Die Umsetzung der Datenschutz-Grundverordnung (DSGVO) gelingt (niedersächsischen) Unternehmen bisher nur teilweise. Dies ist das Ergebnis einer Querschnittsprüfung der Landesbeauftragten für den Datenschutz (LfD) Niedersachsen.
Die LfD Niedersachsen hatte Ende Juni 2018, kurz nach Geltungsbeginn der DSGVO, einen Fragebogen an 50 mittelgroße und große Unternehmen mit Hauptsitz in Niedersachsen verschickt. Diese sollten Fragen zu zehn Bereichen des Datenschutzes beantworten. Die Antworten wurden mithilfe eines umfangreichen Kriterienkatalogs ausgewertet um im November 2019 veröffentlicht.
Große Defizite bei technisch-organisatorischem Datenschutz
„Wir haben Bereiche identifiziert, in denen die Regelungen der DSGVO bereits zufriedenstellend umgesetzt werden“, sagt Thiel. „Zugleich mussten wir aber auch erhebliche Defizite feststellen, die sehr besorgniserregend sind.“ Besonders großen Nachholbedarf haben die Unternehmen demnach im technisch-organisatorischen Datenschutz und bei der Datenschutz-Folgenabschätzung (DSFA). Diese Abschätzung müssen Unternehmen vorab durchführen, wenn sie Datenverarbeitungen planen, die voraussichtlich zu einem hohen Risiko für die betroffenen Personen führen. Die Prüfung zeigte, dass sich viele Unternehmen noch nicht ausreichend mit den rechtlichen Grundlagen zur DSFA befasst hatten.
Maßnahmen des technisch-organisatorischen Datenschutzes sollen sicherstellen, dass die Rechte und Freiheiten natürlicher Personen angemessen bei der Datenverarbeitung geschützt werden. Dazu gehört zum Beispiel der geeignete Schutz eines IT-Netzwerks gegen Cyber-Angriffe. Hier war besonders problematisch, dass zahlreiche Unternehmen den Fokus fast ausschließlich auf den Schutz der eigenen Interessen gelegt hatten. Im Datenschutz müssen aber die Interessen der Betroffenen im Zentrum stehen.
Zufriedenstellende Antworten
Es gab allerdings auch Bereiche, in denen die LfD überwiegend zufriedenstellende Antworten erhielt. Dazu zählen die Komplexe Auftragsverarbeitung, Datenschutzbeauftragte, Meldung von Datenpannen und Dokumentationspflichten.
Bewertung der Unternehmen
Bewertet wurden die Unternehmen abschließend mit einer Ampelfarbe: Grün, wenn sie überwiegend zufriedenstellend abgeschnitten hatten; Gelb, wenn es noch vereinzelt Handlungsbedarf gab; Rot, wenn erhebliche Defizite vorlagen. Am Ende erhielten 9 Unternehmen das Prädikat Grün, 32 Gelb und 9 Rot. In einigen der mit Rot bewerteten Unternehmen wird die LfD noch in diesem Jahr weitergehende Kontrollen durchführen. Stellt sie dabei schwerwiegende Verstöße gegen die Datenschutzregeln fest, sind auch Bußgelder gegen die Verantwortlichen möglich.
Fazit
Mit derartigen Querschnittsprüfungen muss auch in anderen Bundesländern gerechnet werden. Zeigt eine derartige Prüfung Mängel bei einem Unternehmen auf, muss dieses mit einer detallierten Einzelprüfung vor Ort und Bußgelder rechnen.
Sehr hilfreich zur Vorbereitung auf derartige Prüfungen ist von der LfD Niedersachsen veröffentlichte Fragenkatalog.
Fundstellen
- Pressemitteilung der Landesbeauftragten für den Datenschutz Niedersachsen – abrufbar im Internet unter https://lfd.niedersachsen.de/startseite/allgemein/presseinformationen/abschluss-der-querschnittsprufung-182253.html
- Abschlussbericht der Querschnittsprüfung – abrufbar im Internet unter https://lfd.niedersachsen.de/download/149301
- Kriterienkatalog zur Auswertung – abrufbar im Internet unter https://lfd.niedersachsen.de/download/14671
- Fragenkatalog – abrufbar im Internet unter https://lfd.niedersachsen.de/download/132359