Anlasslose Prüfung der Aufsicht

1) Prüfungsbefugnis und Prüfungsformen

Mit einem Schwerpunkt auf technischen und rechtlichen Aspekten führt das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in Koordination mit der Stabstelle Prüfungsverfahren Prüfungen durch. Die Ziele hierbei sind zum einen die Sanktionierung von Datenschutzverstößen und zum anderen, dass Verantwortliche, Auftragsverarbeiter und Datenschutzbeauftragte eine „Selbstüberprüfung“ vornehmen.


Die Untersuchungsbefugnisse sind in Art. 58 Abs. 1 DSGVO geregelt:

  • Behörden dürfen Verantwortliche und Auftragsverarbeiter anweisen, alle für die Erfüllung der behördlichen Aufgaben erforderlichen Informationen bereitzustellen (Art. 57 Buchst. a DSGVO).
  • Die Behörden dürfen Untersuchungen (in Form von Datenschutzüberprüfungen) durchführen (Buchst. b).
  • Die Behörden erhalten zu allen personenbezogenen Daten Zugang, die für die alle für die Erfüllung der behördlichen Aufgaben notwendig sind (Buchst. e).
  • Die Behörden erhalten zu allen Räumlichkeiten, Datenverarbeitungsanlagen und -geräte der Verantwortlichen und Auftragsverarbeitern Zugang (Buchst. f).

Die konkrete Auswahl der Maßnahmen liegt im Ermessen der Aufsichtsbehörde.

Die personellen Ressourcen sind knapp, weswegen sowohl datenschutzrechtliche Beratungen als auch andere präventive Angebote fast nicht mehr möglich sind. Aus dem Grund hat das BayLDA seine Strategie zu einem repressiven Handeln geändert und hat nun zum Ziel, datenschutzrechtliche Verstöße zu ahnden, statt diese präventiv zu verhindern.
Bei den anlasslosen Prüfungen entschied sich das BayLDA dazu, den Fokus auf bestimmte Prüfungsschwerpunkte zu legen. Begleitet werden diese Prüfungen von der Veröffentlichung der Prüfungsunterlagen sowie andere Informationen auf ihrer Website. Die Unterlagen sprechen neben den Prüflingen auch Datenschutzbeauftragte, Verantwortliche und Auftragsverarbeiter sowie alle interessierten Akteure an.
Die Stabstelle Prüfungsverfahren kümmert sich um die Koordination & Durchführung, während die inhaltliche Ausgestaltung und Auswertung der Prüfbögen über die Fachbereiche des BayLDA erfolgt.

2) Erstellung und Ablauf

Eine Orientierung zur Auswahl der Prüfungsschwerpunkte sind beispielsweise Themen, die eine hohe Anzahl an Ergebnissen liefern, aktuelle Anlässe oder auch Themen, die sich von Amts wegen ergeben (technische Neuerungen, Presseberichterstattung etc.).

Prüfbögen

Im Regelfall können die geprüften Organisationen zwischen vorformulierten Antwortmöglichkeiten auswählen und/oder ankreuzen. Quellen zur Auswahl der Prüflinge je nach Prüfungsschwerpunkt sind verfügbare Register, Übersichten und sonstige Informationsquellen. Die Zahl der Prüflinge variiert abhängig vom Schwerpunkt, der Branche und dem Prüfungsumfang. In der Regel bewegt sie sich im ein- bis dreistelligen Bereich.
Auch finden Großprüfungen statt. Diese werden unkompliziert und zeitsparend über die Dokumenten-Management-Software-System angelegt und Serienbriefe dann automatisch erstellt.

Checkliste

Online ausfüllen

Mithilfe eines individuell übersandten Prüf-Token besteht die Möglichkeit, die Prüfbögen papierlos auf der Website des BayLDA auszufüllen. Spätestens gleichzeitig mit dem Versand dessen veröffentlicht das BayLDA neben der Ankündigung der Prüfung und den Prüfbögen selbst auch Informationen zum Prüfungsschwerpunkt, teilweise sogar Checklisten zum Thema. Hier können Sie eine Übersicht zu den durchgeführten und aktuellen Prüfungen finden. Ziel dabei ist, dass sich Verantwortliche, Auftragsverarbeiter und Datenschutzbeauftragte hinterfragen: Werden die datenschutzrechtlichen Anforderungen bereits eingehalten oder welchen Stellen gibt es mit Blick auf das Thema Nach- und Verbesserungsbedarf?

Und danach?

Nach der Beantwortung der Prüfbögen innerhalb der gesetzten Frist wertet das BayLDA diese aus und bewertet, ob weitere Maßnahmen ergriffen werden- Sollte es keinen weiteren Anlass geben, schließt das BayLDA die Prüfung ab. Sollten weitere Informationen fehlen oder eine Vertiefung der Prüfung erforderlich erscheinen, spricht das BayLDA den Prüfling erneut an.

Dauerprüfungen

Nach vollständigem Abschluss eines Prüflaufs wird dies auf der Website des BayLDA veröffentlicht. Dies  schließt allerdings nicht aus, dass das Thema Gegenstand weiterer Prüfläufe werden kann. Einzelne Prüfungen können demnach je nach Relevanz und Schwerpunktsetzung auch als Dauerprüfungen mehrfach durchgeführt werden (z.B. die Ransomware-Prüfung).

3) Fazit

Nach etwa einem Jahr zieht das BayLDA eine positive Bilanz, denn sowohl die Zahl der durchgeführten Prüfungen als auch die Aufmerksamkeit, die die begleitende Öffentlichkeit erreicht hat, ist gestiegen. Die Prüfungen werden demnach fortgesetzt.

Sollten Sie darüber hinaus Fragen zu diesem Thema haben, melden Sie sich gerne bei uns.

Quelle: Viele der Gedanken hier haben wir aus der Zeitschrift „Datenschutz-Praxis“, Ausgabe 03/2023

Schreibe einen Kommentar