Datenschutzaufsichtsbehörde kündigt anlasslose Kontrollen an

Die Datenschutzgrundverordnung (DSGVO) gibt den Aufsichtsbehörden u.a. die Aufgabe auf, die Anwendung der Verordnung zu überwachen und durchzusetzen. Die Aufsichtsbehörde kann sich dafür auf die Eingaben und Beschwerden von Betroffenen verlassen. Sie hat aber auch die Möglichkeit aus eigenem Entschluss tätig zu werden und sogenannte anlasslose Kontrollen bei den Verantwortlichen für die Datenverarbeitung durchzuführen. Solche Kontrollen werden von Unternehmen besonders gefürchtet, da sie die Unternehmen zwingen, innerhalb eines von der Behörde vorgegebenen kurzen Zeitraums unter Umständen eine Vielzahl von Informationen aufzubereiten und zu verifizieren, ohne in diesem Moment auf diese Anfrage vorbereitet zu sein. Das bayerische Landesamt für Datenschutzaufsicht als Aufsichtsbehörde hat nun seine Sichtweise auf diese Kontrollen öffentlich gemacht, um den Unternehmen in Bayern die Möglichkeit zu verschaffen, sich auf Kontrollen besser vorbereiten zu können. Die Aufsichtsbehörde legt dabei hohen Wert auf die Transparenz ihrer Aktivitäten. Sie hat daher angekündigt alle verwendeten Prüffragebögen auf ihrer Homepage (www.lda.bayern.de) zu veröffentlichen und dort auch die Ergebnisse der Kontrollen zu dokumentieren. Die Kontrollen werden stichprobenartig erfolgen. Sollten dabei Verstöße festgestellt werden, ist mit Anordnungen (z.B. zur Untersagung der Datenverarbeitung) oder Sanktionen wie Bußgeldern zu rechnen.

Ein besonderes Zeichen der Bereitschaft zur Transparenz seitens der Aufsichtsbehörde ist die Veröffentlichung des für die kommenden Wochen und Monate geplanten Prüfungsplans für Kontrollen in Bayern. Demnach sind zunächst folgende Kontrollen geplant:

• September 2018: Prüfung Rechenschaftspflicht von (erstmal drei) Großunternehmen

• September 2018: Cybersicherheit: Verschlüsselungstrojaner bei Arztpraxen (erstmal 8 Praxen)

• Oktober 2018: Erfüllung der Informationspflichten in Bewerbungsverfahren (bei erstmal 25 Unternehmen)

• Oktober 2018: Cybersicherheit: Patch-Management bei (erstmal 15) Online-Diensten

• November 2018: Cybersicherheit: Erkennung von Datenschutzverletzungen bei internationalen Sub-Dienstleistern (erstmal 5 Großunternehmen).

Es bedarf sicherlich keines besonderen prophetischen Talents, um vorherzusagen dass andere Aufsichtsbehörden in Deutschland und Europa diesem Beispiel der bayerischen Aufsichtsbehörde folgen werden und eigene Kontrollen durchführen werden. Die niedersächsische Aufsichtsbehörde führt bereits seit Juni 2018 umfassende Querschnittskontrollen (zunächst bei 20 großen und 30 mittelgroßen Unternehmen) durch(https://www.lfd.niedersachsen.de/startseite/allgemein/presseinformationen/querschnittspruefung_fragen_zur_dsgvo_an_50_unternehmen/fragen-zur-ds-gvo-an-50-unternehmen-166110.html). Es ist daher die Aufgabe der Unternehmen das Angebot der Aufsichtsbehörde zur Transparenz ernst zu nehmen und sich auf diese Kontrollen bestmöglich vorzubereiten.

Praxistipp:

Da die Aufsichtsbehörde angekündigt hat, alle Prüfbögen auf ihrer Homepage öffentlich zu machen, lohnt sich ein regelmäßiger prüfender Blick auf diese Homepage zum einen als Vorbereitung auf mögliche Kontrollen aber auch als hilfreiche Checkliste zur Prüfung der eigenen Datenschutz Compliance.