Unangemeldete Datenschutzkontrolle!

Gastronomische Einrichtungen werden regelmäßig vom Gesundheitsamt kontrolliert. Ohne vorige Anmeldung und ohne feste Zeiten. Ich finde, so was müsste es auch für Unternehmen geben, die personenbezogene Daten verarbeiten. 

Ein normaler Tag in einem Versandunternehmen in Deutschland. Telefone klingeln, auf dem Flur wird getratscht und in Raum 03 ist man sich immer noch nicht einig, ob die Klimaanlage eingeschaltet oder lieber das Fenster geöffnet werden soll. Plötzlich stehen drei Herren am Empfang und melden sich mit „Guten Tag, Datenschutzaufsicht. Wir würden gerne mal durch ihre Büros gehen.“. Panik. Anspannung. „Hoffentlich haben wir alles richtig gemacht“. 

Ich habe vor einiger Zeit kurz in der Gastronomie gearbeitet und erinnere mich noch genau an die Spannung in der Luft, als das Gesundheitsamt in unserer Küche stand. Wir hatten zwar nichts zu befürchten, waren aber trotzdem nervös wie Kinder vor dem ersten Schultag. Genauso stelle ich mir die Stimmung in sämtlichen Büros vor, vor allem in Unternehmen, in denen vermutlich bewusst über die ein oder andere Verordnung hinweggesehen wird. 

Wäre das überhaupt durchführbar? 

Möglich ist alles. Und es wird auch schon gemacht. Es gibt unabhängige Datenschutzbeauftragte, die bei der Wahrnehmung ihrer Aufgaben nur an das Gesetz gebunden sind. Diese dürfen allerdings nicht jeden Bereich unter die Lupe nehmen, beispielsweise die Interessenvertretung eines Unternehmens („Betriebsrat“). Dafür gibt es Aufsichtsbehörden, die regelmäßig in Unternehmen den Datenschutz an verschiedenen Stellen prüfen. Auch dort, wo der Datenschutzbeauftragte nicht hinein darf. Das Bundesdatenschutzgesetz ermöglicht den Aufsichtsbehörden, Unternehmen zu befragen und Einsicht in die Datenverarbeitung zu nehmen. Alles im Rahmen ihrer Zuständigkeit und vieles davon bereits automatisch. Sie dürfen sogar unangemeldet vor der Tür stehen und um Zutritt zu den Räumlichkeiten bitten. 

Stellt eine Aufsichtsbehörde bei ihrem Besuch Mängel fest, werden Fristen gesetzt, innerhalb derer die Mängel beseitigt werden müssen. Das Ganze wird später noch mal geprüft und die gesamte Prozedur wird dokumentiert. Werden festgestellte Mängel nicht beseitigt, drohen harte Strafen. Geldbußen bis 50.000€, in bestimmten Fällen bis 300.00€ sind möglich. Und dank der neuen Datenschutzgrundverordnung, die am 25.04.2018 in Kraft tritt, können die Strafen noch härter werden. 

Datenschutz bei der Datenschutzbehörde 

Bei der Kontrolle informiert sich die Behörde über folgende Punkte, zu denen ein Betrieb vollständige und wahrheitsgemäße Angaben machen muss: 

  • Datenschutzbeauftragter
  • Verfahrensverzeichnis
  • Verpflichtung auf das Datengeheimnis
  • Auftragsdatenverarbeitung
  • Videoüberwachung
  • private Nutzung dienstlicher Kommunikationsmittel
  • dienstliche Verwendung privater Kommunikationsmittel
  • technische und organisatorische Maßnahmen

Anhand der Angaben versucht die Behörde Mängel aufzudecken, und Schwachstellen zu finden. Dabei erhält sie Einsicht in betriebliche Unterlagen und Daten. Es sollte klar sein, dass die Aufsichtsbehörde ebenfalls den Vorgaben aus dem Datenschutzgesetz untersteht. Die erhobenen Daten dürfen nur zum Zweck der Verarbeitung genutzt werdenn. Anschließend müssen die sie gelöscht, bzw. nach gesetzlichen Vorgaben archiviert werden. 

Mehr als nur eine Idee 

Die Idee zu diesem Beitrag habe ich von einem Freund, der fragte „Was wäre, wenn es so was wie Lebensmittelkontrollen für Datenschutz gibt?“. Um das „was wäre“ sollte es hier eigentlich gehen. Stattdessen stelle ich nun fest, dass wir so was schon haben. Mir war zwar längst bekannt, dass es Datenschutzbeauftragte und –Behörden gibt, aber nicht, dass sie tatsächlich unangemeldete Kontrollen machen. Wahrscheinlich deshalb, weil ich es in keinem Betrieb, in dem ich bisher unterwegs war, mitbekommen habe. Ich find’s gut. 

11.04.2018