Datenschutz-Kontrolle: Was darf eine Aufsichtsbehörde?

Aufsichtsbehörden für den Datenschutz berichten zunehmend von Prüfungen bei Unternehmen. Dabei stellt sich die Frage, was die Aufsicht alles darf.

Mängel im Datenschutz fallen Unternehmen oftmals erst dann auf, wenn es bereits zur Datenpanne gekommen ist. Interne Kontrollen des Datenschutzes können allerdings auch dann zu spät kommen, wenn die zuständige Aufsichtsbehörde für den Datenschutz eine Prüfung durchführt. 

Dank neuer, automatischer Verfahren sind solche Prüfungen durch die Aufsichtsbehörden nicht mehr so selten zu erwarten, wie dies aufgrund der Personalknappheit bei der Aufsicht früher einmal war.

Die Kontrollen durch die Datenschutzaufsicht betreffen vielfältige Bereiche der IT – beispielsweise die Einbindung sozialer Netzwerke, Apps für Smartphones und Tablets, die Nutzung von Google Analytics, die Verwendung von Adobe Analytics und den Betrieb oder die Nutzung von Mailservern. Dabei gehen nicht nur die Kontrollmöglichkeiten weit, sondern auch die Kontrollrechte.

Aufsichtsbehörden haben weitgehende Kontrollrechte

Selbst Bereiche wie die Interessenvertretung im Unternehmen, die der betriebliche Datenschutzbeauftragte nicht prüfen darf, unterliegen der Kontrolle durch die zuständige Aufsichtsbehörde. Das Bundesdatenschutzgesetz (BDSG) räumt den Aufsichtsbehörden unter anderem ein, im Rahmen ihrer Zuständigkeit Unternehmen zu befragen und dort in die Datenverarbeitung Einsicht zu nehmen. Das wird sich auch bei der geplanten EU-Datenschutz-Grundverordnung nicht ändern.

So haben die der Kontrolle unterliegenden Stellen sowie die mit deren Leitung beauftragten Personen der Aufsichtsbehörde auf Verlangen die Auskünfte unverzüglich zu erteilen, die für die Erfüllung ihrer Aufgaben erforderlich sind. Verweigern kann man die Antwort nur, wenn man sich oder einen Angehörigen der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde.

Die Aufsichtsbehörde darf laut BDSG, soweit es zur Erfüllung ihrer Aufgaben erforderlich ist, theoretisch auch ohne vorherige Ankündigung während der Betriebs- und Geschäftszeiten Grundstücke und Geschäftsräume der Unternehmen betreten und Prüfungen und Besichtigungen vornehmen. Relevante geschäftliche Unterlagen, insbesondere die Verfahrensübersicht, die gespeicherten personenbezogenen Daten und die Datenverarbeitungsprogramme dürfen eingesehen werden. Unternehmen haben diese Maßnahmen zu dulden, so das Gesetz.

Datenschutz-Prüfungen können Folgen haben

Wenn die Aufsichtsbehörde im Unternehmen Abweichungen von den datenschutzrechtlichen Vorgaben entdeckt, wird dies dokumentiert, die Abstellung der Mängel gefordert und die Mängelbeseitigung später überprüft. Doch die Folgen können noch weitreichender sein.

Weitere Artikel zum Thema Datenschutz:

Die wichtigsten Datenschutz-Punkte beim Dokumenten-Management

Die wichtigsten Datenschutz-Punkte bei E-Mail am Arbeitsplatz

Die wichtigsten Datenschutz-Vorgaben für die Cloud

Datenschutz: Wann Sicherheitsvorfälle gemeldet werden müssen

Dispositionssoftware: Ein Fall für den Datenschutz

Lücken im Datenschutz-Management vermeiden

E-Government: Datenschutz beim Datenaustausch mit Behörden

Digitale Poststelle: Herausforderung für den Datenschutz

Datenschutz bei der Datenträgervernichtung

Die Aufsichtsbehörde kann bestimmte Maßnahmen zur Beseitigung festgestellter Verstöße anordnen. 

Dazu kann sogar ein Verbot betroffener IT-Verfahren gehören: Bei schwerwiegenden Verstößen oder Mängeln kann die Aufsicht die Erhebung, Verarbeitung, Nutzung oder den Einsatz einzelner Verfahren untersagen. 

Sie kann auch die Abberufung des Beauftragten für den Datenschutz verlangen, wenn er die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit nicht besitzt. 

Auch Bußgelder können drohen: Wird eine Ordnungswidrigkeit festgestellt, kann dies zu einer Geldbuße bis zu 50.000 Euro, in bestimmten Fällen bis zu 300.000 Euro führen.

In der geplanten EU-Datenschutz-Grundverordnung sind sogar noch deutlich höhere Bußgelder vorgesehen. Der Grund: Die Geldbuße soll den wirtschaftlichen Vorteil übersteigen, den das Unternehmen aus der Ordnungswidrigkeit gezogen hat. Dazu können auch die genannten Beträge für Bußgelder heute schon überschritten werden.

Aufsichtsbehörden nicht als Gegner sehen

So drastisch die Folgen aufgedeckter Datenschutz-Mängel für ein Unternehmen auch sein können, die Aufsichtsbehörden sind keine Gegner, sondern Partner der Unternehmen im Datenschutz. Die Aufsichtsbehörden beraten und unterstützen die betrieblichen Datenschutzbeauftragten und die verantwortlichen Stellen mit Rücksicht auf deren typische Bedürfnisse – so will es das Gesetz und so wollen es auch die Aufsichtsbehörden.

Auch dies sollte klar sein: Auch die Aufsichtsbehörden unterliegen den Vorgaben aus dem Datenschutz, wenn sie Einsicht in betriebliche Unterlagen und Daten nehmen. Die Aufsichtsbehörden dürfen die von ihnen gespeicherten Daten nur für Zwecke der Aufsicht verarbeiten und nutzen. Die Zweckbindung für erhobene Daten gilt eben immer und überall.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Erfahren Sie mehr über Datenschutz und Compliance