Die Landesaufsichtsbehörden für Datenschutz prüfen die Umsetzung der DS-GVO und des BDSG (neu)
Am 25.05.2018 ist die Frist zur Umsetzung der Vorgaben der europäischen Datenschutzgrundverordnung (DS-GVO) und des neuen nationalen Bundesdatenschutzgesetzes (BDSG (neu)) abgelaufen. Erste Datenschutzbehörden haben begonnen, sich ein Bild über den Stand der Umsetzung in Unternehmen zu machen, insbesondere, wie die Firmen die zweijährige Übergangszeit genutzt haben.
Landesaufsichtsbehörden für Datenschutz in Bayern und Niedersachsen sind Vorreiter
Bereits im Mai 2018 hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in einer Pressemitteilung angekündigt, am 25.05.2018 ca. 150 zufällig ausgewählte bayerische Unternehmen unter Zugrundelegung der DS-GVO einen Prüffragebogen zuzuschicken, damit die Unternehmen feststellen können, wie weit sie mit der Vorbereitung auf das neue Recht schon gekommen sind. Hier wurden folgende Themenkomplexe sehr detailliert hinterfragt:
- Struktur und Verantwortlichkeit im Unternehmen
- Übersicht über Verarbeitungen
- Einbindung Externer
- Transparenz, Informationspflichten und Sicherstellung der Betroffenenrechte
- Verantwortlichkeit, Umgang mit Risiken
- Datenschutzverletzungen
Dies habe den Hintergrund, den Unternehmen in Bayern ein Gefühl darüber zu vermitteln, wie das BayLDA beabsichtige, ab Mai 2018 einen Teil der zu verstärkenden Prüfaktivitäten zu gestalten.
Im Juni 2018 hat die Landesbeauftragte für den Datenschutz Niedersachsen (LfD) in einer Presseerklärung mitgeteilt, dass sie seit Ende Juni prüfe, wie gut sich die niedersächsischen Unternehmen bisher auf DSGVO eingestellt haben. In einer branchenübergreifenden Querschnittsprüfung hat die Behörde 50 Unternehmen unterschiedlicher Größe angeschrieben, die Fragen zu zehn Bereichen des Datenschutzes beantworten sollen. Der Fragebogen fragt detailliert folgende Themenkomplexe ab:
- Vorbereitung der Unternehmen auf die DS-GVO (Vorgehensweise)
- Aufnahme von Geschäftsabläufen in Verzeichnis von Verarbeitungstätigkeiten, Sicherstellung der Aktualität
- Zulässigkeit der Verarbeitung (Rechtsgrundlage)
- Sicherstellung der Betroffenenrechte
- Gewährleistung des technischen Datenschutzes
- Prüfung hohes Risiko bei Datenverarbeitung und Notwendigkeit Datenschutz-Folgenabschätzung
- Beachtung Anforderungen an Auftragsverarbeitung/Abschluss von Auftragsverarbeitungsverträgen
- Fachkenntnisse Datenschutzbeauftragter
- Prozess für Meldepflichten
- Nachweis aller Pflichten der DS-GVO (Dokumentation)
In der Presseerklärung der LfD heißt es weiter, dass die Behörde unter Zuhilfenahme des Fragebogens zunächst das Bewusstsein für Datenschutz im Allgemeinen und die Vorschriften der DS-GVO im Speziellen stärken möchte. Es gehe zum jetzigen Zeitpunkt nicht vorrangig darum, möglichst viele Fehler zu finden und Bußgelder zu verhängen, sondern darum aufzuklären, zu sensibilisieren und wertvolle Hinweise zu geben. Trotzdem könne es zu einem entsprechenden Verfahren kommen, wenn die Behörde während der Prüfung Verstöße gegen die DS-GVO feststelle.
Den Fragebogen der LfD erhielten zunächst 20 große und 30 mittelgroße Unternehmen aus verschiedenen Branchen, die ihren Hauptsitz in Niedersachsen haben. Dabei würden nicht kleine Handwerksbetriebe oder kleine Gewerbetreibende geprüft. Eine vollständige Prüfung einzelner Branchen sei im Moment nicht geplant. Bis zum November 2018 werden die Mitarbeiterinnen und Mitarbeiter die Antworten auswerten und anschließend bei ausgewählten Unternehmen Vor-Ort-Termine wahrnehmen. Der Abschlussbericht der Querschnittsprüfung soll dann im Mai 2019 vorliegen.
Die LfD erhofft sich von dieser bisher größten Prüfung seit Bestehen der Aufsichtsbehörde auch Hinweise für ihre zukünftige Arbeit. So könnten sich zum Beispiel Schwerpunktprüfungen in bestimmten Branchen anschließen. Außerdem erwartet die Behörde Anhaltspunkte dafür, wo noch besonders viel Beratungs- und Aufklärungsbedarf besteht. Als Konsequenz daraus könnten beispielsweise neue Orientierungshilfen erarbeitet werden.
Andere Aufsichtsbehörden
Es ist zu erwarten, dass auch die anderen Datenschutzbehörden der Länder entsprechend dem bayerischen oder niedersächsischen Beispiel vorgehen werden.