Querschnittsprüfung der LfD Niedersachen zur DSGVO: Ergebnisse

In einer Querschnittsprüfung überprüfte die LfD Niedersachsen 2018 den Umsetzungsstand DSGVO in 50 Unternehmen. Dieser Blogbeitrag informiert über die Ergebnisse, welche in einem Abschlussbericht im November 2019 veröffentlicht wurden.

Die Ziele der Querschnittsprüfung

Die Landesbeauftragte für Datenschutz Niedersachen (LfD Niedersachsen) forderte im Juni 2018 50 Unternehmen mit Hauptsitz in Niedersachen auf, darzulegen, ob und inwiefern die Regelungen und Anforderungen der ab dem 25. Mai 2018 geltenden DSGVO erkannt und prozessual im betrieblichen Alltag umgesetzt werden.

Im Rahmen der sogenannten Querschnittsprüfung sollten Fragen zu zehn wesentlichen Bereichen der DSGVO beantwortet werden. In der anschließenden Auswertung beurteilte die LfD ausschließlich das methodische Vorgehen der Unternehmen und nicht die inhaltliche Umsetzung. Die LfD konnte dementsprechend eine Aussage darüber treffen, ob die Unternehmen die grundsätzlichen Kriterien erfüllten, nicht aber darüber, ob die individuelle Ausgestaltung auch datenschutzkonform ist.

Die Auswertung

Zum Zwecke der Auswertung wurde basierend auf den rechtlichen Anforderungen der DSGVO ein Katalog aus 200 Einzelkriterien erarbeitet, die Erfüllung geprüft und anschließend jeder Fragenkomplex zusammengefasst einer Ampelfarbe (Grün, Gelb, Rot) zugeordnet.

Ein Fragenkomplex wurde mit „Grün“ bewertet, wenn die Antworten weitestgehend zufriedenstellend beantwortet wurden oder nur gering von den Einzelkriterien abwichen. Mit „Gelb“ wurde hingegen ein Fragenkomplex beantwortet, soweit die Einzelkriterien häufiger mit „teilweise“ oder „nein“ beantwortet wurden und der LfD deutlich wurde, dass es noch Handlungsbedarf gab. Fragenkomplexe, die größtenteils mit „teilweise“ oder „nein“ beantwortet wurden und erheblichen Handlungsbedarf vorwiesen bewertete die LfD mit „Rot“.

Ergebnisse des ersten Prüfungsschritts

Den ersten Prüfungsschritts konnten lediglich 5 der geprüften Unternehmen mit einer grünen Bewertung abschließen. 15 Unternehmen gliederten sich im Mittelfeld mit einer gelben Bewertung ein. Schwierigkeiten bestanden hier vor allem in den Bereichen technisch-organisatorischer Datenschutz und der Datenschutz- Folgeabschätzung (DSFA). Die übrigen 30 Unternehmen mussten sich mit einer roten Beurteilung abfinden. Probleme bestanden auch hier im technischen Datenschutz und bei einem Großteil auch bei der DSFA.

Ergebnisse des zweiten Prüfungsschritts

Im Zuge eines zweiten Prüfungsschritts hatten die mit „Rot“ bewerteten Unternehmen die Möglichkeit, neue Unterlagen einzureichen und anhand der Maßstäbe des ersten Prüfungsschritts neu bewertet zu werden.

Nachdem alle Unternehmen davon Gebrauch gemacht hatten, konnten sich 4 der vorher „Rot“ bewerteten Unternehmen auf „Grün“ verbessern. Dies lag vor allem daran, dass im ersten Prüfungsschritt die erwartete Antworttiefe seitens der Unternehmen falsch eingeschätzt wurde oder diese sich noch in der Umsetzungsphase befunden hatten. 17 weitere Unternehmen konnten sich auf „Gelb“ verbessern. Weiterhin bestanden die Schwierigkeiten primär auf den Gebieten des technischen Datenschutzes sowie der DSFA.

