Seit einiger Zeit nimmt das Bayerische Landesamt für Datenschutzaufsicht seine Kontrollbefugnis nach § 38 BDSG nicht mehr nur bei Anlass wahr, sondern wählt stichprobenartig Unternehmen aus, um bei diesen die Umsetzung des Datenschutzes zu überprüfen. Aktuell wurden etwa 160 Firmen angeschrieben. Haben Sie einen Datenschutzbeauftragten bestellt?
Oft sind die Empfänger der Schreiben nicht ausreichend auf die Beantwortung der Fragen vorbereitet und sehen sich völlig unvermittelt mit deutlichem Handlungsbedarf konfrontiert, insbesondere da die Schreiben auch eine Frist zur Reaktion enthalten.
Was will das Landesamt wissen? Welchen Inhalt haben die Schreiben?Die gestellten Fragen sind recht detailliert und gehen explizit auf etliche Punkte ein, deren Umsetzung in der Praxis oft nicht ausreichend erfolgt. Auch wird in Bereichen nachgehakt, in denen die Nichterfüllung der gesetzlichen Pflichten eine Ordnungswidrigkeit darstellt und somit mit einem Bußgeld belegt werden könnte.
Hier ein paar Ausführungen/Beispiele dieses Schreibens:
Datenschutzbeauftragter – Existiert ein Beauftragter für den Datenschutz im Unternehmen? Das Landesamt begehrt hier überraschend ausführlich Auskunft. Neben dem Nachweis der korrekten Bestellung sind auch Einzelheiten gefragt, die Aufschluss über Person und Eignung des Beauftragten geben und Schlüsse auf seine Aktivität im Unternehmen zulassen. Die Behörde interessiert sich unter anderem etwa dafür, ob Schulungen stattfinden oder regelmäßige Berichte erfolgen, sowie für die vom Datenschutzbeauftragten erstellten Richtlinien.
Verfahrensverzeichnisse – Das Landesamt möchte den Nachweis, dass die Pflicht zur Erstellung der Verfahrensverzeichnisse (§4g BDSG) erfüllt wurde und verlangt die Zusendung einer Kopie.
Datengeheimnis – Nachzuweisen ist die korrekte Verpflichtung der Mitarbeiter auf das Datengeheimnis gemäß § 5 BDSG.
Verarbeitung von Daten im Auftrag – Es wird ausführliche Aufklärung über die im Rahmen der Datenverarbeitung eingesetzten Dienstleister verlangt. Nachzuweisen ist die Befolgung aller Pflichten nach § 11 BDSG, also die sorgfältige Auswahl, korrekte Beauftragung und Kontrolle der Dienstleister.
Und viele weitere Punkte…
Fazit: Ein solcher Brief kann nicht ausreichend vorbereitete Unternehmen schnell in Bedrängnis bringen, da die Zeit zur Umsetzung geforderter Maßnahmen und zur Behebung ggf. bestehender Defizite durch die gesetzte Frist begrenzt ist. Mag sich die Verpflichtung von Mitarbeitern hier noch relativ einfach und kurzfristig nachholen lassen, wird es bei der Erstellung der angefragten Dokumente oder der Prüfung und korrekten vertraglichen Beauftragung aller eingesetzten Dienstleister schnell eng.
Nur wer sich frühzeitig und umfassend mit der Umsetzung des Datenschutzes befasst, kann einer solchen Prüfung gelassen entgegensehen.