AKTUELL: Datenschutz und Unternehmensüberprüfungen durch die Datenschutzaufsichtsbehörde

(Berlin)

12. September 2016

Nach den sogenannten „Edward Snowden-Enthüllungen“ im Jahre 2013 und nachdem der Europäische Gerichtshof am 6. Oktober 2015 festgestellt hat, dass die Safe Harbor-Entscheidung der EU-Kommission unwirksam ist, ist das europäische und nationale Datenschutzrecht viel stärker als in den Jahren zuvor in die betriebliche Wirklichkeit gerückt. Hinzu kommt, dass im Zuge der Digitalisierung zunehmend deutlich mehr Daten, insbesondere auch personenbezogene Daten, verarbeitet werden, als dies noch vor zehn Jahren der Fall war. Darüber hinaus wird sich die datenschutzrechtliche „Landschaft“ in Europa und auch in Deutschland durch die ab dem 25. Mai 2018 geltende europäische Datenschutzgrundverordnung auch noch einmal verändern. Diese Datenschutzgrundverordnung verfolgt das Ziel einer Vollharmonisierung innerhalb der EU und überlässt es zugleich den Mitgliedsstaaten, erhebliche Regelungsspielräume im Zuge nationaler Gesetzgebung auszufüllen. Diese können bei Feststellung von Verstößen gegen Datenschutzbestimmungen in einem Ordnungswidrigkeitenverfahren oder sogar in einem Strafverfahren enden.

Gemäß § 38 Abs. 4 BDSG hat die zuständige Datenschutzaufsichtsbehörde die Befugnis, Unternehmensprüfungen vor Ort durchzuführen. Dabei sind unangekündigte Kontrollen zwar möglich, in der Praxis jedoch eher selten.

Häufig werden Termine zur Unternehmensprüfung mit einer Vorlaufzeit von bis zu sechs Wochen angekündigt. In jedem Fall ist es aber ratsam, diesen Termin gründlich vorzubereiten und die gemäß BDSG von der Datenschutzaufsichtsbehörde regelmäßig nachgefragten Informationen und Unterlagen parat zu haben. Hierbei sollten mindestens die folgenden Sachverhaltsinformationen/ Dokumente vorgelegt werden können:

  1. Ein ordnungsgemäßes Verfahrensverzeichnis, welches die folgenden Informationen enthält:
    1. den Namen der verantwortlichen Stelle (Arbeitgeber),
    2. den Inhaber, Geschäftsführer, sonstige gesetzliche oder nach der Verfassung des Unternehmens berufenen Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,
    3. die Anschrift der verantwortlichen Stelle,
    4. die Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,
    5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,
    6. die Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,
    7. die Regelfristen für die Löschung der Daten,
    8. eine geplante Datenübermittlung in Drittstaaten, je nach Art des Verfahrensverzeichnisses eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die technischen und organisatorischen Maßnahmen nach § 9 BDSG zur Gewährung der Sicherheit der Verarbeitung angemessen sind; sowie
    9. ebenfalls abhängig von der Art des Verzeichnisses, die zugriffsberechtigten Personen

Hinweis: Fehlende oder unzureichende Verfahrensverzeichnisse belegen im Falle einer Unternehmensprüfung oft den fatalen Eindruck, dass im geprüften Unternehmen kein hinreichendes Datenschutzbewusstsein besteht.

  1. Grundsätzliche Umfeldbeschreibung der IT und der Netzwerksumgebung (Web- und Fileserverstruktur, WLAN, Rechnertypen etc.)
  2. Nachweis der Implementierung einer IT-Policy mit Sicherheitsrichtlinien
  3. Benennung der Kontaktdaten des betrieblichen Datenschutzbeauftragten sowie der für IT-Sicherheit zuständigen qualifizierten Personen sowie (bei interner Positionierung) ihre hierarchische Einordnung
  4. Nachweis etwaiger Zertifizierungen
  5. Dokumentation über die ordnungsgemäß durchgeführte Schulung von Arbeitnehmern in Bezug auf Datenschutz und IT-Sicherheit
  6. Vorlage eines implementierten Berechtigungs- und Rollenkonzepts
  7. Etwaige Hinweise auf den Einsatz von Verschlüsselungstechnik im betrieblichen Ablauf

