Hilfreiches Datenschutz-Audit

Viele Unternehmen haben in den letzten Monaten externe oder interne Datenschutzbeauftragte benannt, da sie nach der DSGVO hierzu verpflichtet sind. Dabei ist die Erwartungshaltung der Unternehmer gegenüber dem Datenschutzbeauftragten sehr unterschiedlich.

Große Unternehmen sehen die Rolle des Datenschutzbeauftragten wie in der DSGVO beschrieben primär beratend.

Kleine Unternehmen sehe den Datenschutzbeauftragten zusätzlich als Umsetzer von Maßnahmen.

Unvollständige Umsetzung

Gemeinsam haben allerdings alle, dass die zeitlichen und personellen Ressourcen für die tatsächlichen Anforderungen selten ausreichen.

  • So werden externe DSBs gerne nur mit den absoluten Pflichtaufgaben betraut, um die externen Kosten gering zu halten. Beispielsweise wird der Aufwand für externe Schulungen der Mitarbeiter häufig eingespart.
  • Interne DSBs üben ihre Tätigkeit oft neben ihren sonstigen Tätigkeiten aus, so dass Zeit fehlt, um notwendige Maßnahmen identifizieren oder angehen zu können
  • Interne DSBs verfügen i.d.R. über einen theoretischen Kenntnisstand aus z.B. Schulungen, die für eine praktische Umsetzung nur rudimentär ausreichen. Im schlechtesten Fall gibt es neben einer Basisschulungen keine kontinuierlichen Weiterbildungsmöglichkeiten mehr.

Das Ergebnis sind i.d.R. nur unvollständig identifizierte Schwachstellen und empfohlene Maßnahmen. Ursache hierfür sind  neben dem oben genannten Zeitthema auch unvollständigen Analysen der Ist-Situation sowie unvollständig umgesetzte Pflichtmaßnahmen. Im schlimmsten Fall ergibt sich eine Anfragen von Aufsichtsbehörden aufgrund einfachster Fehler.

Datenschutz-Audit für Transparenz

Um diesen Risiken entgegenzutreten empfiehlt sich daher kontinuierlich, den Datenschutzstatus festzustellen zu lassen, und zwar von einem Dritten mit umfangreichen Fachkenntnissen. Dies sollte in Form eines Audits erfolgen, in dem ein Dritter notwendige Ist-Informationen aufnimmt und mit den Anforderungen der DSGVO abgleicht.

Der resultierende Auditbericht enthält neben der Zustandserfassung insbesondere einen Maßnahmenplan, der dem Unternehmen die aktuellen Risiken vor Augen führt und Lösungen vorschlägt.

Mit einem solchen Auditbericht können Sie

  • als Geschäftsführer eine Einschätzung Ihres Risikos als Verantwortliche erhalten, auch wenn Sie keinen Datenschutzbeauftragten haben,
  • den internen oder externen DSB durch systematische Informationen unterstützen,
  • die Umsetzung von Maßnahmen besser einschätzen,
  • die Lücken und Maßnahmen identifizieren, die Ihnen bisher unbekannt waren.

Der Aufwand für solche Audits ist überschaubar, der Mehrwert groß, insbesondere auch unter dem Gesichtspunkt, dass Sie dieses zum Nachweis Ihrer ständigen Verbesserung nach Artikel 32 Abs. 1 lit d. DSGVO verwenden können.

Sprechen Sie uns an, wenn wir als unabhängiger Dritter ein Datenschutz-Audit für Ihr Unternehmen durchführen sollen.

Bußgelder nach der DSGVO

Die DSGVO bietet nach Artikel 83 die Möglichkeit, Bußgelder bis zu 20. 000. 000 Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs zu verhängen. Dieses publikumswirksame Schreckensszenario wurde in den letzten zwei Jahren pressewirksam vermarktet.

Insbesondere klein- und mittelständische Unternehmen sahen sich nach den vielen Veröffentlichungen einem existenzgefährdendem Risiko ausgesetzt.

Wie sieht es jetzt in der Praxis aus?

Der folgende Artikel des Heise Verlags, der im Mai veröffentlicht wurde weist auf ca. 75 Bußgeldverfahren in Deutschland hin.Dabei wurden die Aufsichtsbehörden aktiv befragt, zwei Bundesländer wollten hierzu keine Angaben machen. Das Handelsblatt weist auf ca. 70 Bußgelder bis Mai 2019 hin.

