Vorgehen der Aufsichtsbehörden bei Kontrolle

Wie gehen die Aufsichtsbehörden bei ihrer Kontrolle vor?

Um das Vorgehen der Aufsichtsbehörden bei der Kontrolle bzw. die Anwendung ihrer Untersuchungsbefugnisse näher zu erläutern, ist es hilfreich, sich deren Situation vor Augen zu führen:

Ein großes Problem der Aufsichtsbehörden war bisher ihre sehr knappe personelle Ausstattung. Hundertausenden von zu überwachenden Stellen standen einige Dutzend Datenschützer gegenüber, die mehrere hundert Jahre bräuchten, um jeden Arbeitgeber zu kontrollieren.

Die DSGVO scheint dieses Problem gesehen zu haben. Sie schreibt vor, dass die Mitgliedstaaten sicherstellen, dass jede Aufsichtsbehörde mit den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ausgestattet wird, die sie benötigt, um ihre Aufgaben und Befugnisse effektiv wahrnehmen zu können (Art. 52 Abs. 4 DSGVO). Bisher haben die Länder mit Blick auf die DSGVO leichte Personalsteigerungen vorgenommen. Ob diese genügen, wird sich zeigen, ist aber mit Skepsis zu sehen. Dies gilt vor allem, wenn man berücksichtigt, dass sich gegen die deutlich erhöhten Bußgelder voraussichtlich mehr Arbeitgeber wehren werden.

Vor diesem Hintergrund gibt es regelmäßig drei Arten der Datenschutzkontrolle:

   -    Einzelfallkontrolle,
   -    Strukturkontrolle und
   -    Stichprobenkontrolle.


Was versteht man unter der Einzelfallkontrolle?
Die Einzelfallkontrolle meint die Kontrolle einzelner Arbeitgeber bzw. Unternehmer, wenn der Aufsichtsbehörde Hinweise auf Datenschutzverstöße vorliegen.

Beispiel
So wurde die Berliner Beauftragte für Datenschutz und Informationsfreiheit kürzlich durch eine Pressemitteilung der vereinten Dienstleistungsgewerkschaft ver.di vom 18. August 2017 auf den Vorwurf einer Ausspähung der Beschäftigtenvertretung bei den Berliner Verkehrsbetrieben (BVG) aufmerksam. Um die Vorwürfe zu prüfen, nahm die Aufsichtsbehörde umgehend eine Betriebsprüfung bei der BVG vor.

Eine Einzelfallkontrolle erfolgt auch, wenn ein Arbeitgeber nach der DSGVO verpflichtet ist, kritische Fälle von sich aus mitzuteilen. Ergibt eine Datenschutzfolgenabschätzung, dass ein hohes Risiko für die Beschäftigtendaten besteht und ergreift der Arbeitgeber keine weiteren Maßnahmen zur Eindämmung des Risikos, ist er zur Konsultation der Aufsichtsbehörde verpflichtet (Art. 36 DSGVO).


Was versteht man unter der Strukturkontrolle?
Bei der Strukturkontrolle fragen Aufsichtsbehörden bei Branchenverbänden an, wie bestimmte Datenschutzfragen bei ihren Mitgliedern gehandhabt werden. So können sich strukturelle Defizite z.B. aus Orientierungshilfen der Branchenverbände ergeben.


Was versteht man unter der Stichprobenkontrolle?
Bei der Stichprobenkontrolle überprüfen die Aufsichtsbehörden ausgewählte typische Fragestellungen des Datenschutzes. Dies kann etwa Datensicherheit, z.B. die Sicherheit von Online-Zugängen eines Arbeitgebers, betreffen. Diese Kontrollen können im Schriftverkehr, vor Ort oder auch online erfolgen.

Beispiel
Die Datensicherheit kann eine Aufsichtsbehörde online dadurch prüfen, dass Sie ausprobiert, ob Online-Zugänge zu Systemen, die Mitarbeiterdaten enthalten, in Fachkreisen bekannten einfachen Mitteln zur Passwortumgehung standhalten.


zurück