Das Bayerische Landesamt für Datenschutzaufsicht hat als zuständige Behörde für die Überwachung des Datenschutzrechts im nicht-öffentlichen Bereich in Bayern in diesem Jahr in mehr als 150 Fällen von seinem Recht auf eine anlassunabhängige Kontrolle Gebrauch gemacht. Hierbei handelte es sich gewissermaßen um ein Novum. Aus der Vergangenheit kennen wir zwar Kontrollen der Aufsichtsbehörden, diese waren in der Regel aber anlassabhängig, d.h. dass regelmäßig eine Beschwerde den Kontrollmaßnahmen vorausging. Dies war hier nicht der Fall. Vielmehr wurden die Unternehmen zufällig ausgewählt.
Bei diesem stichprobenartigen Vorgehen wurde in einem ersten Schritt den betroffenen Unternehmen ein Katalog mit zu beantwortenden Fragen und bereitzustellenden Nachweisen übersandt. Es ist zu erwarten, dass insbesondere bei den Unternehmen, die unvollständig oder unzureichend auf die gestellten Fragen antworten, weitere Kontrollmaßnahmen durchgeführt werden. Weiterhin ist davon auszugehen, dass weitere Unternehmen im Rahmen der stichprobenartigen Überprüfung demnächst Post erhalten. Mittlerweile haben auch Aufsichtsbehörden aus anderen Bundesländern ähnliche Anfragen an Unternehmen versendet.
Problemstellung
Unternehmen, die sich bislang nur wenig oder gar nicht dem Thema Datenschutz gewidmet haben, werden regelmäßig Schwierigkeiten haben, wenn sie unvorbereitet mit den Fragen der Aufsichtsbehörde konfrontiert werden. Zum einen sind einige der gestellten Fragen unseres Erachtens nicht von den Kontrollrechten der Aufsichtsbehörde gedeckt. Zum anderen werden auch bei den als zulässig zu erachtenden Fragen regelmäßig umfassende Informationen und Belege in Form von Musterschreiben, Nachweisen und Dokumenten angefordert, welche in der Praxis häufig nicht oder zumindest nicht vollständig vorliegen. Hier zutreffende Antworten zu geben gestaltet sich demnach nicht ganz trivial und kann unter Umständen mit einem deutlichen Zeitaufwand verbunden sein. Dies wird umso mehr von Bedeutung, wenn das Unternehmen lediglich über einen Teilzeit-Datenschutzbeauftragten verfügt, der neben diesen Aufgaben noch weitere Funktionen im Unternehmen wahrzunehmen hat.
Fragen der Aufsichtsbehörde
Die Schreiben der Aufsichtsbehörden sind regelmäßig inhaltlich weitestgehend identisch aufgebaut. So werden nach einer kurzen Erläuterung unter Nennung der rechtlichen Grundlagen zahlreiche Fragen gestellt. Nachfolgende Fragen (hier gekürzt und zusammengefasst) wurden üblicherweise gestellt:
- Auf welche Rechtsgrundlagen stützt das Unternehmen die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Wesentlichen?
- Ist ein Datenschutzbeauftragter bestellt? Als Nachweis werden Bestellschreiben sowie Informationen zu dessen Qualifikation, Stellung und Eingliederung im Unternehmen, Budget, usw. gefordert.
- Wurde ein sog. öffentliches Verfahrensverzeichnis erstellt? Als Nachweis wird eine Kopie des Verzeichnisses gefordert.
- Werden die Mitarbeiter auf das Datengeheimnis verpflichtet (Wann? Wie häufig? Durch wen?)? Als Nachweis wird eine Musterbelehrung verlangt.
- Wird eine Auftragsdatenverarbeitung durch Dritte durchgeführt? Als Nachweis wird eine Muster-Auftragsdatenverarbeitungs-Vereinbarung verlangt.
- Findet eine Videoüberwachung statt? Wenn ja, für welche Zwecke und mit welchen Mitteln? Wie lange werden die Aufnahmen gespeichert?
- Wie ist die private Nutzung dienstlicher Kommunikationsmittel geregelt? Als Nachweis wird die Vorlage einer Richtlinie/Vereinbarung verlangt.
- Wie ist die dienstliche Nutzung privater Kommunikationsmittel (BYOD = bring your own device) geregelt?
- Was ist zur Sperrung/ Löschung von nicht mehr erforderlichen Daten im Unternehmen festgelegt?
- Welche technischen und organisatorischen Maßnahmen wurden getroffen? Existiert ein IT-Sicherheitskonzept? Erfolgt eine Zertifizierung/ Auditierung?
- Existiert ein Notfallkonzept/Notfallplan?
Empfehlung
Aufgrund der umfassenden Fragen und der Vielzahl an geforderten Nachweisen ist es häufig in der Kürze der Zeit schwierig, sämtliche Fragen ausreichend zu beantworten und Nachweise zu liefern. Dies gilt umso mehr, wenn erst das Schreiben der Aufsichtsbehörde zum Anlass genommen wird, sich umfassend mit dem Thema Datenschutz auseinanderzusetzen. Es ist daher zu empfehlen, bereits frühzeitig zumindest die gesetzlichen Minimalanforderungen anzugehen, um einer Kontrolle durch die Aufsichtsbehörden dann relativ entspannt entgegensehen zu können.
Aufgrund der Vielschichtigkeit des Datenschutzes empfiehlt es sich, das Thema Datenschutz nicht bei einer Person zu verorten. Neben dem Datenschutzbeauftragten sollten IT-Fachleute zur technischen Unterstützung und Rechtsanwälte zur juristischen Unterstützung hinzugezogen werden. Regelmäßig empfiehlt es sich auch, bevor man sich dem Thema Datenschutz intensiver widmet, eine Bestandsaufnahme über den Status quo hinsichtlich Datenschutz und IT-Sicherheit durchzuführen.
Sollten Sie bereits ein Schreiben der Aufsichtsbehörde in Händen halten, ist zügiges, aber dennoch planvolles Vorgehen geboten. Zunächst sollte das Schreiben rechtlich geprüft werden, da einige Fragen rechtlich zumindest problematisch sind. Weiterhin sollte festgelegt werden, wer im Unternehmen (IT, Datenschutzbeauftragter, Rechtsabteilung, ggf. externer Dienstleister) für die Beantwortung einzelner Fragen beziehungsweise für die Erstellung ggf. noch nicht vorhandener Dokumente verantwortlich ist. Da es sich auch hier um multidisziplinäre (technische, betriebswirtschaftliche und juristische) Aufgaben handelt, wird eine geeignete Projektleitung zur Koordination der Aufgaben empfohlen.
Über den Autor:
Dipl. Betriebswirt (FH) Dr. Florian Modlinger ist als angestellter Rechtsanwalt und zertifizierter Datenschutzbeauftragter (FFD) bei der BDO AWT GmbH Wirtschaftsprüfungsgesellschaft tätig. Er berät Unternehmen verschiedenster Größen und Branchen in den Bereichen Datenschutz und Compliance und ist mehrfach als externer Datenschutzbeauftragter bzw. Compliance-Verantwortlicher bestellt.