Was tun bei Vor-Ort-Kontrollen durch Aufsichtsbehörden?

Unangemeldete Kontrollen durch die Datenschutz-Aufsicht? Egal, ob früher in der Schule oder heute bei der Verkehrskontrolle, solche ungewollten Überraschungen sind uns meistens sehr unangenehm. Doch Vor-Ort-Kontrollen durch Aufsichtsbehörden sind in den letzten Jahren immer häufiger geworden. Dieser Beitrag beleuchtet die rechtlichen Grundlagen solcher Kontrollen und gibt praxisnahe Handlungsempfehlungen, damit Unternehmen Unsicherheiten abbauen und sich gezielt vorbereiten können.

Was sind die rechtlichen Grundlagen von Vor-Ort-Kontrollen?

Die rechtlichen Grundlagen für Vor-Ort-Kontrollen im Datenschutz ergeben sich in erster Linie direkt aus der DSGVO sowie den jeweiligen Landesdatenschutzgesetzen. Die Aufsichtsbehörden sind befugt, Unternehmen zu überprüfen, um die Einhaltung der Datenschutzvorschriften sicherzustellen. Besonders relevant ist dabei Art. 58 Abs. 1 lit a) und lit b) DSGVO, welcher den Behörden das Recht einräumt, Zugang zu allen personenbezogenen Daten und Informationen zu verlangen, die für ihre Aufgaben erforderlich sind. Eine Kontrolle kann sowohl angekündigt als auch unangekündigt erfolgen. Unternehmen sind verpflichtet, mit den Behörden zu kooperieren und die angeforderten Auskünfte zu erteilen.

Die rechtlichen Rahmenbedingungen sind bewusst weit gefasst, um den Aufsichtsbehörden eine effektive Kontrolle zu ermöglichen. Neben der DSGVO sind auch nationale Regelungen, wie etwa das Bundesdatenschutzgesetz (BDSG) oder die jeweiligen Landesdatenschutzgesetze, zu beachten. Diese Gesetze konkretisieren die Befugnisse der Behörden und regeln beispielsweise, in welchen Fällen eine Kontrolle auch ohne vorherige Ankündigung erfolgen darf. Für Unternehmen bedeutet dies, dass sie grundsätzlich jederzeit mit einer Überprüfung rechnen müssen und ihre Datenschutzorganisation entsprechend aufstellen sollten.

Wie gehen Aufsichtsbehörden typischerweise vor?

Der Ablauf einer Vor-Ort-Kontrolle durch Aufsichtsbehörden folgt in der Regel einem strukturierten Muster. Zunächst kann die Kontrolle entweder angekündigt oder unangekündigt stattfinden. Die Prüfer weisen sich beim Eintreffen aus und erläutern den Zweck der Kontrolle. Ganz wichtig ist es hierbei sicherzustellen, dass man tatsächlich die Prüfer zu Besuch hat und nicht auf einen plumpen Social-Engineering-Versuch hereinfällt.
Es ist hilfreich, Maßnahmen dafür und auch für das weitere Vorgehen in einem Ablaufplan festzuhalten, an dem sich Mitarbeiter und Mitarbeiterinnen im Falle einer unangekündigten Prüfung orientieren können.

Im weiteren Verlauf werden relevante Dokumente eingesehen, IT-Systeme geprüft und Mitarbeiter befragt. Am Ende der Kontrolle findet meist eine Abschlussbesprechung statt, in der erste Ergebnisse mitgeteilt und gegebenenfalls Nachforderungen gestellt werden. Anschließend erstellt die Behörde einen Bericht und fordert, falls notwendig, Maßnahmen zur Nachbesserung ein.

Im Fokus der Kontrolle stehen häufig das

• Verzeichnis von Verarbeitungstätigkeiten,
• die technischen und organisatorischen Maßnahmen,
• Löschkonzepte,
• Auftragsverarbeitungsverträge
• sowie die Informationspflichten gegenüber Betroffenen.

Die Behörde legt in aller Regel Wert darauf, dass die Dokumentation vollständig und aktuell ist und dass die Prozesse im Unternehmen tatsächlich so umgesetzt werden, wie sie dokumentiert sind. Besonders kritisch werden dabei auch die technischen und organisatorischen Maßnahmen betrachtet, mit denen Unternehmen die Sicherheit der personenbezogenen Daten gewährleisten. Hierzu zählen beispielsweise Zutrittskontrollen, Verschlüsselungstechnologien oder die regelmäßige Überprüfung von Berechtigungskonzepten.

Ein weiterer wichtiger Aspekt ist die Befragung der im Unternehmen Beschäftigten. Die Aufsichtsbehörden möchten sich ein Bild davon machen, ob das Datenschutzbewusstsein im Unternehmen tatsächlich gelebt wird oder ob es sich lediglich um formale Vorgaben handelt. Daher werden häufig auch Mitarbeiter aus verschiedenen Abteilungen befragt, um die Umsetzung der Datenschutzvorgaben in der Praxis zu überprüfen.

Welche Herausforderungen ergeben sich für Unternehmen?

Datenschutz und Vor-Ort-Kontrollen durch Aufsichtsbehörden stellen Unternehmen vor verschiedene Herausforderungen. Eine der größten Schwierigkeiten besteht darin, die umfangreichen Dokumentationspflichten der DSGVO zu erfüllen und die entsprechenden Unterlagen stets aktuell zu halten. Viele Unternehmen unterschätzen den Aufwand, der mit der Pflege des Verzeichnisses von Verarbeitungstätigkeiten, der technischen und organisatorischen Maßnahmen sowie der Auftragsverarbeitungsverträge verbunden ist. Kommt es zu einer Kontrolle, kann eine veraltete oder unvollständige Dokumentation schnell zu Problemen führen.

