Datenschutzkontrolle durch die Aufsichtsbehörde

Probleme in der eigenen Datenschutzkonzeption fallen Unternehmern zumeist auf, wenn ein Verstoß ans Licht kommt oder eine Kontrolle durch die zuständige Aufsichtsbehörde ansteht.

Wer ist die zuständige Aufsichtsbehörde für Datenschutz?

Welche Aufsichtsbehörde für ein Unternehmen zuständig ist, hängt vom jeweiligen Bundesland ab, in dem der zu prüfende Betrieb seinen Sitz hat. Zur Erfüllung der datenschutzrechtlichen Kontrollaufgaben hat der Bund mittels § 28 Abs. 6 Bundesdatenschutzgesetz den Bundesländern die hierfür erforderlichen Rechte und Pflichten übertragen. Die Bundesländer haben zur Wahrnehmung dieser Rechte und Pflichten entsprechende Behörden eingerichtet. In Nordrhein-Westfalen ist dies der/die Landesbeauftragte für Datenschutz und Informationsfreiheit.

Wann kann eine Prüfung durch die zuständige Aufsichtsbehörde stattfinden?

Eine Prüfung durch die Aufsichtsbehörde findet nicht nur anlassbezogen aufgrund einer Beschwere eines Betroffenen sondern mit steigender Tendenz anlassunabhängig statt. Es müssen somit weder hinreichende Indizien für die Verletzung des Datenschutzes in einem Unternehmen noch eine meldepflichtige Tätigkeit oder deren fehlende Meldung gegeben sein, um der Aufsichtsbehörde die Möglichkeit einer Kontrolle des Unternehmens zu eröffnen. Aufgrund der immer weiter fortschreitenden Automatisierung der Prüfungsverfahren nehmen anlassunabhängige Prüfungen immer weiter zu. Dieser Trend wird sich auch in Zukunft weiter fortsetzen. Zwar werden viele Kontrollen zuvor von der Aufsichtsbehörde mit einer kurzen First angekündigt, jedoch sind auch völlig unangekündigte Unternehmenskontrollen möglich. Daher muss ein umsichtiger Unternehmer jederzeit mit einer Prüfung durch die für ihn zuständige Aufsichtsbehörde rechnen.

Was umfasst eine Prüfung durch die Aufsichtsbehörde?

Die Kontrollrechte der Aufsichtsbehörden sind äußert weitreichend und nahezu allumfassend. So haben die Aufsichtsbehörden das Recht von dem Unternehmer Auskunft über die zur Erfüllung der Aufgaben der Aufsichtsbehörde erforderlichen Vorgänge zu verlangen. Hierbei ist der Unternehmer verpflichtet diese Auskünfte wahrheitsgetreu und umfassend zu erteilen. Ferner hat der Unternehmer die Prüfungen der Aufsichtsbehörde zu dulden. § 38 Abs. 4 BDSG verleiht der Aufsichtsbehörde ein umfassendes Zutrittsrecht zum Betrieb des Unternehmens sowie ein Recht zu Besichtigung und Einsichtnahme. Das bedeutet, dass die Aufsichtsbehörde sich nicht nur Zutritt zum Betriebsgelände und -gebäude verschaffen darf, sondern ihr auch Einsicht in sämtliche Unterlagen in analoger oder digitaler Form gewährt werden muss. Hierbei kontrolliert die Aufsichtsbehörde bei ihren Kontrollen beispielsweise die Verwendung von sozialen Netzwerken im firmeneigenen Internetauftritt, die Nutzung von Google Analytics oder Cloud-Diensten.

Tipp:
Haben Sie gewusst, dass für die Nutzung von Google Analytics ein Vertrag über eine Auftragsdatenvereinbarung mit dem Anbieter des Analyseprogramms geschlossen werden muss?

Im Rahmen der Vorortkontrollen kommt es nicht selten vor, dass die Aufsichtsbehörden auch den Papiermüll auf datenschutzrechtlich relevante Inhalte untersuchen oder versuchen sich ohne Wissen des Unternehmers Zugang zum Betriebsgebäude über Nebeneingänge oder Notausgänge zu verschaffen. Ein möglicher unbefugter Zutritt zum Betriebsgebäude oder ein unachtsam entsorgtes Dokument mit personenbezogenen Daten kann bereits einen datenschutzrechtlichen Verstoß begründen.

Welche Maßnahmen trifft die zuständige Aufsichtsbehörde?

Soweit die zuständige Aufsichtsbehörde Verstöße gegen die datenschutzrechtlichen Bestimmungen oder Abweichungen von den gegenüber der Aufsichtsbehörde gemachten Angaben entdeckt, werden diese protokolliert. Von dem Unternehmer wird sodann die Beseitigung der festgestellten Mängel gefordert. Dies wird im Nachgang durch die Aufsichtsbehörde kontrolliert. Weiter kann die Aufsichtsbehörde auch konkrete vom Unternehmer umzusetzende Maßnahmen bis hin zum Verbot einzelner Betriebsabläufe oder der Abberufung des bisherigen Datenschutzbeauftragten anordnen, deren Einhaltung sie ebenfalls kontrolliert. Letztendlich hat die Aufsichtsbehörde sogar die Möglichkeit für festgestellte Ordnungswidrigkeiten empfindliche Bußgelder festzusetzen. Hierbei soll die Geldbuße den wirtschaftlichen Vorteil, den der Unternehmer aus der Ordnungswidrigkeit erlangt hat, übersteigen. So können mithin hohe sechsstellige Bußgelder festgesetzt werden.

Was ist zu tun, wenn eine Kontrolle der Aufsichtsbehörde ansteht?

Wenn die Aufsichtsbehörde eine datenschutzrechtliche Kontrolle anberaumt, sollte der Unternehmer sicherstellen, dass in seinem Betrieb tunlichst die datenschutzrechtlichen Bestimmungen eingehalten werden. Hierbei ist anzuraten, den betriebsinternen Datenschutzbeauftragten frühzeitig über die Kontrolle zu informieren, einen Maßnahmenkatalog zu erstellen und ggf. einen auf das Datenschutzrecht spezialisierten Rechtsanwalt zu konsultieren.