DSGVO – die Behörden prüfen

In den letzten Wochen hat es immer wieder Meldungen gegeben, dass die Datenschutzaufsichtsbehörden der Bundesländer ihren Kontrollaufgaben nicht gewachsen sind. Fakt ist, dass schon zu Zeiten des BDSG-aF kontrolliert wurde. Und nachdem sich inzwischen die erste Aufregung um die DSGVO seit ihrem Inkrafttreten am 25. Mai gelegt hat, ist mit Prüfungen durch die Behörden zu rechnen.

Die Dokumentationspflichten nach DSGVO sind wesentlich umfassender als noch zu Zeiten des BDSG-aF. Auch die Bußgelder bei Verstößen gegen die DSGVO sind empfindlich. Daher sind Unternehmen gut beraten, fit für die DSGVO zu sein.

Niedersachsen prüft

So prüft die niedersächsische Landesbeauftragte für den Datenschutz, Barbara Thiel seit Ende Juni 50 Unternehmen „Ich möchte mir zunächst einen Überblick darüber verschaffen, wie die Firmen die zweijährige Übergangszeit bis zur Geltung der DSGVO genutzt haben“ erläutert die Datenschutzbeauftragte und weiter – „Mein Hauptanliegen dabei ist es zu identifizieren, ob es bei den verantwortlichen Stellen noch Nachholbedarf gibt. Außerdem möchte ich mit dieser Prüfung das Bewusstsein für Datenschutz im Allgemeinen und die Vorschriften der DSGVO im Speziellen stärken. Es geht zum jetzigen Zeitpunkt also nicht vorrangig darum, möglichst viele Fehler zu finden und Bußgelder zu verhängen. Stattdessen möchten wir aufklären, sensibilisieren und wertvolle Hinweise geben. Trotzdem kann es natürlich zu einem entsprechenden Verfahren kommen, wenn wir während der Prüfung Verstöße gegen die DSGVO feststellen.“ Auf der Website der niedersächsischen Landesbeauftragten sind die weiteren Informationen nachzulesen und Downloads der Fragebögen.

Der bayerische Löwe ist unterwegs

Auch in Bayern schlafen die Behörden nicht. Zum Teil plant das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) sogar Kontroll-Besuche der zuvor schriftlich überprüften Unternehmen. Zwanzig Online-Shops wurden auf die Verwendung von veralteten eCommerce-Systemen überprüft. Auch Ärzte in Bayern dürfen mit Kontrollen des BayLDA  rechnen. Das große Thema bei den Medizinern sind Verschlüsselungstrojaner. Darüber hinaus stehen drei Großkonzerne auf der Liste. Sie haben erst einmal je 50 Fragen erhalten, ob in den Unternehmen eine datenschutzkonforme Verarbeitung personenbezogener Daten stattfindet und wie mit Betroffenenrechten umgegangen wird. Weiter prüft das BayLDA bei 15 zufällig ausgewählten Vereinen und Unternehmen, ob und wie die Informationspflichten in Bewerbungsverfahren eingehalten werden. Und schließlich werden kleine und mittlere Unternehmen überprüft, von denen etwa die Hälfte durch Beschwerden aufgefallen ist. Auch hier sind die detaillierten Information sowie Fragebögen auf der Website der Behörde hinterlegt.

Autor – Daniela Maria Hübsch
Bild –  Freistaat Bayern – Bayerisches Staatsministerium

100 Tage DSGVO

So schlimm war es doch gar nicht! Die nach Inkrafttreten der DSGVO in einigen Medien befürchteten Szenarien von Abmahnwellen oder massenweise Verhängungen von Bußgeldern durch die Behörden sind glücklicherweise ausgeblieben.

Aber es hat sich auch gezeigt, dass die Bürger ihre Rechte nach der DSGVO wahrnehmen! Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Andrea Voßhoff stellte 100 Tage nach Einführung der DSGVO eine signifikante Steigerung von Datenschutz-Eingänge fest: „So erreichten mein Haus seit dem 25. Mai bis Mitte August insgesamt 1.020 Beschwerden und 1.453 Allgemeine Anfragen. Auch die in meinen Zuständigkeitsbereich fallenden Institutionen nehmen ihre Pflichten ernst, meldeten im vorgenannten Zeitraum 4.254 potentielle Datenschutzverstöße und baten darüber hinaus um Beratung.“

DSGVO ist Betroffenenrecht

Die DSGVO will unter anderem die Betroffenenrechte von 500 Millionen EU-Bürgern nachhaltig stärken, denn persönliche Daten sind ein außerordentlich begehrtes Handelsgut. So stellt die DSGVO hohe Anforderungen an die Transparenz von Unternehmen und Behörden. Gleichzeitig haben diese umfangreiche Informations- und Benachrichtigungspflichten gegenüber den Betroffenen. Sinn und Zweck ist, dass Bürger leichter Konsequenzen und Reichweite der Datenverarbeitung absehen und ihre Rechte besser in Anspruch nehmen können.

Ruhe vor dem Sturm

Dass die Kontrolle und Durchsetzung der DSGVO für Unternehmen weiterhin so vor sich hinplätschert, ist unwahrscheinlich. Es hat ja auch vereinzelte Abmahnungen gegeben. Dabei wurden Entschädigungszahlungen bis zu 12.500 Euro für die Verletzung des Rechts auf Datenhoheit und einen Verstoß gegen die informelle Selbstbestimmung, fällig. Die Aufsichtsbehörden haben die ersten Anstürme nun langsam aber sicher abgearbeitet, neue Mitarbeiter eingestellt, soweit notwendig geschult und es ist davon auszugehen, dass die Kontrollen auf Einhaltung der DSGVO zunehmen.

Gutes Datenschutzmanagement ist auch Unternehmensschutz

Betriebe, die sich für die DSGVO rüsten, sichern sich wesentliche Vorteile, nicht nur den Aufsichtsbehörden gegenüber! Denn in Zukunft kommt kein Geschäftsmodell mehr ohne die automatisierte Verarbeitung personenbezogener Daten aus. Und genau hier liegt die Achillesferse: Ungenügend strukturierte und gesicherte Daten machen angreifbar und in vielerlei Hinsicht nachhaltig verwundbar. Jedes zweite Unternehmen in Deutschland war schon Opfer von digitaler Sabotage, Spionage oder Datenklau. Die betroffenen Unternehmen haben bei solchen GAU nicht nur finanziellen Schaden, sondern müssen sich in- und extern mit hohen Vertrauensverlusten auseinandersetzen.

Auch aus diesen Gründen macht die Implementierung zuverlässiger, sicherer und rechtskonformer Datenschutz-Management-Systeme Sinn.

Autor – Daniela Maria Hübsch
Bild – Thinkstock