Aufnahme von Prüfkontrollen durch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA)

Wie das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in einer Pressemitteilung vom 07.11.2018 mitgeteilt hat, hat es seine Prüfaktionen wieder verstärkt aufgenommen und neue flächendeckende Datenschutzkontrollen in Bayern angestoßen. Im Fokus der aktuellen Prüfungen steht der sichere Betrieb von Online-Shops, der Schutz vor Verschlüsselungstrojanern in Arztpraxen, die Erfüllung der Rechenschaftspflicht bei Großkonzernen und mittelständischen Unternehmen sowie die Umsetzung der Informationspflichten in Bewerbungsverfahren.

Das BayLDA stellt alle Informationen zu den genannten Datenschutzprüfungen mit Musterschreiben und Infoblättern auf seiner Website zur Verfügung: www.lda.bayern.de/de/kontrollen.html.

Geplant ist u.a. bei größeren und datengetriebenen Unternehmen mit (vermutlich) vielen Dienstleistern im inter-nationalen Umfeld Datenschutzverletzungen bei (Unter-)Auftragverarbeitern zu prüfen. Hierbei sollen 15 Unternehmen manuell ausgewählt werden. Bei sieben von diesen Unternehmen sollen Vor-Ort-Kontrollen stattfinden.

An insgesamt 15 kleinere Unternehmen (ab 100 MA) und mittelständische Unternehmen (ab 500 MA) ist ein Fragebogen verschickt worden. Der Fragebogen enthält u.a. Fragen dahingehend, ob ein vollständiges Verfahrensverzeichnis vorhanden ist, ein Datenschutzkonzept und Löschkonzept existiert oder dokumentierte Begründungen für die Annahme der Rechtsgrundlage „berechtigtes Interesse“ vorliegen. Es wurden sieben Unternehmen ausgewählt, bei denen es gehäuft zu Beschwerden kam. Acht weitere Unternehmen wurden zufällig ausgewählt. Geplant sind hier fünf bis 15 Vor-Ort-Kontrollen.

Zudem wurden 15 größere Unternehmen zufällig ausgewählt und um die Beantwortung der im Anschreiben enthaltenen Fragen gebeten, u.a. wie Informationspflichten im Bewerbungsverfahren nachgekommen wird, welche Abteilungen Zugriff auf die Bewerbungsunterlagen und wie das Löschen sichergestellt wird. Ob Vor-Ort-Kontrollen stattfinden werden, ist noch offen.

Thomas Kranig, Präsident des BayLDA, äußert sich zu den neuen Datenschutzprüfungen wie folgt: „Wir haben dieses Jahr einen sehr hohen Aufwand betrieben, um Verantwortliche aus allen Branchen – vom kleinen Handwerkerbetrieb, dem Verein, dem mittelständischen Betrieb bis hin zum milliardenschweren DAX-Konzern – umfassend zu den Neuerungen der DS-GVO zu beraten. Die Fehlinformationen, die leider immer noch kursieren, verunsichern viele bayerische Unternehmen. Wir erhalten noch regelmäßig absurde Anfragen und individuelle Interpretationen zum neuen Datenschutzrecht, die weit weg von dem sind, was wirklich gemacht werden muss. Unser Ziel ist es daher, nun durch aktive Prüfungen aufzuzeigen, was tatsächlich Prüfmaßstab ist und von den Verantwortlichen erwartet wird. Damit der Verwaltungsaufwand für unsere Behörde in Zeiten, in denen wir nach wie vor mit unzähligen Beschwerden und Meldungen über Datenschutzverletzungen überschüttet werden, überschaubar bleibt, beziehen wir im Rahmen der genannten Prüfungen derzeit nur relativ wenige Verantwortliche ein, veröffentlichen aber gleichzeitig die Prüfschreiben und dazugehörigen Informationsblätter, damit auch alle anderen Unternehmen nachvollziehen können, was wir tatsächlich abfragen und dann selbst prüfen können, ob sie die Anforderungen erfüllen.“

Bereits Ende Juni hat die Landesbeauftragte für den Datenschutz in Niedersachsen eine Querschnittsprüfung gestartet, deren Ergebnisse noch ausstehen.

Die Fragebögen bieten eine gute Überprüfungsmöglichkeit für den Stand der Umsetzung der DS-GVO. Es ist zu erwarten, dass weitere Aufsichtsbehörden ähnlich vorgehen.