Aufsichtsbehörde prüft Datenschutzorganisation in Unternehmen

Das Bayrische Landesamt für Datenschutzaufsicht hat angekündigt, ab Februar die Datenschutzorganisation von Unternehmen in ihrem Zuständigkeitsbereich anlasslos zu überprüfen. Dazu versendet sie an die Unternehmen Fragebögen, eine Methode, die sich auch bei anderen Aufsichtsbehörden immer größerer Beliebtheit erfreut.

Überprüfung nach dem Zufallsprinzip

Für das erste Halbjahr 2016 ist die Überprüfung von 56 Unternehmen geplant, wie der Homepage der Aufsichtsbehörde zu entnehmen ist. Die Unternehmen werden nach regionalen Kriterien und dem Zufallsprinzip ausgesucht.

Das Bayrische Landesamt für Datenschutzaufsicht verschickt schon seit 2013 Fragebögen zur Datenschutzorganisation und hat in den ersten beiden Jahren der Aktion immerhin 262 Unternehmen überprüft. In seinem 6. Tätigkeitsbericht (Seite 32) präsentiert das Landesamt die Ergebnisse der Aktion.

Die häufigsten Mängel waren festzustellen bei der Bestellung und Tätigkeit des Datenschutzbeauftragten, z. B. wegen nicht vertretbarer Interessenkollision (Datenschutzbeauftragter gleichzeitig DV-Administrator, Personalchef, Vorstand oder ähnliches), bei der (zu langen) Speicherdauer der Videoüberwachungsdaten oder einer fehlenden Regelung der privaten Internet- und E-Mail-Nutzung am Arbeitsplatz.

Was ist Datenschutzorganisation?

Es handelt sich dabei um alle Vorkehrungen und Maßnahmen, die im Unternehmen zum Schutz personenbezogener Daten getroffen werden. Dazu gehören auch Maßnahmen, die nicht gesetzlich vorgeschrieben sind, sich aber trotzdem etabliert haben:

1. Bestellung und Tätigkeit des Datenschutzbeauftragten
2. Öffentliches Verfahrensverzeichnis
3. Verpflichtung der Mitarbeiter auf das Datengeheimnis
4. Auftragsdatenverarbeitung
5. Datenschutzkonforme Videoüberwachung
6. Private Nutzung dienstlicher Kommunikationsmittel
7. Dienstliche Verwendung privater Kommunikationsmittel
8. Technische und organisatorische Maßnahmen

Wie die Überprüfung der Aufsichtsbehörde ergeben hat, verfügen immer noch fünf Prozent der befragten Unternehmen über keine Datenschutzorganisation. Deutlich höher dürfte die Zahl der Unternehmen sein, in denen nur rudimentäre Schutzmaßnahmen getroffen werden oder bestimmte Maßnahmen fehlen.

Allen Verantwortlichen in diesen Unternehmen können wir nur dringend empfehlen, die eigene Datenschutzorganisation anhand des Fragebogens der bayrischen Aufsichtsbehörde zu überprüfen. Die wichtigsten Merkmale einer solchen Organisation sind darin in übersichtlicher Form zusammengefasst.

Fragebogen ernst nehmen!

Ein Fragebogen kommt erst einmal ganz harmlos daher. Kann man nicht nach dem alten Behördenprinzip „Gelesen-Gelacht-Gelocht“ verfahren oder bei der Beantwortung schummeln? Das ist nicht zu empfehlen. Denn die Aufsichtsbehörde überprüft die Angaben stichprobenartig. Mitarbeiter des Bayrischen Landesamts für Datenschutzaufsicht kommen dazu wie das Finanzamt unangekündigt ins Unternehmen.

Was passiert, wenn ein Unternehmen den Fragebogen einer Datenschutzaufsichtsbehörde nicht ernst nimmt, kann man gerade in Hamburg beobachten. Nach dem Safe Harbor-Urteil des Europäischen Gerichtshofs hatte der Hamburgische Landesbeauftragte für den Datenschutz 35 Unternehmen einen Fragebogen zum Datentransfer in die USA geschickt. Drei Unternehmen haben etwas unbekümmert geantwortet, personenbezogene Daten ohne Rechtsgrundlage in die USA zu übermitteln. Laut Spiegel droht diesen Unternehmen nach einem Anhörungsverfahren ein Bußgeld von bis zu 300.000 Euro.

So weit muss es nicht kommen. Daher empfehlen wir, ob Sie nun einen Fragebogen erhalten haben oder nicht: Bringen Sie Ihre Datenschutzorganisation in Ordnung!