Während die Bußgelder in Deutschland vergleichsweise gering ausfallen, werden in anderen Ländern hingegen deutlich höhere Bußgelder verhängt. So wird im folgenden Artikel über das 50 Mio. Euro Bußgeld der französischen Aufsichtsbehörde gegenüber Google vom Januar 2019 berichtet. Und bereits im Oktober 2018 wurde z.B. durch die FAZ von dem gegen ein protugisisches Krankenhaus verhängte hohe Bußgeld berichtet.

Eine weitere Quelle für verhängte Bußgelder, die recht aktuell ist, findet man auf der Seite von Data Agenda. Und der „GDPR Enforcement Tracker“ von CMS versucht, eine Liste aller bekanntgewordenen Bußgelder aktuell zu halten.

Erstaunlicherweise gibt es hierzu kaum konsolidierte Veröffentlichungen von den deutschen Aufsichtsbehörden. Es ist nicht ganz klar, warum die deutschen Aufsichtsbehörden nur so spärlich Informationen zu verhängten Bußgeldern publizieren, denn Abschreckung wäre doch die beste Motivation zur Umsetzung.

Mehr Transparenz ist erforderlich

Stattdessen schwanken Betroffene und Unternehmen weiter zwischen „das muss man doch alles nicht so ernst nehmen“ und wirtschaftlicher Panik. Die deutschen Aufsichtsbehörden würden das Ziel der EU-Richtlinie und insbesondere deren Akzeptanz deutlich erhöhen, wenn sie hier mehr veröffentlichen würden. Dabei geht es nicht um den Namen des Unternehmens, sondern um den Anwendungsfall und die verhängte Bußgeldhöhe durch die jeweilige Aufsichtsbehörde.

Ebenso unbekannt ist, wieviele der Verfahren tatsächlich nach rechtlicher Klärung zum Erfolg geführt haben.

Interessant wäre auch, wieviele Meldungen von Unternehmen durch die verschärften Meldepflichten an die Aufsichtsbehörden eingegangen sind oder in welcher Anzahl Betroffene Meldung bei der Aufsichtsbehörde der Länder zu vermeintlichen Datenschutzverstößen machen.

Die überschaubaren Information suggerieren teilweise den Eindruck, als wäre die lasche Anwendung der DSGVO mit minimalem Aufwand für den Verantwortlichen die günstigere Variante, unter Berücksichtigung des unternehmerischen Risikos.

Wir sind allerdings der Überzeugung, dass mehr passiert als tatsächlich kundgetan wird, so dass wir davon abraten, dass Thema auf die leichte Schulter zu nehmen.

Rechenschaftspflicht auch für Datenschutzbeauftragten

Bei der ganzen Dokumentation aufgrund der Rechenschaftspflicht nach Artikel 5 Abs. 2 DSGVO wird häufig vergessen, dass auch der Datenschutzbeauftragte der Rechenschaftspflicht unterliegt.

Inhalt der Rechenschaftspflicht

Als Referenz für die Rechenschaftspflicht kann mindestens der in Artikel 39 DSGVO aufgeführte Aufgabenbereich des Datenschutzbeauftragten herangezogen werden.  Dazu gehören (in Kurzform)

  • Die Unterrichtung und Beratung des Verantwortlichen
  • Überwachung der Einhaltung inkl. Sensibilisierung
  • Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung (auf Anfrage)
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde

Tätigkeitsbericht des DSB

Es empfiehlt sich also bei all diesen Punkten zu hinterlegen, wann welcher Fall aufgetreten ist und wie er seitens des DSB behandelt wurde. Dies bekommt insbesondere dann eine Bedeutung, wenn aufgrund von juristischen Unklarheiten Anwälte und Gerichte eingeschaltet werden müssen.

Dazu bietet sich die Archivierung der Email-Kommunikation ebenso an, wie Notizen oder Gesprächsprotokolle z.B. in einem DMS-System mandantenbezogen zu hinterlegen.

Als Einstieg empfiehlt sich, einen Tätigkeitsbericht als DSB jährlich (im ersten Quartal des Folgejahres) zu erstellen, in dem die o.a. Pflichten durch erfolgte Aktivitäten zusammengefasst dokumentiert werden. In diesem kann man dann auch nochmal konkrete Hinweise über besondere Risiken, etc. dem Verantwortlichen gegenüber artikulieren.