Prüfungen durch die Aufsichtsbehörden
Die europäischen Datenschutzaufsichtsbehörden arbeiten trotz ihrer Unabhängigkeit nicht „nach Lust und Laune“, sondern haben konkrete gesetzliche Aufgaben und Kompetenzen.
Art. 57 DSGVO beschreibt die Aufgaben. Sie umfassen mit Blick auf Kontrollen die folgenden Punkte:
- die Anwendung der DSGVO zu überwachen
- die Anwendung der DSGVO durchzusetzen
- Untersuchungen durchzuführen
Dabei sind die Kompetenzen einer Aufsichtsbehörde (Art. 58 DSGVO) durchaus beachtlich:
- Der Verantwortliche und der Auftragsverarbeiter müssen alle Informationen bereitstellen, die die Aufsicht für die Prüfung benötigt.
- Sie kann Datenschutzkontrollen durchführen.
- Die Aufsichtsbehörde erhält Zugang zu allen Informationen und Räumlichkeiten, die für diese Kontrollen erforderlich sind.
Was ist eine Datenschutzkontrolle?
Von der Theorie her ist eine Kontrolle – auch Audit genannt – eine Überprüfung des Ist-Zustands. Dieser spiegelt die gelebte Praxis bei einem Unternehmen oder einer Behörde wieder.
Ein Ist-Zustand benötigt immer einen Referenzwert – er wird Soll-Zustand genannt. Er ergibt sich aus den gesetzlichen Grundlagen, konkret also der DSGVO, dem neuem Bundesdatenschutzgesetz (BDSG) und ggf. spezialgesetzlichen Regelungen.
Eine Kontrolle stellt dem Soll – also der „perfekten“ Datenschutzwelt – das Ist – die Wirklichkeit – gegenüber.
Wer führt Prüfungen durch?
Vonseiten der Datenschutzaufsichtsbehörden führen ihre Mitarbeiter die Kontrollen durch. Ein Outsourcing an Dienstleister ist nicht möglich.
Welcher Fachbereich (z.B. Recht, Informatik, Organisation) eine Datenschutzkontrolle durchführt, hängt vom Prüfgegenstand ab – das kann im Prinzip jedes Thema sein, bei dem es um die Verarbeitung personenbezogener Daten geht.
Die datenschutzrechtlichen Vorgaben zu überprüfen, ist allerdings auch die primäre Aufgabe des Datenschutzbeauftragten (DSB; Art. 39 DSGVO). Damit lässt sich durchaus sagen, dass im Bereich der Kontrollen der DSB ein „verlängerter Arm“ der Aufsichtsbehörden ist – nur auf die Geldbußen muss er verzichten.
Eine Kontrolle durch den DSB ist auch insofern sinnvoll, als er die internen Abläufe und den Aufbau des Unternehmens bzw. der Behörde gut kennt und systematische sowie regelmäßige Kontrollen effektiv durchführen kann.
Auch weitere Personen oder externe Stellen können Datenschutzkontrollen auf Wunsch des Verantwortlichen durchführen, sei es z.B. im Rahmen eines QS-Audits nach ISO 9001 oder einer Jahresabschlussprüfung durch Wirtschaftsprüfer.
Zertifizierungen
Verantwortliche konnten Datenschutzkontrollen auch schon vor der DSGVO auf freiwilliger Basis von Externen durchführen lassen.
Diesen Ansatz entwickelt die DSGVO weiter: Bestimmte Unternehmen dürfen nun privilegierte Datenschutz-Zertifizierungen erteilen.
Während heute ein „bunter Strauß“ an Zertifikaten auf dem Markt ist, wird es wohl ab Mitte 2019 sogenannte genehmigte Datenschutzzertifikate geben. Diese Zertifikate dürfen nur speziell akkreditierte Zertifizierungsstellen nach einem Audit erteilen.
Welche Arten von Datenschutzprüfungen gibt es?
Anlassbezogen und anlasslos
Zum einen lässt sich nach dem Anlass einer Datenschutzprüfung unterscheiden. Die meisten Kontrollen sind anlassbezogene Prüfungen.
Hier liegt der Behörde eine Beschwerde vor, oder der Verantwortliche hat durch Presseberichte das Interesse der Aufsichtsbehörde geweckt.
Anlasslose Kontrollen finden auch statt, sind aber seltener. Die Intensität hängt davon ab, welche Schwerpunkte die jeweilige Aufsichtsbehörde setzt. Meist geht es um bestimmte Branchen (z.B. Banken, Apotheken, Online-Shops) oder um den Einsatz bestimmter Technologien (Verschlüsselung, Tracking-Tools etc.).
Schriftliche Kontrollen
Eine Vielzahl von Kontrollen findet aus Effizienzgründen (erst einmal) rein schriftlich statt. In diesen Fällen versendet die Aufsicht einen Fragebogen, den der Verantwortliche innerhalb einer Frist beantworten muss.
