Aufsichtsbehörde prüft Datenschutzorganisation in Unternehmen

konzern 02
News

Das Bayrische Landesamt für Datenschutzaufsicht hat angekündigt, ab Februar die Datenschutzorganisation von Unternehmen in ihrem Zuständigkeitsbereich anlasslos zu überprüfen. Dazu versendet sie an die Unternehmen Fragebögen, eine Methode, die sich auch bei anderen Aufsichtsbehörden immer größerer Beliebtheit erfreut.

Überprüfung nach dem Zufallsprinzip

Für das erste Halbjahr 2016 ist die Überprüfung von 56 Unternehmen geplant, wie der Homepage der Aufsichtsbehörde zu entnehmen ist. Die Unternehmen werden nach regionalen Kriterien und dem Zufallsprinzip ausgesucht.

Das Bayrische Landesamt für Datenschutzaufsicht verschickt schon seit 2013 Fragebögen zur Datenschutzorganisation und hat in den ersten beiden Jahren der Aktion immerhin 262 Unternehmen überprüft. In seinem 6. Tätigkeitsbericht (Seite 32) präsentiert das Landesamt die Ergebnisse der Aktion.

Die häufigsten Mängel waren festzustellen bei der Bestellung und Tätigkeit des Datenschutzbeauftragten, z. B. wegen nicht vertretbarer Interessenkollision (Datenschutzbeauftragter gleichzeitig DV-Administrator, Personalchef, Vorstand oder ähnliches), bei der (zu langen) Speicherdauer der Videoüberwachungsdaten oder einer fehlenden Regelung der privaten Internet- und E-Mail-Nutzung am Arbeitsplatz.

Was ist Datenschutzorganisation?

Es handelt sich dabei um alle Vorkehrungen und Maßnahmen, die im Unternehmen zum Schutz personenbezogener Daten getroffen werden. Dazu gehören auch Maßnahmen, die nicht gesetzlich vorgeschrieben sind, sich aber trotzdem etabliert haben:

  1. Bestellung und Tätigkeit des Datenschutzbeauftragten
  2. Öffentliches Verfahrensverzeichnis
  3. Verpflichtung der Mitarbeiter auf das Datengeheimnis
  4. Auftragsdatenverarbeitung
  5. Datenschutzkonforme Videoüberwachung
  6. Private Nutzung dienstlicher Kommunikationsmittel
  7. Dienstliche Verwendung privater Kommunikationsmittel
  8. Technische und organisatorische Maßnahmen

Wie die Überprüfung der Aufsichtsbehörde ergeben hat, verfügen immer noch fünf Prozent der befragten Unternehmen über keine Datenschutzorganisation. Deutlich höher dürfte die Zahl der Unternehmen sein, in denen nur rudimentäre Schutzmaßnahmen getroffen werden oder bestimmte Maßnahmen fehlen.

Allen Verantwortlichen in diesen Unternehmen können wir nur dringend empfehlen, die eigene Datenschutzorganisation anhand des Fragebogens der bayrischen Aufsichtsbehörde zu überprüfen. Die wichtigsten Merkmale einer solchen Organisation sind darin in übersichtlicher Form zusammengefasst.

Fragebogen ernst nehmen!

Ein Fragebogen kommt erst einmal ganz harmlos daher. Kann man nicht nach dem alten Behördenprinzip „Gelesen-Gelacht-Gelocht“ verfahren oder bei der Beantwortung schummeln? Das ist nicht zu empfehlen. Denn die Aufsichtsbehörde überprüft die Angaben stichprobenartig. Mitarbeiter des Bayrischen Landesamts für Datenschutzaufsicht kommen dazu wie das Finanzamt unangekündigt ins Unternehmen.

Was passiert, wenn ein Unternehmen den Fragebogen einer Datenschutzaufsichtsbehörde nicht ernst nimmt, kann man gerade in Hamburg beobachten. Nach dem Safe Harbor-Urteil des Europäischen Gerichtshofs hatte der Hamburgische Landesbeauftragte für den Datenschutz 35 Unternehmen einen Fragebogen zum Datentransfer in die USA geschickt. Drei Unternehmen haben etwas unbekümmert geantwortet, personenbezogene Daten ohne Rechtsgrundlage in die USA zu übermitteln. Laut Spiegel droht diesen Unternehmen nach einem Anhörungsverfahren ein Bußgeld von bis zu 300.000 Euro.

So weit muss es nicht kommen. Daher empfehlen wir, ob Sie nun einen Fragebogen erhalten haben oder nicht: Bringen Sie Ihre Datenschutzorganisation in Ordnung!

2 Kommentare zu diesem Beitrag

  1. Ich arbeite bei der Firma [Name gelöscht] als Zusteller. Bei uns wurde eine App eingeführt wo ich während der Arbeitszeit den ganzen Tag kontrollier wo ich bin und was ich tu. Ich wurde genötigt eine Betriebsvereinbarung zu unterschreiben. Ich wollte den Datenschutzbeauftragten sprechen was mir verweigert wurde. Ich weiss nicht ob sie einen Datenschutzbeauftragten haben. Erzählt wurde das er zur Schulung ist. Wie oder wer kann das überprüfen oder an wen kann man sich wenden?

    • In einem ersten Schritt sollten Sie (erneut) versuchen, Ihren betrieblichen Datenschutzbeauftragten zu kontaktieren und ihm die Angelegenheit zu schildern. Sollte Ihr Betrieb keinen Datenschutzbeauftragten haben, können Sie sich alternativ an den Betriebsrat oder Ihren Vorgesetzten wenden.

      Daneben steht Ihnen auch die Möglichkeit offen, sich an die zuständige Aufsichtsbehörde zu wenden und dieser Ihre Bedenken mitzuteilen. Im Interesse eines guten Arbeitsklimas wäre es aber ratsam, vor der Einschaltung der Aufsichtsbehörde zunächst zu versuchen, eine innerbetriebliche Klärung herbeizuführen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.