Querschnittsprüfung der LfD Niedersachsen zur Umsetzung der DS-GVO in Unternehmen
Schon vor ihrem Geltungsbeginn am 25. Mai 2018 sah sich die Datenschutz-Grundverordnung (DS-GVO) scharfer Kritik ausgesetzt – auch und vor allem aus Kreisen der Wirtschaft. Die DS-GVO, so die Vorwürfe, würde den Aufwand für Datenschutz unverhältnismäßig in die Höhe schrauben. Tatsächlich verlangt die Verordnung unter anderem von Wirtschaftsunternehmen, sich an einige Neuerungen anzupassen. So gilt es etwa, die Informations- und Dokumentationspflichten zu erfüllen, ein Verzeichnis von Verarbeitungstätigkeiten zu führen, bestehende Rechtsgrundlagen für die Verarbeitung personenbezogener Daten und Verträge mit Auftragsverarbeitern zu prüfen und ggf. anzupassen sowie insgesamt interne Prozesse zu hinterfragen bzw. zu ändern.
Auch für die Aufsichtsbehörden sieht die DS-GVO neue Aufgaben und damit einhergehend eine veränderte Rolle vor. Neben einer modifizierten Beratungs- und Unterstützungsfunktion gesteht die Verordnung den Datenschutzbehörden auch umfangreiche Aufsichtsbefugnisse und weitreichende Sanktionsmöglichkeiten zu. Deshalb fragten sich zum Geltungsbeginn viele Verantwortliche, wie die Aufsichtsbehörden nun unter den neuen Voraussetzungen agieren würden. Die Frage stand im Raum, ob die Behörden sofort umfassende Prüfungen durchführen und darauf drakonische „Strafen“ in Millionenhöhe folgen lassen würden.
Nicht diese Befürchtungen, sondern der Wunsch, sich möglichst frühzeitig einen Überblick über den Stand der Umsetzung in Niedersachsen zu verschaffen, veranlasste die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, nur einen Monat nach Geltung der DS-GVO eine branchenübergreifende Prüfung einzuleiten, die als solche die bislang größte Prüfung in der Geschichte der Behörde darstellt. Um das mit dieser Prüfung verbundene Arbeitsvolumen bewältigen zu können, wurde die Prüfung in Form eines Projekts angelegt. Vorteil dieser Arbeitsform ist es, dass die Projektgruppenmitglieder losgelöst von den üblichen Strukturen überwiegend eigenverantwortlich die gestellten Aufgaben bewältigen und notwendige Entscheidungen nicht auf dem Dienstweg, sondern von einer dafür eingesetzten Lenkungsgruppe gemeinsam getroffen und dadurch auf eine breitere Basis gestellt werden.
Durch die Bildung eines referatsübergreifenden Projektteams konnte zudem die Expertise verschiedener Fachreferate zusammengeführt und für die Prüfung optimal genutzt werden.
Die Ausgangslage für diese Prüfung war dabei wenig vielversprechend: In einer repräsentativen Befragung des Branchenverbandes Bitkom unter mehr als 500 Unternehmen aus Deutschland hatte noch im Mai 2018 nur ein Viertel der Befragten angegeben, die Vorgaben der DS-GVO bis zum Stichtag umsetzen zu können – und das trotz zweijähriger Übergangsfrist. Nun galt es also herauszufinden, was das für Niedersachsen bedeutete.
I. Aufklärung vor Sanktion
Im Rahmen dieser Prüfung waren insgesamt 50 Unternehmen unterschiedlicher Größe aufgefordert, eine Vielzahl von Fragen zu zehn Bereichen des Datenschutzes zu beantworten. Im Vordergrund stand und steht dabei nicht der Kontrollaspekt. Es geht im Ansatz nicht darum, möglichst viele Fehler zu finden und Bußgelder zu verhängen. Erklärtes Ziel dieser Prüfung ist es vielmehr, eine Bestandsaufnahme durchzuführen, die Antwort geben soll auf die Frage: Wie gut haben die niedersächsischen Unternehmen die neuen Anforderungen umgesetzt, welche die DS-GVO mit sich bringt? Und in welchen Bereichen sind nach wie vor Handlungsbedarfe vorhanden, die es aufzuarbeiten gilt? Das Hauptanliegen der LfD Niedersachsen war und ist es also, zu identifizieren, ob und wo es bei den verantwortlichen Stellen noch Nachholbedarf gibt. Im Interesse von Aufklärung und Sensibilisierung – eine der neuen in der DSGVO verankerten Aufgaben der Aufsichtsbehörden – soll zudem mit der Prüfung das Bewusstsein für den Datenschutz im Allgemeinen und die Vorschriften der DS-GVO im Speziellen gestärkt werden. Fest steht allerdings auch: Sofern während der Prüfung gravierende Verstöße gegen die DS-GVO festgestellt werden, sind auch weitergehende Maßnahmen bis hin zu der Verhängung eines Bußgeldes möglich.
