Querschnittsprüfung der LfD Niedersachen zur DSGVO: Ergebnisse

Zum Zwecke der Auswertung wurde basierend auf den rechtlichen Anforderungen der DSGVO ein Katalog aus 200 Einzelkriterien erarbeitet, die Erfüllung geprüft und anschließend jeder Fragenkomplex zusammengefasst einer Ampelfarbe (Grün, Gelb, Rot) zugeordnet.

Ein Fragenkomplex wurde mit „Grün“ bewertet, wenn die Antworten weitestgehend zufriedenstellend beantwortet wurden oder nur gering von den Einzelkriterien abwichen. Mit „Gelb“ wurde hingegen ein Fragenkomplex beantwortet, soweit die Einzelkriterien häufiger mit „teilweise“ oder „nein“ beantwortet wurden und der LfD deutlich wurde, dass es noch Handlungsbedarf gab. Fragenkomplexe, die größtenteils mit „teilweise“ oder „nein“ beantwortet wurden und erheblichen Handlungsbedarf vorwiesen bewertete die LfD mit „Rot“.

Den ersten Prüfungsschritts konnten lediglich 5 der geprüften Unternehmen mit einer grünen Bewertung abschließen. 15 Unternehmen gliederten sich im Mittelfeld mit einer gelben Bewertung ein. Schwierigkeiten bestanden hier vor allem in den Bereichen technisch-organisatorischer Datenschutz und der Datenschutz- Folgeabschätzung (DSFA). Die übrigen 30 Unternehmen mussten sich mit einer roten Beurteilung abfinden. Probleme bestanden auch hier im technischen Datenschutz und bei einem Großteil auch bei der DSFA.

Im Zuge eines zweiten Prüfungsschritts hatten die mit „Rot“ bewerteten Unternehmen die Möglichkeit, neue Unterlagen einzureichen und anhand der Maßstäbe des ersten Prüfungsschritts neu bewertet zu werden.

Nachdem alle Unternehmen davon Gebrauch gemacht hatten, konnten sich 4 der vorher „Rot“ bewerteten Unternehmen auf „Grün“ verbessern. Dies lag vor allem daran, dass im ersten Prüfungsschritt die erwartete Antworttiefe seitens der Unternehmen falsch eingeschätzt wurde oder diese sich noch in der Umsetzungsphase befunden hatten. 17 weitere Unternehmen konnten sich auf „Gelb“ verbessern. Weiterhin bestanden die Schwierigkeiten primär auf den Gebieten des technischen Datenschutzes sowie der DSFA.

Die Probleme im technisch-organisatorischen Datenschutz rührten ganz überwiegend aus fehlendem Verständnis der Begrifflichkeiten. Besonders der Begriff „Stand der Technik“ stellte große Probleme dar. Wie die LfD in ihrem Abschlussbericht vom November 2019 klarstellte, beziehe sich dieser auf die bestmöglichen marktfähigen Techniken, welche von den TOM beachtet werden müssten, selbst wenn sich der Einsatz in der Praxis noch nicht durchgesetzt hat. Von den Verantwortlichen wurde der Stand der Technik jedoch häufig als „neueste Programmversion marktbeherrschender Produkte“ missverstanden. Zudem schienen die Begriffe „Privacy by Desing/Default“ – Datenschutz durch nutzerfreundliche Technikgestaltung – noch nicht geläufig zu sein.

Auf dem Gebiet der DSFA schnitten die Unternehmen häufig aufgrund von fehlender systematischer Herangehensweise schlecht ab. Erwartet wurde hier die Prüfung der Tatbestände des Art. 35 DS-GVO. Die in Art. 35 Abs. 4 DS-GVO beschriebene Muss-Liste (Verarbeitungsvorgänge für die eine DSFA durchzuführen ist) war mehr als der Hälfte der Unternehmen nicht bekannt. Weiterhin wurde eine klare Verteilung der Zuständigkeit im Falle einer DSFA-Prüfung erwartet. In einer erheblichen Anzahl von Fällen wurde die Zuständigkeit den betrieblichen Datenschutzbeauftragten zugeschrieben, welche jedoch im Sinne der DS-GVO eine beratende und kontrollierende Funktion haben sollte. Dies sei nicht erreicht, wenn sie sich selbst beraten und kontrollieren.

Obwohl die Mehrzahl der Unternehmen angab, sich intensiv auf die DS-GVO vorbereitet zu haben, zeigten sich in manchen Bereichen erhebliche Defizite. Die LfD Niedersachen kündigte deshalb weitere Prüfungen in diesem Jahr an. Unternehmen werden sich in Zukunft demnach noch vertiefter mit den gesetzlichen Anforderungen auseinandersetzten müssen und die Regelungen individuell umsetzten. Zur Hilfe wird die LfD Niedersachen Handlungsempfehlungen in den Problembereichen herausgeben. Bei Zweifeln empfiehlt sich fachkundige juristische Unterstützung.