Die Datenschutzgrundverordnung (DSGVO) ist seit dem 25. Mai 2018 unmittelbar geltendes Recht. Die Aufsichtsbehörden standen und stehen ebenso wie die verantwortlichen Stellen vor der Herausforderung, sich mit der neuen Rechtslage, insbesondere mit der Vielzahl neuer Rechtsbegriffe, vertraut zu machen. Am 13. August 2018 hat der Bayerische Ministerrat den Beschluss gefasst, die Auslegung der DSGVO nach Möglichkeit bürgernah und mittelstandsfreundlich auszugestalten. Im Einzelnen bedeutet das:
- In bayerischen Amateursportvereinen, Musikkapellen oder sonstigen von ehrenamtlichem Engagement getragenen Vereinen ist die Bestellung eines Datenschutzbeauftragten nicht nötig
- Kein Bußgeld bei einem Erstverstoß im Dickicht der Datenschutzregeln
- Hinweise und Beratung haben Vorrang vor Sanktionen
- Eindämmung der Praxis, Datenschutzverstöße rechtsmissbräuchlich abzumahnen und abzukassieren
- Gespräche mit Betroffenen, um die Ziele der Datenschutzgrundverordnung sachgerecht und mit Augenmaß zu verfolgen.
Damit adressiert der Beschluss unmittelbar die aufsichtliche Tätigkeit. Gleichwohl kann er die Betroffenenrechte nach der DSGVO und den Landesdatenschutzgesetzen nicht außer Kraft setzen.
Prüfpraxis des Bayerischen Landesamtes für Datenschutzaufsicht
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), zuständig für den nicht-öffentlichen Sektor, hat auf seiner Webseite Dokumente veröffentlicht, die ein Ende der „Eingewöhnungsphase“ erwarten lassen. Sie liefern einen Einblick in die Prüfpraxis des BayLDA und lassen erkennen, dass auch künftig sowohl anlassunabhängig als auch bei solchen Unternehmen geprüft wird, die bereits „auffällig“ geworden sind.
Das BayLDA weist explizit darauf hin, dass sich die Prüfung nicht in der Beantwortung von Fragenkatalogen erschöpft. Vielmehr werden die Unternehmen auch aufgefordert, Dokumente wie Informationsmuster nach Art.13 DSGVO oder IT-Sicherheitskonzepte zur Glaubhaftmachung zu übersenden. Damit dürfte für viele Verantwortliche (erstmals) die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO praxisrelevant werden. Auch Vor-Ort-Prüfungen bleiben vorbehalten.
Wie sich aus den Dokumenten weiter ergibt, wurden bislang Unternehmen unterschiedlicher Größe und mit Blick auf unterschiedliche Bereiche geprüft. Zu den bisherigen Adressaten zählen drei Großkonzerne sowie kleine (ab 100 Mitarbeitern) und mittelständische Unternehmen (ab 500 Mitarbeitern) aus verschiedenen Branchen.
Inhaltlich betreffen die Prüfungen verschiedene Bereiche des Datenschutzrechts in unterschiedlichen Konkretisierungsgraden. Sie reichen von konkreten Prüfblöcken wie „Löschen von Daten bei ERP-Systemen (SAP)“oder „Patch Management eCommerce-Systeme/Online-Shops (Magento)“ bis zu scheinbar eher generischen Prüfmustern wie „Die Umsetzung der DS-GVO bei kleinen und mittelständischen Unternehmen (KMUs)“: Der hierzu versandte Fragebogen des BayLDA wird dann aber doch konkret, denn er betrifft unter anderem die Bestellung und den Aufgabenbereich des Datenschutzbeauftragten im Unternehmen, bestehende Niederlassungen und deren Einbindung in das Datenschutzkonzept, die Existenz eines Verarbeitungsverzeichnisses, das Bestehen und den Umsetzungsstand des IT-Sicherheitskonzepts, Prozesse zum Umgang mit Informations- und Betroffenenrechten sowie Fragen im Zusammenhang mit Datenschutzverletzungen.
Das BayLDA beweist Praxisnähe und unterwirft nicht jedes Unternehmen dem gleichen Prüfschema. Ganz offensichtlich ist sich das Amt insbesondere der Schwierigkeiten größerer Unternehmen bewusst, ein datenschutzkonformes und konsistentes Löschkonzept zu implementieren und prüft nur solche Unternehmen, bei denen sie aufgrund der Unternehmensstruktur entsprechende Probleme vermutet. 15 größere Unternehmen wurden außerdem nach den Informationspflichten gem. Art. 13 DSGVO im Zusammenhang mit dem Bewerbungsprozess befragt, deren Umsetzung erfahrungsgemäß besonders häufig vernachlässigt wird.
Folgen für die Praxis
Natürlich lassen sich aus diesen Veröffentlichungen des BayLDA keine unmittelbaren Schlüsse auf die Praxis der Aufsichtsbehörden in anderen Bundesländern ableiten. Gleichwohl stellen sie eine konstruktive Anleitung für jedes Unternehmen dar, um die eigene Umsetzung der DSGVO kritisch zu prüfen und/oder zu organisieren.
von Thomas Hofer, Leiter der Rechtsinformatik an der Juristischen Fakultät der Ludwig-Maximilians-Universität München