Während die Datenschutz-Aufsichtsbehörden früher vor allem beratend tätig waren, widmen sie sich nun verstärkt Kontrollaufgaben. Diese Veränderung ist der EU-Datenschutz-Grundverordnung (DSGVO) geschuldet. Das Bayerische Landesamt für Datenschutzaufsicht bekräftigt in seinem aktuellen Tätigkeitsbericht diese neue Ausrichtung ebenso wie der Landesdatenschutzbeauftragte in Baden-Württemberg in einem Zeitungsbeitrag.
Gründe für die verstärkten Kontrollen der Aufsichtsbehörden
Sieht man sich die jüngsten Tätigkeitsberichte der Aufsichtsbehörden an, ergibt sich ein übergreifend erkennbares Bild. Es gibt gleich mehrere Gründe für den Kurswechsel:
Beschwerden
Das Bewusstsein für die eigenen Datenschutzrechte ist in der Bevölkerung stark angestiegen. Dementsprechend nahm auch die Zahl der Beschwerden durch Betroffene massiv zu. Die Aufsichtsbehörden mussten sich seit Inkrafttreten der DSGVO mit wesentlich mehr Beschwerden beschäftigen als früher in vergleichbaren Zeiträumen. So gingen allein in Bayern im vergangenen Jahr 3.643 Beschwerden ein; das sind mehr als zehn pro Kalendertag! In Baden-Württemberg waren es sogar über 3.900 Beschwerden. Auch in Hamburg gehen derzeit knapp zehn Beschwerden pro Tag ein.
Prüfungen
Die eigenen Feststellungen der Aufsichtsbehörden zeigen oft noch Defizite in der Umsetzung der Anforderungen. Zu viele Unternehmen haben Anforderungen der DSGVO nicht oder nicht ausreichend umgesetzt.
Meldung von Datenpannen
Auch die Pflicht zur Meldung von Datenpannen zeitigt Folgen. So verzehnfachten sich z. B. in Baden-Württemberg im Berichtszeitraum die Meldungen.
Personalknappheit
Ein weiterer Grund für die Verlagerung ist politischer Natur: Die Behörden sind unterbesetzt. Die vorhandene Personalstärke lässt die bisher oft geübte Praxis der Beratung nicht mehr zu. So äußert sich etwa der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht sehr deutlich in seinem letzten Bericht.
Was bedeutet die neue Ausrichtung der Aufsichtsbehörden für Unternehmen?
Auch wenn die Berichterstattung zur DSGVO stark nachgelassen hat, ist der Druck auf Unternehmen nicht geringer geworden. Im Gegenteil ist festzuhalten, dass die Schonfrist vorbei ist:
- Mit einer Kontrolle ist jederzeit zu rechnen. Ob nun veranlasst durch eine Beschwerde oder aus eigenem Antrieb – die zuständige Behörde kann jederzeit „anklopfen“.
- Der eigene Umsetzungsgrad des Datenschutzes (Stichwort: Datenschutzmanagementsystem) sollte daher dringend überprüft und ggf. korrigiert werden. Immer noch unterschätzen viele Unternehmen den Bereich Datenschutz und geben ihm nicht das notwendige Gewicht. Teils liegt dies an Unkenntnis oder fehlendem Bewusstsein, teils an unvollständiger oder gänzlich ungeeigneter Beratung. Auch fehlerhafte Priorisierung von Aufgaben trägt ihren Teil bei.
- Die Rechenschaftspflicht nicht vergessen! Es ist nicht mehr damit getan, einen bestimmten Zustand zu erreichen. Es muss vielmehr laufend gemessen und belegt werden, dass der Datenschutz korrekt umgesetzt wird. Wie diese Rechenschaftspflicht zu erfüllen ist, überfordert immer noch viele Unternehmen. Viel zu oft mangelt es an den geforderten „Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“, gemäß 32 Abs. 1 d) DSGVO.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!