II. Fragen auf Basis der KMU-Checkliste
Der für die Querschnittsprüfung entwickelte Fragebogen beruht auf der „Checkliste für die Umstellung kleinerer Unternehmen auf die Datenschutzgrundverordnung“, welche die LfD Niedersachsen im November 2017 veröffentlicht hatte. Mit dieser Liste hatte die LfD Niedersachsen den Unternehmen sechs Monate vor dem 25. Mai 2018 eine Hilfestellung zur Vorbereitung auf die DS-GVO gegeben. Sie sollte die Unternehmen in die Lage versetzen, Bereiche zu identifizieren, in denen sie bereits gut aufgestellt waren und wo es noch Handlungs- bzw. Optimierungsbedarf gab. Bereits zu diesem Zeitpunkt hatte die LfD Niedersachsen immer wieder öffentlich – zum Beispiel in vielen Vorträgen auf Veranstaltungen der Industrie- und Handelskammern – darauf hingewiesen, dass die Inhalte dieser Checkliste zum Gegenstand zukünftiger Prüfungen gemacht würden. Mit den zehn Fragenkomplexen der Querschnittsprüfung werden die nach Ansicht der LfD Niedersachsen für Verantwortliche wesentlichen Bereiche der DS-GVO angesprochen. Sie befassen sich mit dem Verzeichnis von Verarbeitungstätigkeiten und den Rechtsgrundlagen für die Datenverarbeitung, mit der Einhaltung der Betroffenenrechte, mit dem technischen Datenschutz, der Datenschutz-Folgenabschätzung, der Auftragsverarbeitung, der Bestellpflicht für Datenschutzbeauftragte, den Meldepflichten und last but not least der Einhaltung der Rechenschaftspflicht. Zudem sollen die Unternehmen generell darstellen, wie sie sich auf die DS-GVO vorbereitet haben, welche Unternehmensbereiche involviert waren und welche Maßnahmen initiiert wurden.
III. Unternehmensauswahl
Auch wenn der Fragebogen auf einer Checkliste für kleine und mittelständische Unternehmen beruht, sollten kleine und mittlere Betriebe gerade nicht Teil der Querschnittsprüfung sein. Vielmehr gingen die Fragen an 20 große und 30 mittelgroße Unternehmen aus verschiedenen Branchen, die ihren Sitz in Niedersachsen haben und bei denen davon ausgegangen werden konnte, dass sie schon nach altem Datenschutzrecht entsprechend aufgestellt waren und damit besser und zügiger auf die neuen Vorgaben reagieren konnten. Bei der konkreten Auswahl der Unternehmen spielten verschiedene Aspekte eine Rolle: – So sollten nicht allein Firmen der Region Hannover geprüft werden, sondern Unternehmen aus ganz Niedersachsen – von der Küste bis Göttingen, von Osnabrück bis Helmstedt.
– Darüber hinaus sollte die Auswahl auch Unternehmen beinhalten, die nicht nur die Daten ihrer Mitarbeiterinnen und Mitarbeiter verarbeiten, sondern vor allem auch die Daten ihrer Kundinnen und Kunden. Bei letzteren sollte es sich zudem möglichst nicht nur um Geschäftskunden, sondern verstärkt auch um solche aus dem Consumer-Bereich handeln.
– Ferner sollten viele verschiedene Branchen abgedeckt werden – von Versicherungen über den Finanzbereich und den Handel bis hin zu Wirtschafts- und Steuerberatern. Von Versorgungsunternehmen und Personaldienstleistungen über Wach- und Schließgesellschaften bis hin zur Touristikbranche.
– Um eine übermäßige Belastung einzelner Unternehmen zu vermeiden, sollten diese außerdem nicht in der jüngsten Vergangenheit „Teilnehmer“ anderer Schwerpunktprüfungen der LfD Niedersachsen gewesen sein.
– Schließlich sollten die Firmen eine Größe haben, die zur Bestellung eines Datenschutzbeauftragten verpflichtet. Der kleine Handwerksbetrieb oder Einzelhändler sollte nicht betroffen sein.
