschutz-Grundverordnung (DSGVO) in Unternehmen. Doch wie gehen die Aufsichtsbehörden bei einer solchen Kontrolle überhaupt vor? Worauf achten die Datenschützer besonders? Und wie können Sie sich als Unternehmen optimal auf ein Audit durch die Aufsichtsbehörde vorbereiten? Die aktuelle Veröffentlichung der Landesbeauftragten für den Datenschutz Niedersachsen (LfD) gibt Aufschluss.
Hintergrund der Prüfung durch die Aufsichtsbehörde
In einer branchenübergreifenden Querschnittsprüfung hatte die LfD seit Juni 2018 50 großen und mittelgroßen Unternehmen Fragen zu zehn Bereichen des Datenschutzes gestellt. Laut der damaligen Pressemitteilung sollten daraus Hinweise für die zukünftige Arbeit der Aufsichtsbehörde gewonnen werden. So könnten sich zum Beispiel Schwerpunktprüfungen in bestimmten Branchen anschließen. Außerdem erwartete die Behörde Anhaltspunkte dafür, wo noch besonders viel Beratungs- und Aufklärungsbedarf besteht.
Ein gutes Jahr später veröffentlichte die Aufsichtsbehörde den Kriterienkatalog, mittels dessen die Antworten der geprüften Unternehmen ausgewertet wurden. Daraus lassen sich zwei sehr interessante Rückschlüsse ziehen: Zum einen wird klar, welche Punkte bei einer Auditierung auf DSGVO-Konformität für die Aufsichtsbehörde von besonderer Relevanz sind. Zum anderen zeigt sich, wie umfangreich die erwarteten Antworten tatsächlich sein müssen.
Was will die Aufsichtsbehörde konkret wissen?
Als roter Faden zieht sich durch das Dokument der LfD, dass die Aufsichtsbehörde nicht nur hören möchte, dass etwas getan wurde, sondern auch was konkret wie umgesetzt wurde. Standardantworten oder pauschale Aussagen zählen nicht. Es muss vielmehr gezeigt werden, dass sich die Verantwortlichen im Unternehmen konkret und im Detail mit den eigenen Anforderungen auseinandersetzten und hierfür passende individuelle Lösungen haben. Oberflächliche, allgemeine Antworten mit generalisierenden Aussagen reichen klar nicht aus.
Die Prüfung zeigt deutlich, wie wichtig eine detaillierte und dem konkreten Einzelfall angepasste Umsetzung der Datenschutzanforderungen ist. Lösungen „von der Stange“ sind hochgefährlich.
Um dies zu verdeutlichen folgt ein kurzer Überblick anhand einiger Beispiele, die aufzeigen sollen wie genau die Prüfung zu einzelnen Fragen ausgestaltet war:
- Bei der Frage nach der Vorbereitung auf die DSGVO wurde explizit darauf geachtet, dass alle Unternehmensbereiche individuell beleuchtet, Datenschutzschulungen durchgeführt und geplante Maßnahmen auch tatsächlich umgesetzt wurden.
- Bei der Frage nach Verzeichnissen von Verarbeitungstätigkeiten sollte ein Musterverfahren eingereicht werden. Dieses wurde anhand von zehn spezifischen Punkten einer Checkliste auf Konformität mit 30 Abs. 1 DSGVO überprüft.
- Bei der Frage nach der Rechtsgrundlage für Verarbeitungen wurde nicht nur die Angabe einer solchen überprüft, sondern auch deren Plausibilität anhand des Verzeichnis von Verarbeitungstätigkeiten sowie die Angabe der die Rechtsgrundlage begründenden Punkte. Bei Angabe einer Einwilligung als Rechtsgrundlage wurde die konforme Einholung einer solchen detailliert überprüft.
- Bei der Prüfung wie mit Betroffenenrechten verfahren wird, ging die Behörde auf jeden Punkt ein, der sich aus dem Gesetz ergibt. Die Checkliste allein dazu umfasst ca. drei Seiten.
- Bei der Frage nach technischen und organisatorischen Maßnahmen kam es der Aufsichtsbehörde besonders darauf an, dass die Antwort Verständnis für die spezielle technische Thematik und deren Implikationen für den Datenschutz ausdrückt. Die Maßnahmen müssen dem konkret ermittelten Risiko entsprechen. Die Ermittlung des Risikos wird folglich als zwingend vorausgesetzt. Es wurde dabei auf konkrete für wichtig erachtete Maßnahmen eingegangen. Eine verallgemeinerte Antwort war daher nicht ausreichend.
- Bei der Frage nach einer Datenschutz-Folgenabschätzung achtete die LfD darauf, ob nach allen relevanten Normen geprüft wurde, welche Risikobestimmungsmethodik verwendet wurde, ob konkrete Zuständigkeiten vergeben wurden und ob eine Dokumentation stattfand.
- Bei der Frage nach Auftragsverarbeitung wurde nicht nur darauf geachtet, dass AV-Verträge Art. 28 DSGVO abgeschlossen wurden, sondern anhand einer umfangreichen Checkliste vor allem daraufhin geprüft, dass die Verträge unter allen Aspekten DSGVO-konform sind.
Interne Datenschutzaudits als Vorbereitung auf Kontrollen
Inhalt und Umfang der Kontrollen durch die Aufsichtsbehörde bestätigen wie wichtig es ist, regelmäßig interne Datenschutzaudits durchzuführen, die den Ist-Zustand des Datenschutzes im Unternehmen sowie möglichen Verbesserungsbedarf aufzeigen.
Unternehmen, die einfach darauf hoffen, dass schon alles passt, kann eine böse Überraschung ins Haus stehen, wenn die Datenschutzbehörde eine eigene Überprüfung durchführen möchte. Denn die Aufsichtsbehörden geben sich – wie aus dem Dokument der LfD Niedersachsen deutlich hervorgeht – nicht mit einfachen Antworten zufrieden.
Stattdessen wollen die Aufsichtsbehörden sehen, dass ein aktives Datenschutzmanagement betrieben wird und dafür ein konkretes Datenschutzkonzept vorgelegt bekommen. Aus diesem muss deutlich hervorgehen, dass DSGVO-Konformität im Unternehmen besteht, wie diese gewährleistet wird und wie zukünftig weitere Optimierungen und Anpassungen geschehen.
Anleitungen und Checklisten zur Durchführung eines Datenschutzaudits finden Sie in unserem Special zum Thema. Der Abgleich mit dem Bewertungskatalog der LfD Niedersachen bestätigt unser vorgeschlagenes Vorgehen.