Diese Art der Kontrollen hat manchmal die Aufgabe, als „Feldversuch“ zu ermitteln, wie der Stand der Umsetzung bzw. Anwendung eines Themas in der Praxis ist, z.B. beim Einsatz von Cloud-Dienstleistern.
Persönliche Kontrollen
Eine persönliche Kontrolle führt meist zu einer deutlich gesteigerten Nervosität bei den Verantwortlichen: Die Prüfgespräche sind unberechenbarer, und eine spontane Einblicknahme in Unterlagen und/oder Prozesse – oder der vergebliche Versuch, wenn diese nicht vorhanden sind – bringt Mängel schnell zum Vorschein.
In Einzelfällen kommt es zusätzlich zum persönlichen Gespräch auch
- zu einer Besichtigung des Unternehmens (z.B. bezüglich der Positionen einer Videoüberwachung),
- zu einer Befragung von Mitarbeitern (ob z.B. grundlegende Richtlinien bekannt sind) oder
- zu einer Begutachtung der Konfiguration von IT-Systemen.
Online-Prüfungen
Eine Variante von Datenschutzkontrollen sind sogenannte Online-Prüfungen. Sie beziehen sich auf Technologien, die über das Internet erreichbar sind (z.B. Webtracking, Verschlüsselung, Schutz gegen Webhacking).
Der Vorteil dieser Art von Prüfungen liegt darin, mit relativ wenig Aufwand – ein Prüfskript ist meist in einem Tag programmiert – „über Nacht“ Tausende von Verantwortlichen überprüfen und effizient aufsichtliche Verfahren mittels Serienbrief anstoßen zu können.
Welche Verantwortlichen trifft es?
Betrachtet man den Personalschlüssel einer Datenschutzaufsichtsbehörde, ist es rein statistisch sehr unwahrscheinlich, dass man auf deren „Radar“ erscheint, geschweige denn im Rahmen einer aufsichtlichen Prüfung persönlich Besuch erhält.
Dies führt zu der Frage, wie eine Datenschutzaufsichtsbehörde überhaupt auf zu prüfende Verantwortliche kommt. Dafür gibt es im Prinzip zwei Möglichkeiten:
1. Datenschutzbeschwerde
Legt ein Betroffener eine Datenschutzbeschwerde ein, fordert die Aufsicht vom Verantwortlichen eine schriftliche Stellungnahme.
Lässt sich der Fall dadurch nicht klären, kann eine Vor-Ort-Kontrolle sinnvoll bzw. notwendig sein. Diese Art der Kontrollen fällt immer in die Kategorie „anlassbezogen“.
2. Risikoorientierter Prüfansatz
Kleine Sportvereine oder KFZ-Meisterbetriebe gehören nicht zur „Kernzielgruppe“ der Aufsichtsbehörden und müssen demnach kaum mit einem anlasslosen Besuch rechnen.
Ausnahmen sind allenfalls Sensibilisierungsprüfungen: Hier möchten die Aufsichtsbehörden weniger die Verstöße feststellen, sondern diese über eine Prüfberatung verhindern.
Anders sieht es bei Verantwortlichen aus, die datengetriebene Geschäftsmodelle haben oder in die Kategorie „(Groß-)Konzern“ gehören. Bei diesen Unternehmen – und ihre Zahl ist halbwegs überschaubar – kann und wird eine anlasslose Datenschutzprüfung durchaus auch statistisch signifikant vorkommen.
Diese Kontrollen umfassen alle Arten von Datenschutzprüfungen – in der Vergangenheit meist schriftliche Prüfungen per Fragebogen.
Paradigmenwechsel
Die DSGVO hat durch einen unscheinbar klingenden Satz die Prüfmethode der Aufsichtsbehörden revolutioniert.
Während die Aufsicht unter dem alten BDSG ihre einzelnen Prüffragen mühsam im Rahmen eines Prüfgesprächs entwickeln musste und nur geringe Kenntnisse über die internen Strukturen und konkreten Geschäftsmodelle hatte, lässt sich diese Situation nun umdrehen: Gemäß Art. 5 Abs. 2 DSGVO muss der Verantwortliche der Aufsichtsbehörde nachweisen, dass er die DSGVO einhält – das nennt sich Rechenschaftspflicht und ist eine Art Beweislastumkehr.
Das bedeutet aber nicht, dass die Aufsichtsbehörden nicht wissen müssen, was der Verantwortliche denn genau nachweisen muss.
Wie läuft ein Vor-Ort-Audit ab?
