Was macht eine Aufsichtsbehörde bei einer Datenschutzprüfung?
Je nachdem, wie das Thema Datenschutz bei Ihnen umgesetzt ist, kann die Antwort „Sie stellt sehr unangenehme Fragen.“ oder „Sie wirft einen kurzen Blick auf das, was wir umgesetzt haben.“ lauten. Die Landesaufsichtsbehörden überwachen die Einhaltung des Datenschutzes im jeweiligen Bundesland. Da Freiberufler und Unternehmer unter die Aufsicht der Landesbehörden fallen, ist es also deren Aufgabe, genau Ihnen auf die Finger zu schauen.
Zugegeben, bisher haben Sie davon wahrscheinlich nicht viel bemerkt. Die Anzahl der Prüfungen und Kontrollen war überschaubar, je nachdem in welchem Bundesland Ihre Kanzlei oder Ihr Unternehmen ansäßig ist.
Mehr Prüfungen, mehr Intensität
Als Datenschutzberater und externe Datenschutzbeauftrage stellen wir im Rahmen unserer Tätigkeit jedoch fest, dass die Anzahl der Prüfungen spürbar steigt. Nicht nur das: auch die Intensität der Prüfungen verschärft sich immer mehr. So ist es beispielsweise im vergangenen Jahr zu länderübergreifenden Aktivitäten gekommen, in denen ein federführendes Bundesland zu einem bestimmten Thema ein intensives Prüfprogramm entwickelt hat, das von anderen Ländern übernommen wurde. So beispielsweise bei einer aktuell noch laufenden schriftlichen Prüfung des Bayerischen Landesamtes für Datenschutzaufsicht bei Dating-Portalen, die von Berlin, Hamburg, Baden-Württemberg übernommen wurde. Auch die technischen Möglichkeiten der Landesämter werden immer ausgefeilter, da hier konkret in Ausstattung und Fachkräfte investiert wird. So wurde z.B. eine Prüfung hinsichtlich des Einsatzes korrekter Verschlüsselungsmethoden auf Mailservern (StartTLS und Perfect Forward Secrecy) als technische Prüfung aufgesetzt, bei der die Maiserver der Unternehmen direkt kontrolliert und die Unternehmen über die Ergebnisse sowie die Schlussfolgerungen daraus schriftlich in Kenntnis gesetzt wurden.
Was wird geprüft?
Dem Inhalt der Datenschutzprüfungen sind im Grunde keine Grenzen gesetzt. In der Regel greifen die Landesämter jedoch nicht blind in einen Zauberhut, um ein aktuelles Thema zu finden, sondern orientieren sich z.B. an der Häufigkeit von Beschwerden zu bestimmten Fragestellungen, an aktuellen technischen Erfordernissen oder Themen von allgemeinem Interesse, wie z.B. einer Prüfung von installierten Überwachungskameras auf deren datenschutzkonformen Einsatz in der Münchner Innenstadt (mehr dazu hier). Wer überprüft wird entscheidet entscheidet der Zufall – es kann demnach jedes Unternehmen und jede Kanzlei jederzeit treffen.
Der Umgang mit Bewerberdaten
Ein Thema, welches das Bayerische Landesamt für Datenschutzaufsicht aktuell beschäftigt, ist der Umgang mit Bewerberdaten. Aufgrund einer Häufung von Beschwerden in diesem Bereich wird zur Zeit eine Prüfung durchgeführt, bei der „verantwortliche Stellen“ (also Unternehmen, Praxen, Kanzleien) einen Fragebogen zugeschickt bekommen. In diesem Fragebogen wird der Umgang mit Bewerberdaten genau beleuchtet. Aus den Antworten zieht das Landesamt dann den Schluss, ob das Unternehmen zur Nachbesserung aufgefordert werden muss, oder ob der Umgang mit den Bewerberdaten bereits gut funktioniert.
Hier finden Sie Informationen und den Fragebogen zur aktuellen Prüfung.
Projekte und Studien
Neben den Prüfungen haben die Aufsichtsbehörden noch weitere Aufgabenfelder, in denen sie zum Teil sehr aktiv tätig sind. Schließlich geht es nicht nur um die Kontrolle der Umsetzung der Vorschriften aus dem Bundesdatenschutzgesetz. Der Fokus der Tätigkeiten liegt auch auf der Information von Betroffenen (Personen) und verantwortlichen Stellen (Unternehmen, Kanzleien, Praxen) sowie deren Beratung bei Fragen und Unklarheiten in der Umsetzung. Dazu gehört auch die Teilnahme an Studien, die das Thema Datenschutz im Zusammenspiel mit verschiedensten unternehmerischen Faktoren beleuchten. Ein interessantes Beispiel dafür ist die Studie ITS.APT, an der sich das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein beteiligt. Diese Studie befasst sich, stark verkürzt, mit der Fragestellung, wie weit die Benutzer die Sicherheit von IT-Systemen und Sicherheitsinfrastruktur durch ihr jeweiliges Sicherheitsbewusstsein beeinflussen können.