Die Datenschutz-Aufsichtbehörden haben den Auftrag die Anwendung der DSGVO zu überwachen und durchzusetzen. Das heißt u.a., sie müssen Beschwerden und gemeldeten Datenpannen nachgehen aber auch anlasslose Kontrollen initiieren. Aus solchen Kontrollen können Anordnungen oder auch Bußgelder für ein Unternehmen resultieren. Bisher waren erst wenige Aufsichtsbehörden eigeninitiaitiv prüfend tätig. Das wird nicht so bleiben!
Kontrollen können anlasslos und anlassbezogen erfolgen
Anlasslose Kontrollen erfolgen schriftlich und i.d.R. per Fragebogen. Hierbei steht entweder eine spezielle Branche im Fokus oder eine allgemeine Querschnittsprüfung zum Umsetzungsstand der DSGVO. Dadurch können u.a. allgemeine Handlungsbedarfe erkannt werden und gezielte Orientierungs-Leitfäden von den Behörden für alle Unternehmen zur Verfügung gestellt werden.
Aber auch einzelne Themen, über die sich auffallend häufig bei der Aufsichtsbehörde beschwert werden, können dazu führen, dass eine Vielzahl von Unternehmen von ihrer Aufsichtsbehörde Post bekommt. Die Aufgabe für die Unternehmen besteht dann darin, zum ausgewählten Thema ihren eigenen Status wiederzugeben. Diese Antworten helfen den Behörden, die abgefragten Themen in der gängigen Praxis zu erfassen, entsprechendes Wissen auf diesem Gebiet aufzubauen und anschließend Umsetzungs-Empfehlungen zu veröffentlichen.
Anlassbezogene Kontrollen haben eine Vorgeschichte in Form einer Beschwerde bei der Aufsichtsbehörde über ein Unternehmen oder in Form einer Datenpanne, die vom Unternehmen gemeldet wurde. Auch anlassbezogene Kontrollen erfolgen im ersten Schritt in schriftlicher Form. Hierbei wird das Unternehmen von der zuständigen Aufsichtsbehörde zunächst zur Stellungnahme zu einem vorliegenden Sachverhalt aufgefordert.
Wie die Landesbauftragte für den Datenschutz in Niedersachsen Barabara Thiel im unten verlinkten Podcast berichtet, erfolgen Vor-Ort-Prüfungen nur wenn massive Bedenken bzgl. der Datenschutz-Umsetzung bestehen. Im Eigeninteresse der Behörde wird sie diese Kontrolle ankündigen, damit zum Prüfungstermin auch alle relevanten Ansprechpartner im Unternehmen anwesend sind. Bei einem renitenten, unkooperativen Verhalten gegenüber der Aufsichtsbehörde kann es allerdings auch zu unangekündigten Besuchen kommen.
Beispiele aus der Prüf-Praxis der Aufsichtsbehörden
Einen schönen „Service“ – wenn man das in diesem Zusammenhang so bezeichnen möchte – bietet das Bayerische Landesamt für Datenschutzaufsicht auf seiner Website LDA Bayern. Hier werden entsprechende Kontrollen bekannt gegeben: https://www.lda.bayern.de/de/kontrollen.html. Ein solcher Service wäre für jede Aufsichtsbehörden-Website sehr begrüßenswert! Den Querschnitts-Fragebogen der Bayern finden Sie hier: https://www.lda.bayern.de/media/dsgvo_fragebogen.pdf
Mecklenburg-Vorpommern hat bereits eine anlasslose Prüfung bei Arzt-Praxen vorgenommen „zur Anpassung der Praxisorganisation an die Datenschutz-Grundverordnung (DSGVO)“ https://www.datenschutz-mv.de/static/DS/Dateien/Publikationen/Fragebogenaktion/Fragebogen.pdf
Die Niedersächsische Aufsichtsbehörde hat in diesem Jahr eine anlasslose Prüfung u.a. bei 50 Unternehmen durchgeführt – wir berichteten:
In einem interessanten Datenschutz-Praxis Podcast berichtet Barbara Thiel über die Ergebnisse der Prüfung in Niedersachsen: https://www.datenschutz-praxis.de/fachartikel/pruefungen-durch-die-aufsicht-podcast-folge-07/.
In Niedersachsen werden gerade Themen- und Branchenprüfungen für 2020 geplant. Die generellen Auswahl-Kriterien sind dabei die Folgenden:
- Risiko der Datenverarbeitung für den Betroffenen
- Vielzahl von personenbezogenen Daten
- Branchen, zu denen häufig Beschwerden bei der Aufsichtsbehörde ankommen
Es wird also spannend! Denken Sie daran, Ihren Datenschutzbeauftragten immer gut einzubinden.