Eine persönliche Datenschutzkontrolle kündigen die Aufsichtsbehörden fast immer im Vorfeld an. Hintergrund ist schlicht, sicherzustellen, dass ein Vertreter der Geschäftsleitung, der betriebliche DSB oder der IT-Sicherheitsbeauftragte im Haus und nicht z.B. gerade im Urlaub ist.
Die Ankündigung, die meist ein bis drei Wochen vorher per Post kommt, beschreibt auch den Umfang (Scope) der Kontrolle. Möglicherweise fordert sie den Verantwortlichen zudem schon dazu auf, der Behörde einige Dokumente für die Vorbereitung zuzustellen.
Die Kontrolle läuft dann meist komplett innerhalb eines Besprechungszimmers in Form eines Prüfgesprächs beim Unternehmen ab.
Nach der Prüfung wertet die Aufsichtsbehörde die Ergebnisse der (teils sehr ausführlichen) Prüfgespräche sowie mitgenommene Unterlagen aus und erstellt einen Prüfbericht. Dieser Bericht umfasst vorgefundene Mängel samt einem Datum, bis wann diese abgestellt werden müssen.
Hat der Verantwortliche gefundene Mängel beseitigt, war’s das auch schon, und die Datenschutzkontrolle ist abgeschlossen.
Prüfinhalte
Es gibt grundsätzlich zwei Möglichkeiten, was die Aufsicht im Rahmen einer (Vor-Ort-)Kontrolle überprüfen kann.
Ein sogenanntes Verfahrensaudit überprüft konkrete Verarbeitungstätigkeiten wie z.B.
- den Umgang mit Bewerbungsunterlagen,
- den Einsatz von Verschlüsselung nach Stand der Technik bei Webservern oder
- die Rechtsgrundlagen von Drittlandtransfers, wenn internationale Dienstleister zum Einsatz kommen.
Ein Systemaudit überprüft dagegen, ob grundlegende Strukturen vorhanden sind, die es ermöglichen, die DSGVO einzuhalten.
Diese Art der Kontrolle bedeutet nicht, dass die Aufsichtsbehörde jede einzelne Einwilligung manuell prüft oder jedes einzelne Datenfeld auf die Löschverpflichtung hin analysiert.
Sondern die Behörde prüft, ob die Organisation des Unternehmens sowie die Prozesse zum Umgang mit personenbezogenen Daten es ermöglichen, die DSGVO vom Grundsatz her einzuhalten und auf Abweichungen vom Soll zu reagieren.
Somit gilt es im Prinzip, zwei Prüfblöcke zu auditieren, um festzustellen, ob ein Verantwortlicher die DSGVO umgesetzt hat:
- die Aufbauorganisation und
- die Ablauforganisation
1. Aufbauorganisation
Der erste wichtige Prüfpunkt ist, ob Datenschutz Chefsache ist. Das ist schnell geklärt, indem die Aufsicht prüft, welche Aufgaben der Datenschutzbeauftragte hat.
Wirkt er primär beratend und kontrollierend und kümmert sich die Geschäftsleitung (oder ein bestellter Vertreter) um die strategische und operative Umsetzung der DSGVO, liegt zudem ein Stapel mit Richtlinien auf dem (digitalen) Tisch, ist der erste Prüfbereich schon so gut wie gemeistert.
Es fehlt nun nur noch die Kenntnis, was denn nach DSGVO die Datenschutzziele des Unternehmens sind. Gewusst?
Falls nein: Wie immer, wenn man nicht weiter weiß, lohnt sich ein Blick auf die Grundsätze in Art. 5 Abs. 1 DSGVO:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
Diese Grundsätze sollten spezifisch auf das Unternehmen bezogen, d.h. „mit Leben gefüllt“ und im betrieblichen oder behördlichen Umfeld verankert sein.
2. Ablauforganisation
Der zentrale Prüfpunkt ist das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO.
Es muss vollständig auf einem geeigneten Abstraktionsniveau vorliegen und Verarbeitungen primär nach ihrem Zweck getrennt erfassen. Bei großen Unternehmen enthält ein solches Verzeichnis leicht 500–1.000 Verarbeitungen.
PRAXIS-TIPP: Im Verzeichnis der Verarbeitungstätigkeiten müssen Verantwortliche bei den Empfängern auch interne Empfänger wie z.B. Personalabteilung oder IT berücksichtigen.
a. Datenschutzkonforme Verarbeitung
Neben der formalen Prüfung der Inhalte der Verarbeitungstätigkeiten wie z.B. Zweck, Löschfristen, Drittlandtransfer etc. nutzt die Aufsicht das Verarbeitungsverzeichnis als Grundlage, um weitere Prüffragen zu initiieren.
So muss ein Verantwortlicher z.B. für jede Verarbeitungstätigkeit die Rechtsgrundlage oder die Risikoschwelle für eine Datenschutz-Folgenabschätzung nennen können.
