Die Datenschutzgrundverordnung (DSGVO) ist seit dem 25. Mai 2018 unmittelbar geltendes Recht. Die Aufsichtsbehörden standen und stehen ebenso wie die verantwortlichen Stellen vor der Herausforderung, sich mit der neuen Rechtslage, insbesondere mit der Vielzahl neuer Rechtsbegriffe, vertraut zu machen. Am 13. August 2018 hat der Bayerische Ministerrat den Beschluss gefasst, die Auslegung der DSGVO nach Möglichkeit bürgernah und mittelstandsfreundlich auszugestalten. Im Einzelnen bedeutet das:

  • In bayerischen Amateursportvereinen, Musikkapellen oder sonstigen von ehrenamtlichem Engagement getragenen Vereinen ist die Bestellung eines Datenschutzbeauftragten nicht nötig
  • Kein Bußgeld bei einem Erstverstoß im Dickicht der Datenschutzregeln
  • Hinweise und Beratung haben Vorrang vor Sanktionen
  • Eindämmung der Praxis, Datenschutzverstöße rechtsmissbräuchlich abzumahnen und abzukassieren
  • Gespräche mit Betroffenen, um die Ziele der Datenschutzgrundverordnung sachgerecht und mit Augenmaß zu verfolgen.

Damit adressiert der Beschluss unmittelbar die aufsichtliche Tätigkeit. Gleichwohl kann er die Betroffenenrechte nach der DSGVO und den Landesdatenschutzgesetzen nicht außer Kraft setzen.

Prüfpraxis des Bayerischen Landesamtes für Datenschutzaufsicht

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), zuständig für den nicht-öffentlichen Sektor, hat auf seiner Webseite Dokumente veröffentlicht, die ein Ende der „Eingewöhnungsphase“ erwarten lassen. Sie liefern einen Einblick in die Prüfpraxis des BayLDA und lassen erkennen, dass auch künftig sowohl anlassunabhängig als auch bei solchen Unternehmen geprüft wird, die bereits „auffällig“ geworden sind.

Das BayLDA weist explizit darauf hin, dass sich die Prüfung nicht in der Beantwortung von Fragenkatalogen erschöpft. Vielmehr werden die Unternehmen auch aufgefordert, Dokumente wie Informationsmuster nach Art.13 DSGVO oder IT-Sicherheitskonzepte zur Glaubhaftmachung zu übersenden. Damit dürfte für viele Verantwortliche (erstmals) die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO praxisrelevant werden. Auch Vor-Ort-Prüfungen bleiben vorbehalten.

Wie sich aus den Dokumenten weiter ergibt, wurden bislang Unternehmen unterschiedlicher Größe und mit Blick auf unterschiedliche Bereiche geprüft. Zu den bisherigen Adressaten zählen drei Großkonzerne sowie kleine (ab 100 Mitarbeitern) und mittelständische Unternehmen (ab 500 Mitarbeitern) aus verschiedenen Branchen.

Inhaltlich betreffen die Prüfungen verschiedene Bereiche des Datenschutzrechts in unterschiedlichen Konkretisierungsgraden. Sie reichen von konkreten Prüfblöcken wie  „Löschen von Daten bei ERP-Systemen (SAP)“oder „Patch Management eCommerce-Systeme/Online-Shops (Magento)“ bis zu scheinbar eher generischen Prüfmustern wie „Die Umsetzung der DS-GVO bei kleinen und mittelständischen Unternehmen (KMUs)“: Der hierzu versandte Fragebogen des BayLDA wird dann aber doch konkret, denn er betrifft unter anderem die Bestellung und den Aufgabenbereich des Datenschutzbeauftragten im Unternehmen, bestehende Niederlassungen und deren Einbindung in das Datenschutzkonzept, die Existenz eines Verarbeitungsverzeichnisses, das Bestehen und den Umsetzungsstand des IT-Sicherheitskonzepts, Prozesse zum Umgang mit Informations- und Betroffenenrechten sowie Fragen im Zusammenhang mit Datenschutzverletzungen.

Das BayLDA beweist Praxisnähe und unterwirft nicht jedes Unternehmen dem gleichen Prüfschema. Ganz offensichtlich ist sich das Amt insbesondere der Schwierigkeiten größerer Unternehmen bewusst, ein datenschutzkonformes und konsistentes Löschkonzept zu implementieren und prüft nur solche Unternehmen, bei denen sie aufgrund der Unternehmensstruktur entsprechende Probleme vermutet. 15 größere Unternehmen wurden außerdem nach den Informationspflichten gem. Art. 13 DSGVO im Zusammenhang mit dem Bewerbungsprozess befragt, deren Umsetzung erfahrungsgemäß besonders häufig vernachlässigt wird.

Folgen für die Praxis

Natürlich lassen sich aus diesen Veröffentlichungen des BayLDA keine unmittelbaren Schlüsse auf die Praxis der Aufsichtsbehörden in anderen Bundesländern ableiten. Gleichwohl stellen sie eine konstruktive Anleitung für jedes Unternehmen dar, um die eigene Umsetzung der DSGVO kritisch zu prüfen und/oder zu organisieren.

von Thomas Hofer, Leiter der Rechtsinformatik an der Juristischen Fakultät der Ludwig-Maximilians-Universität München

    Verpassen sie keine Beiträge mehr!

    Wenn Ihnen dieser Beitrag gefällt, abonnieren Sie unsere Newsletter. Dann entgeht Ihnen kein Insidas Artikel mehr.

    Datenschutzhinweis

    Mit dem Abonnement des Newsletters messen wir auch Reichweite und Erfolg, um diesen noch interessanter zu gestalten. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unserer Datenschutzerklärung.

    Diese Beiträge könnten Sie auch interessieren

    Videoüberwachung bei öffentlichen Stellen in Bayern

    Videoüberwachung bei öffentlichen Stellen in Bayern

    Ein ungebrochener Trend und ein Dauerbrennpunkt im Bereich des Datenschutzrechtes ist das Thema Videoüberwachung. Es ist eines der wichtigsten Schwerpunkte in der Arbeit der Datenschutzbehörden und häufiger Gegenstand in datenschutzpolitischen Diskussionen. Was ist...

    read more
    Tipps zur Nutzung der Webanalytik-Plattform Matomo

    Tipps zur Nutzung der Webanalytik-Plattform Matomo

    Tipps zur Einstellung Matomo ermöglicht das Tracking von Webseitenbesucherinnen und -besuchern mittels Cookies oder JavaScript. Auch im Hinblick auf die zunehmende Verbreitung von Schutzmechanismen in Webbrowsern ist ein Tracking per JavaScript dem Tracking durch...

    read more
    Rechtliche Anforderungen an den Einsatz von Microsoft 365

    Rechtliche Anforderungen an den Einsatz von Microsoft 365

    Teil 1: Microsoft 365: Aufsichtsbehörden im Fokus – Was sagen die Datenschützer?   Dies ist der Auftakt einer Beitragsreihe zur rechtskonformen Nutzung von Anwendungen und Diensten der cloudbasierten „Produktivitätsplattform“ Microsoft 365 (Word, Excel,...

    read more