Erfahrungen aus dem Berateralltag zeigen immer wieder, dass oftmals eine klare Zuweisung von Verantwortlichkeiten fehlt. In vielen Unternehmen ist nicht eindeutig geregelt, wer im Falle einer Kontrolle als Ansprechpartner fungiert und welche Aufgaben im Rahmen der Zusammenarbeit mit der Aufsichtsbehörde zu erfüllen sind. Dies kann im Ernstfall zu Verzögerungen und Unsicherheiten führen, die den Ablauf der Kontrolle negativ beeinflussen.

Auch die Schulung der Beschäftigten wird häufig vernachlässigt. Dabei ist es entscheidend, dass alle Beschäftigten über die grundlegenden Anforderungen des Datenschutzes informiert sind und wissen, wie sie sich im Falle eine Kontrolle oder einer Datenpanne verhalten sollen. Unzureichend geschulte Mitarbeiter können unbeabsichtigt falsche oder widersprüchliche Auskünfte geben, was den Eindruck mangelnder Datenschutz-Compliance erwecken kann.

Nicht zuletzt ist die technische Umsetzung der Datenschutzanforderungen eine Herausforderung. Die Aufsichtsbehörden prüfen nicht nur die Dokumentation, sondern auch die tatsächliche Umsetzung der technischen und organisatorischen Maßnahmen. Unternehmen müssen daher sicherstellen, dass ihre IT-Systeme den aktuellen Sicherheitsanforderungen entsprechen und regelmäßig überprüft werden.

Wie häufig finden Vor-Ort-Kontrollen statt?

Zwar ist noch nicht zu befürchten, dass die Aufsichtsbehörden nun zu einem großen Rundumschlag ausholen und gefühlt jeden Monat bei Unternehmen auf der Matte stehen. Dies wäre zum einen vermutlich nicht zielführend, da es den oftmals nicht allzu beliebten Datenschutz in ein schlechtes Licht rücken könnte. Zum anderen sind bei den Aufsichtsbehörden weiterhin personelle und zeitliche Ressourcen knapp. Aber dennoch häufen sich die Ankündigungen von Aufsichtsbehörden, auch proaktiv tätig zu werden. Jüngste Beispiele sind in Mecklenburg-Vorpommern und in Hamburg zu finden.

Im Tätigkeitsbericht des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit wurde beispielsweise berichtet, dass sensible Rezeptdaten und Mitarbeiterlisten durch das Schaufenster einsehbar waren. Durch das sofortige Eingreifen der Behörde konnte der Verstoß innerhalb von zwei Stunden durch das Anbringen einer Milchglasfolie behoben werden. In einem anderen Fall wurde eine ungesicherte Aktenvernichtungstonne in einem Hinterhof entdeckt und unmittelbar gesichert. Auch unzulässige Ausweiskopien in einem Hotelbetrieb oder die Kontrolle von Videoüberwachungsanlagen an Tankstellen gehörten zu den überprüften Sachverhalten.

Die Aufsichtsbehörden achten bei diesen Maßnahmen stets auf die Verhältnismäßigkeit und darauf, dass die Rechte der Verantwortlichen gewahrt bleiben. Durch eine kooperative Zusammenarbeit mit der Behörde können Verstöße oft direkt vor Ort behoben werden. Unangekündigte Vor-Ort-Prüfungen ergänzen die regulären, angekündigten Kontrollen und werden gezielt eingesetzt, um dringende Datenschutzprobleme schnell zu lösen. Insofern sollten Unternehmen bei Vor-Ort-Kontrollen nicht in Panik verfallen, sondern diese vielmehr als Chance zur Optimierung von Datenschutz-Prozessen verstehen.

Kooperation mit der Aufsichtsbehörde

Wie so oft im Leben, zahlt sich auch hier eine gute Vorbereitung aus. Folgende Eckpunkte sollten Unternehmen im Hinblick auf Kontrollen stets im Blick haben:

• Verantwortlichkeiten klar definieren: Einen oder mehrere Datenschutz-Koordinatoren bestimmen
• Ganzheitlicher Ansatz: Datenschutz-Dokumentation vollständig und aktuell halten und regelmäßig überprüfen
• Schulung und Sensibilisierung: Mitarbeiterinnen und Mitarbeiter regelmäßig weiterbilden
• Klare Strukturen: Interne und externe Kommunikation festlegen, auch (externen) Datenschutzbeauftragen und ggf. andere Bereiche wie z. B. IT, Informationssicherheit oder Compliance einbeziehen

Vor allem ist es wichtig, dass die Zusammenarbeit mit der Aufsichtsbehörde zügig und lösungsorientiert erfolgt. Auch wenn Aufsichtsbehörden naturgemäß hoheitlich handeln dürfen, steht einer Zusammenarbeit auf Augenhöhe meistens nichts im Wege, wenn Unternehmen Kooperationsbereitschaft zeigen. Man sollte sich klarmachen, dass am Ende alle Beteiligten das gleiche Ziel verfolgen, nämlich eine effektive und sachgerechte Umsetzung des Datenschutzes.