Auch die Sicherheit der Verarbeitung nach Art. 32 DSGVO sowie Privacy by Design (Art. 25 DSGVO) muss das Verzeichnis für jede Verarbeitungstätigkeit enthalten – Überschneidungen zwischen verschiedenen Tätigkeiten (z.B. physikalische Sicherheit, Rollen-/Rechtekonzepte, Kryptokonzepte, …) sollen und können durch Verweise auf gemeinsame Dokumente genutzt werden.
Ein besonderes Augenmerk wird auf der Einbindung von Dienstleistern auf Basis von Auftragsverarbeitungsverträgen liegen.
Wie stellt der Dienstleister z.B. sicher, dass der Verantwortliche alle technischen und organisatorischen Maßnahmen (TOMs) gemäß Art. 5 Abs. 1 DSGVO sowie die Betroffenenrechte einhalten kann?
Auch der Drittlandtransfer ist ein Standard-Prüfpunkt. Der Fokus liegt darauf, ob die Verträge korrekt ausgestaltet sind. Zum Beispiel sind keine EU-Standardverträge zwischen Dienstleistern möglich.
Weiterhin ist die Frage wichtig, ob geeignete Garantien nach Art. 44 DSGVO vorhanden sind wie etwa Privacy Shield bei Transfers in die USA.
b. Betroffenenrechte sicherstellen
Die Verordnung gewährt den Betroffenen eine Reihe von Rechten. Der Anspruch richtet sich gegen den Verantwortlichen, während der Auftragsverarbeiter lediglich den Verantwortlichen dabei unterstützt, Anträge der Betroffenen auf Wahrnehmung ihrer Rechte zu bearbeiten.
Zu den Betroffenenrechten gehören neben den allgemeinen Informationspflichten gemäß Art. 12–14 DSGVO auch das Auskunftsrecht und das Recht auf Berichtigung gemäß Art. 15–22 DSGVO.
Der Verantwortliche muss Prozesse haben, um den Betroffenenrechten Genüge zu tun. Glücklicherweise skalieren diese sehr gut.
Während z.B. ein Hausarzt abwarten kann, ob er einem Auskunftsanspruch nachkommen muss, braucht ein datengetriebener Konzern einen formalen und auditierten internen Prozess.
Einen Prüfschwerpunkt werden die Informationspflichten (auch bei Erhebung bei Dritten) sowie die Dokumentation von Einwilligungen darstellen.
c. Umgang mit Datenschutzverletzungen
Allen technischen und organisatorischen Schutzmaßnahmen zum Trotz kann etwas schiefgehen: Das nennt sich dann eine „Verletzung der Sicherheit“ und ist aller Wahrscheinlichkeit zumindest bei der Aufsichtsbehörde meldepflichtig.
Die DSGVO hat die Schwelle der Meldeverpflichtungen bei den Aufsichtsbehörden massiv gesenkt und bei den Betroffenen insofern erweitert, als keine Einschränkung auf bestimmte Datenkategorien mehr vorhanden ist.
Es wird zwei grundlegende Prüfschwerpunkte zu diesem Thema geben:
- Erkennung von Verletzungen
- Risikoeinschätzung, Dokumentation und ggf. Meldung an die Aufsichtsbehörde
Technische Datenschutzkontrolle
Das Standard-Datenschutzmodell ist eine Methode, mit der sich technische und organisatorische Maßnahmen für Verarbeitungen personenbezogener Daten festlegen lassen.
Damit eignet es sich auch, um technische Datenschutzkontrollen durchzuführen.
Da die Mehrzahl der deutschen Aufsichtsbehörden diese Methode bevorzugt, lohnt es sich, einen Blick in die Methode und einige seit Kurzem veröffentlichte Bausteine mit TOMs zu werfen: www.datenschutz-mv.de/datenschutz/datenschutzmodell.
Sanktionen
Die DSGVO hat den Rahmen für Geldbußen deutlich erhöht. Er erreicht mit 4 % des (konzernweltweiten) Umsatzes seine Höchstwerte.
Gerade bei anlassbezogenen Prüfungen wird es in Zukunft bei ernsthaften Verstößen auch dazu kommen, dass die Aufsicht empfindliche Geldbußen verhängt.
Es ist empfehlenswert, dass Verantwortliche sich kooperativ verhalten und Verantwortung übernehmen – das ist nicht nur moralisch angezeigt, sondern hat auch Einfluss auf die Höhe der Geldbuße: Sie verringert sich gemäß Art. 83 bei kooperativem Verhalten.
Fazit: besser vorarbeiten
Eine Datenschutzkontrolle vonseiten des Verantwortlichen und des DSB sollte ab einer gewissen Größe des Unternehmens oder der Behörde zum Standard gehören.
Dann können sie einer Kontrolle gelassen entgegensehen.