Die Schwierigkeiten

Die Probleme im technisch-organisatorischen Datenschutz rührten ganz überwiegend aus fehlendem Verständnis der Begrifflichkeiten. Besonders der Begriff „Stand der Technik“ stellte große Probleme dar. Wie die LfD in ihrem Abschlussbericht vom November 2019 klarstellte, beziehe sich dieser auf die bestmöglichen marktfähigen Techniken, welche von den TOM beachtet werden müssten, selbst wenn sich der Einsatz in der Praxis noch nicht durchgesetzt hat. Von den Verantwortlichen wurde der Stand der Technik jedoch häufig als „neueste Programmversion marktbeherrschender Produkte“ missverstanden. Zudem schienen die Begriffe „Privacy by Desing/Default“ – Datenschutz durch nutzerfreundliche Technikgestaltung – noch nicht geläufig zu sein.

Auf dem Gebiet der DSFA schnitten die Unternehmen häufig aufgrund von fehlender systematischer Herangehensweise schlecht ab. Erwartet wurde hier die Prüfung der Tatbestände des Art. 35 DS-GVO. Die in Art. 35 Abs. 4 DS-GVO beschriebene Muss-Liste (Verarbeitungsvorgänge für die eine DSFA durchzuführen ist) war mehr als der Hälfte der Unternehmen nicht bekannt. Weiterhin wurde eine klare Verteilung der Zuständigkeit im Falle einer DSFA-Prüfung erwartet. In einer erheblichen Anzahl von Fällen wurde die Zuständigkeit den betrieblichen Datenschutzbeauftragten zugeschrieben, welche jedoch im Sinne der DS-GVO eine beratende und kontrollierende Funktion haben sollte. Dies sei nicht erreicht, wenn sie sich selbst beraten und kontrollieren.

Fazit

Obwohl die Mehrzahl der Unternehmen angab, sich intensiv auf die DS-GVO vorbereitet zu haben, zeigten sich in manchen Bereichen erhebliche Defizite. Die LfD Niedersachen kündigte deshalb weitere Prüfungen in diesem Jahr an. Unternehmen werden sich in Zukunft demnach noch vertiefter mit den gesetzlichen Anforderungen auseinandersetzten müssen und die Regelungen individuell umsetzten. Zur Hilfe wird die LfD Niedersachen Handlungsempfehlungen in den Problembereichen herausgeben. Bei Zweifeln empfiehlt sich fachkundige juristische Unterstützung.

Sie interessiert das Thema und wünschen nähere Informationen?

Sie hätten gern ein persönliches Beratungsgespräch zu diesem Thema?
Wir stehen Ihnen gerne zur Verfügung und freuen uns über Ihre Kontaktaufnahme.
E-Mail: Rechtsanwalt Tröber

Andere Leser interessierten sich auch für

Der richtige Umgang mit Datenpannen und wie wir Sie dabei unterstützen können
Ein Mitarbeiter meldet, dass wichtige Kundendaten gelöscht wurden oder solche Daten in Hände unbefugter Dritter gelangt sind. Was ist nun zu tun? Panik? Wir zeigen Ihnen in unserer Übersicht den richtigen Umgang mit Datenpannen und wie wir Sie dabei – von der Prävention bis zum Abschluss eines Meldeverfahrens – unterstützen können.
DSGVO Update 3.0 am 03.02.2020: Der richtige Umgang mit Datenpannen / Bußgeldpraxis
„Nicht jede Datenpanne muss gemeldet werden! Vielmehr ist die Meldepflicht im Einzelfall genau zu prüfen.“ – insoweit waren sich Dr. Réne Meis (LDI NRW) und Prof. Dr. Lüdemann (NDZ HS Osnabrück) einig. Und auch sonst bestand – abgesehen von der Frage, wie lange 72 Stunden dauern – weitestgehend Konsens zwischen den Vortragenden. Kritik übte Prof. Lüdemann am neuen Konzept der Bußgeldbemessung der deutschen Aufsichtsbehörden.
Bußgeldkonzept der deutschen Aufsichtsbehörden
Anlässlich unserer alljährlichen DSGVO-Update-Veranstaltung am 3. Februar 2020 – dieses Jahr zum Thema "Datenpannen und Bußgeldpraxis“ – möchten wir in diesem Beitrag über das Bußgeldkonzept der deutschen Aufsichtsbehörden informieren, welches bei der Berechnung des Bußgelds maßgeblich an den Unternehmensumsatz anknüpft und damit die Gefahr hoher Bußgelder birgt.