Erfahren Sie schon heute, worüber die Rechtswelt morgen redet.
Alle News & Events anzeigen
15.11.2018
Prüfpraxis der Aufsichtsbehörden für Datenschutz am Beispiel der Veröffentlichung von Prüfplänen des Bayerischen Landesamtes für Datenschutzaufsicht
Die Datenschutzgrundverordnung (DSGVO) ist seit dem 25. Mai 2018 unmittelbar geltendes Recht. Sie hat insbesondere aufgrund der erheblich gestiegenen Bußgeldandrohung von bis zu 4 % des weltweit erzielten Vorjahresumsatzes oder € 20 Millionen für große mediale Aufmerksamkeit gesorgt. Nicht zuletzt wegen der vielen ausfüllungsbedürftigen und abstrakten Rechtsbegriffe haben sich neben den unmittelbar Verpflichteten und Rechtsanwendern natürlich zunächst auch die Aufsichtsbehörden mit der neuen Rechtslage vertraut machen müssen. Dass sich diese „Eingewöhnungsphase“ langsam aber sicher einem Ende zubewegt, beweisen verschiedene Dokumente, die das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) auf seiner Webseite veröffentlicht hat.
Neben dem nicht selbstverständlichen Umstand, dass überhaupt bereits geprüft wird, geben diese Dokumente auch einen wertvollen Einblick in die datenschutzrechtliche Prüfpraxis des BayLDA. So ist ersichtlich, dass sowohl anlassunabhängig als auch bei solchen Unternehmen geprüft wird, bei denen bereits Verstöße festgestellt worden sind. Ferner wird vom BayLDA explizit darauf hingewiesen, dass sich die Prüfung nicht in der Zusendung und Beantwortung von Fragen erschöpft. Vielmehr werden die Unternehmen auch aufgefordert, Dokumente wie Informationsmuster nach Art. 13 DSGVO oder IT-Sicherheitskonzepte zur Glaubhaftmachung zu übersenden. Auch Vor-Ort-Prüfungen bleiben vorbehalten.
Wie sich aus den Dokumenten ergibt, wurden bisweilen Unternehmen unterschiedlichster Größe und mit Blick auf unterschiedliche Bereiche geprüft. So sind bisherige Adressaten sowohl drei Großkonzerne als auch diverse kleinere (ab 100 Mitarbeitern) und mittelständische Unternehmen (ab 500 Mitarbeitern) unterschiedlichster Branchen. Inhaltlich betreffen die Prüfungen verschiedene Bereiche des Datenschutzrechts in sehr unterschiedlichen Konkretisierungsgraden. So reichen die Prüfthemen von sehr konkreten Prüfblöcken wie das „Löschen von Daten bei ERP-Systemen (SAP)“ oder das „Patch Management eCommerce-Systeme/Online-Shops (Magento)“ bis hin zu scheinbar eher generischen Prüfmustern wie die „Umsetzung der DS-GVO bei kleinen und mittelständischen Unternehmen (KMUs)“. Der im zuletzt genannten Punkt veröffentlichte Fragebogen des BayLDA betrifft etwa Themen zur Bestellung und zum Aufgabenbereich des Datenschutzbeauftragten im jeweiligen Unternehmen, bestehende Niederlassungen und deren Einbindung in das Datenschutzkonzept, die Existenz eines Verarbeitungsverzeichnisses, das Bestehen und den Umsetzungsstand des IT-Sicherheitskonzepts, Prozesse zum Umgang mit Informations- und Betroffenenrechten sowie Fragen im Zusammenhang mit Datenschutzverletzungen.
Das BayLDA unterwirft dabei nicht jedes Unternehmen dem gleichen Prüfungsschema und beweist in diesem Zusammenhang eine nicht zu leugnende Praxisnähe. So ist sich das BayLDA offensichtlich insbesondere den Problemen größerer Unternehmen bewusst, ein datenschutzkonformes und konsistentes Löschkonzept zu implementieren und prüft nur solche Unternehmen, bei denen sie aufgrund der Unternehmensstruktur entsprechende Probleme vermutet. Ebenso wurden auch 15 größere Unternehmen nach den Informationspflichten gem. Art. 13 DSGVO im Zusammenhang mit dem Bewerbungsprozess befragt, deren Umsetzung erfahrungsgemäß häufig vernachlässigt wird.