Bemängelt werden von allen Behörden zumeist dieselben Fehler. Diese bestehen häufig in fehlenden Angaben im Verfahrensverzeichnis zum konkreten Zweck der einzelnen Datenverarbeitung oder zu den einzuhaltenden Löschfristen, wobei ein Verweis auf die „gesetzlichen Löschfristen“ als nicht ausreichend gelten dürfte. Gerade hier setzt die Datenschutzaufsichtsbehörde aber häufig an, da das fortgesetzte Aufbewahren von personenbezogenen Daten nach dem Wegfall des Verarbeitungszwecks gemeinhin als erheblicher Datenschutzverstoß gewertet wird, der im Übrigen auch bußgeldbewährt sein kann. Es wird insoweit regelmäßig von der Datenschutzaufsichtsbehörde erwartet, dass ein gesondertes Lösch- und Datensperrkonzept vorgelegt werden kann, welches insbesondere aufzeigt, wann genau welche Daten wie gelöscht werden. Damit einhergehend wird ebenfalls oft kritisiert, dass kein „Regime“ zum Umgang mit Auskunftsersuchen anspruchsberechtigter Dritter vorgelegt werden kann, d. h. also nicht dargestellt werden kann, wie Betroffenen auf Anfrage Auskunft über die sie betreffenden und verarbeiteten personenbezogenen Daten erteilt werden kann. Häufig stellt die Datenschutzaufsichtsbehörde auch die Frage, ob die sogenannten „Verpflichtungen auf das Datengeheimnis“ erfolgt sind. Soweit derartige Verpflichtungen überhaupt vorhanden sind, fehlen jedoch oft die richtigen inhaltlichen Hinweise gemäß BDSG.

Schließlich sind vielfach auch die mit Dienstleistern geschlossenen Verträge zur Auftragsdatenverarbeitung Stein des Anstoßes. Hier lassen sich wegen der eindeutigen in § 11 BDSG festgelegten Mindestvertragsinhalte relativ schnell Fehler durch die Aufsichtsbehörde identifizieren.

Praxistipp:

Unternehmensprüfungen durch Datenschutzaufsichtsbehörden sind keine Seltenheit. Unternehmen sind daher gut beraten, eine im Einklang mit dem BDSG stehende dokumentierte Datenschutzorganisation einzurichten, um der Feststellung schwerwiegender Datenschutzverstöße durch eine Datenschutzaufsichtsbehörde in jedem Fall vorzubeugen. Vor diesem Hintergrund empfiehlt es sich aktuell eine Statusüberprüfung durchzuführen und etwaige Anpassungen vorzunehmen.

Hendrik Muschal  (Berlin)

Hendrik Muschal ist Fachanwalt für Arbeitsrecht und Managing Partner des Berliner Büros von Ogletree Deakins. Als anerkannter und erfahrener Experte berät er bundesweit zahlreiche deutsche und internationale Mandanten verschiedenster Industrien in den Bereichen des Individualarbeitsrechts, des Betriebsverfassungsrechts, des Personalvertretungsrechts-sowie im arbeitsrechtsbezogenen Strafrecht.

Ein Schwerpunkt seiner Beratungstätigkeit liegt zum einen im Bereich der innovativen  Personalkostenoptimierung. Zum anderen begleitet Hendrik Muschal Mandanten in der öffentlichen Verwaltung, insbesondere  bei der Stellenanpassung (Behandlung von Überhangdienstposten),  der Reorganisation, Tarifwechselmodellen (insbes. Beteiligungsgesellschaften) sowie bei der tariflichen Eingruppierung etc.

Als Experte für Datenschutzrecht ist Hendrik Muschal Co-Chair der Ogletree Deakins Data Privacy Praxisgruppe und unterstützt Unternehmen bei nationalen und internationalen datenschutzrechtlichen Problemstellungen.

Als Fachanwalt widmet sich Hendrik Muschal auch der arbeitsrechtlichen Beratung im Rahmen internationaler Investitionsaktivitäten und grenzüberschreitender Transaktionen sowie im Bereich des globalen HR Management.

Vor seiner Tätigkeit bei Ogletree Deakins war Hendrik Muschal Partner bei der internationalen Wirtschaftskanzlei Beiten Burkhardt und Partner sowie Co-Chair der globalen Praxisgruppe Arbeitsrecht bei Dentons (vormals Salans LLP).

Hendrik Muschal spricht verhandlungssicher Englisch.