Die Aufsichtsbehörden müssen nach Art. 57 DSGVO unter anderem prüfen, inwieweit die Datenschutzgesetze auch in der Praxis eingehalten werden. Zu diesem Zweck kontrollieren die Behörden einzelne, verantwortliche Unternehmen.
Wen kontrolliert die Behörde verstärkt?
Aus den Tätigkeitsberichten der Aufsichtsbehörden wird deutlich, dass insbesondere Branchen genauer unter die Lupe genommen werden, in denen eine Videoüberwachung üblich ist. Von Kontrollen sind demnach häufig Kinos, Gaststätten etc. betroffen.
Häufig geprüft wurden ebenso Betreiber von Webseiten. Einerseits wahrscheinlich, weil eine erste Vorkontrolle mit relativ wenig Aufwand bzw. automatisiert möglich ist. Andererseits auch, weil über Webseiten häufig große Mengen an personenbezogenen Daten erhoben werden.
Nahe liegend ist weiterhin, dass die Aufsichtsbehörden in erster Linie Unternehmen kontrollieren, über die sich bereits betroffene Personen beschwert haben. Auch Unternehmen, die sensible und/oder viele Daten verarbeiten, stehen im Visier.
Wie kontrolliert die Behörde?
Erfahrungsgemäß sendet die Aufsichtsbehörde zunächst auf schriftlichem Weg einen Fragenkatalog an das zu prüfende Unternehmen. Auf Grundlage der Antworten kann unter Umständen eine Vor-Ort-Prüfung erfolgen.
Webseiten prüft die Aufsichtsbörde hingegen direkt online über eigene Tools. Hier wird zum Beispiel kontrolliert, ob ein Content Management System (z. B. WordPress) oder bestimmte Plugins in der aktuellen Version eingesetzt werden (Patch-Management). Oft wird auch nach dem HTTPS-Zertifikat (Verschlüsselung der Webseite) gesehen.
Welche Fragen stellt die Behörde?
Der Fragenkatalog, den die Aufsichtsbehörde an ein Unternehmen stellt, kann allgemeine Fragen enthalten, wie zum Beispiel:
- Wurde ein Datenschutzbeauftragter bestellt und der Aufsichtsbehörde gemeldet?
- Ist ein vollständiges und aktuelles Verzeichnis von Verarbeitungstätigkeiten vorhanden?
- Existiert ein Löschkonzept?
- Auf welcher Rechtsgrundlage werden die Daten verarbeitet?
Abgefragt werden aber häufig auch Details, wie zum Beispiel:
- Wie kommen Unternehmen als potentielle Arbeitgeber im Bewerbungsverfahren den Informationspflichten gegenüber Bewerbern nach?
- Kommt das WP GDPR Compliance Plugin zum Einsatz?
- Werden regelmäßige, automatisierte Backups der Patientendaten durchgeführt?
- Welche Daten werden bei einem Werkstattbesuch (z. B. bei Wartung, Reparatur, Unfall) aus dem Fahrzeug erhoben und in den Systemen der Werkstatt gespeichert?
- Welche Zwecke werden durch die Videoüberwachung verfolgt?
Wie wahrscheinlich ist eine Kontrolle?
Bis dato war es ziemlich unwahrscheinlich, von einer Datenschutz-Aufsichtsbehörde überprüft zu werden, da diese zuletzt überlastet waren. Dies ändert sich in Zukunft ziemlich sicher…
Zieht eine Kontrolle ein Bußgeld nach sich?
Wenn Ihr Unternehmen den Anforderungen der DSGVO nicht entspricht und dies bei einer Kontrolle zu Tage tritt, kann die Aufsichtsbehörde ein Bußgeld verhängen – selbstverständlich. Aus den Tätigkeitsberichten der Aufsichtsbehörden ist aber auch zu lesen, dass Ihr Unternehmen zunächst mit den Mängeln konfrontiert und um Nachbesserung gebeten wird. Nicht in jedem Fall bestraft die Aufsichtsbehörde Ihr Fehlverhalten mit einem Bußgeld.