Folgen für die Praxis:
Natürlich können aus den Veröffentlichungen keine vorbehaltlosen Schlüsse auf die diesbezügliche Praxis der Aufsichtsbehörden der anderen Bundesländer gezogen werden. Gleichwohl dienen die Informationen nicht nur in Bayern niedergelassenen Unternehmen als wertvolle Prüf- und Ansatzpunkte des eigenen datenschutzrechtlichen Umsetzungsstatus und sollten nicht ignoriert werden.
Die Veröffentlichungen des BayLDA zeigen, dass – wenn sie denn überhaupt je bestanden hat – eine etwaige Schonfrist für die Umsetzung der Datenschutzgrundverordnung abgelaufen zu sein scheint. Unternehmen, die die Datenschutzgrundverordnung bisher noch nicht oder nicht hinreichend umgesetzt haben, sollten diese Informationen weder ignorieren noch in Panik verfallen, sondern die wertvollen Hinweise des BayLDA als Unterstützung begreifen, um die eigene Umsetzung zu organisieren und den Umsetzungsstatus kritisch zu prüfen.
Wie sich aus den Dokumenten ergibt, wurden bisweilen Unternehmen unterschiedlichster Größe und mit Blick auf unterschiedliche Bereiche geprüft. So sind bisherige Adressaten sowohl drei Großkonzerne als auch diverse kleinere (ab 100 Mitarbeitern) und mittelständische Unternehmen (ab 500 Mitarbeitern) unterschiedlichster Branchen. Inhaltlich betreffen die Prüfungen verschiedene Bereiche des Datenschutzrechts in sehr unterschiedlichen Konkretisierungsgraden. So reichen die Prüfthemen von sehr konkreten Prüfblöcken wie das „Löschen von Daten bei ERP-Systemen (SAP)“ oder das „Patch Management eCommerce-Systeme/Online-Shops (Magento)“ bis hin zu scheinbar eher generischen Prüfmustern wie die „Umsetzung der DS-GVO bei kleinen und mittelständischen Unternehmen (KMUs)“. Der im zuletzt genannten Punkt veröffentlichte Fragebogen des BayLDA betrifft etwa Themen zur Bestellung und zum Aufgabenbereich des Datenschutzbeauftragten im jeweiligen Unternehmen, bestehende Niederlassungen und deren Einbindung in das Datenschutzkonzept, die Existenz eines Verarbeitungsverzeichnisses, das Bestehen und den Umsetzungsstand des IT-Sicherheitskonzepts, Prozesse zum Umgang mit Informations- und Betroffenenrechten sowie Fragen im Zusammenhang mit Datenschutzverletzungen.
Das BayLDA unterwirft dabei nicht jedes Unternehmen dem gleichen Prüfungsschema und beweist in diesem Zusammenhang eine nicht zu leugnende Praxisnähe. So ist sich das BayLDA offensichtlich insbesondere den Problemen größerer Unternehmen bewusst, ein datenschutzkonformes und konsistentes Löschkonzept zu implementieren und prüft nur solche Unternehmen, bei denen sie aufgrund der Unternehmensstruktur entsprechende Probleme vermutet. Ebenso wurden auch 15 größere Unternehmen nach den Informationspflichten gem. Art. 13 DSGVO im Zusammenhang mit dem Bewerbungsprozess befragt, deren Umsetzung erfahrungsgemäß häufig vernachlässigt wird.
Folgen für die Praxis:
Natürlich können aus den Veröffentlichungen keine vorbehaltlosen Schlüsse auf die diesbezügliche Praxis der Aufsichtsbehörden der anderen Bundesländer gezogen werden. Gleichwohl dienen die Informationen nicht nur in Bayern niedergelassenen Unternehmen als wertvolle Prüf- und Ansatzpunkte des eigenen datenschutzrechtlichen Umsetzungsstatus und sollten nicht ignoriert werden.
Die Veröffentlichungen des BayLDA zeigen, dass – wenn sie denn überhaupt je bestanden hat – eine etwaige Schonfrist für die Umsetzung der Datenschutzgrundverordnung abgelaufen zu sein scheint. Unternehmen, die die Datenschutzgrundverordnung bisher noch nicht oder nicht hinreichend umgesetzt haben, sollten diese Informationen weder ignorieren noch in Panik verfallen, sondern die wertvollen Hinweise des BayLDA als Unterstützung begreifen, um die eigene Umsetzung zu organisieren und den Umsetzungsstatus kritisch zu prüfen.
Teilen