Innerhalb einer Frist von sechs Wochen sollten die ausgewählten Unternehmen die Fragen schriftlich beantworten. Auf Antrag konnte diese Frist verlängert werden, was von einigen Unternehmen in Anspruch genommen wurde. Beantwortet wurde der Fragebogen letztlich von allen angeschriebenen Unternehmen.
IV. Abfrage der Unternehmensprozesse
Besonderer Wert wird in dieser Prüfung auf die Darstellung der Prozesse in den betroffenen Unternehmen („Wie stellen Sie sicher, dass…?“) gelegt. Da sie die grundsätzliche Vorgehensweise und Methodik widerspiegeln, geben gerade sie grundlegend Aufschluss darüber, wie gut ein Verantwortlicher in der Lage ist, die Anforderungen der DS-GVO zu erfüllen. Die Fragen wurden bewusst offen gestellt, um den Unternehmen die Möglichkeit zu eröffnen, ihre Antworten auf ihre konkrete Situation und Größe anzupassen. Gleichzeitig lässt diese Vorgehensweise Hinweise darauf zu, wie weit die einzelnen Anforderungen der DS-GVO bei den Unternehmen bereits erkannt und prozessual umgesetzt wurden. Denn nur durch die Verankerung der datenschutzrechtlichen Anforderungen in konkrete Unternehmensprozesse kann gewährleistet werden, dass die Anforderungen nicht nur im Einzelfall, sondern kontinuierlich und dauerhaft erfüllt werden. Viele Firmen haben zudem bereits ein Qualitätsmanagementsystem etabliert und sind vor diesem Hintergrund mit der Methodik des kontinuierlichen Verbesserungsprozesses vertraut. Neue datenschutzorientierte Prozesse können in dieses System integriert werden, was regelmäßige Evaluierungen und gegebenenfalls Anpassungen ermöglicht. Zudem erleichtert die dokumentierte prozessuale Verankerung die Erfüllung der Rechenschaftspflicht auf Seiten der Verantwortlichen.
V. Eigenverantwortliche Darstellung von Lösungswegen statt Multiple-Choice
Auf eine kleinteilige Abfrage der Erfüllung rechtlicher Vorgaben wurde bewusst verzichtet, weil andernfalls zwangsläufig auch ein Teil des Lösungsweges vorgezeichnet worden wäre. Das eigene (Mit-)Denken hätte nicht mehr in dem Maße im Vordergrund gestanden, wie es bei offenen Fragen der Fall ist. Denn: Bei einer Vielzahl von kleinteiligen Fragen ist es für den Fragenden anhand der Antworten nicht mehr erkennbar, ob der Befragte auch ohne die konkreten Fragen an diese Details gedacht hätte. Mit dem von der LfD Niedersachsen gewählten Ansatz müssen die Befragten ihren Lösungsweg vielmehr eigenverantwortlich darstellen und gleichzeitig dokumentieren, dass sie sich mit der Thematik in ihrem Unternehmen auseinandergesetzt haben, die rechtlichen Anforderungen auf ihre konkrete Situation übertragen sowie die erforderlichen Prozesse entwickelt und implementiert haben. Für die Befragten ist dieser Weg der Fragestellung durchaus mit Herausforderungen verbunden – besonders im Vergleich zu einem Multiple-Choice Fragebogen. Doch die stärkere Aussagekraft der Antworten rechtfertigt den Aufwand, der den Unternehmen zugemutet wird. Die Antworten lassen Rückschlüsse darauf zu, in welchen Unternehmen das Thema DS-GVO wirklich angekommen ist. Wo wird der Datenschutz schon gelebt, wo ist er zur Chefsache geworden und wo ist er eher noch eine Randerscheinung, die man zwar zur Kenntnis genommen aber noch nicht wirklich ins Unternehmen hineingetragen hat?
VI. Detaillierter Kriterienkatalog zur Auswertung
Die mit der Art der Fragestellung verbundene besondere Herausforderung gilt jedoch nicht nur für die Befragten, sondern ebenso für die Mitarbeiterinnen und Mitarbeiter der LfD Niedersachsen. Denn die Auswertung einer solchen Prüfung mit einer Vielzahl offener Fragen ist weitaus (zeit-)aufwändiger als die eines Multiple-Choice Fragebogens. Teilweise wurden mehrere hundert Seiten Unterlagen von den Unternehmen eingereicht. Um hierbei den Überblick zu behalten und eine einheitliche Bewertung der Antworten zu gewährleisten, wurde zu den zehn Themenkomplexen ein detaillierter Katalog bestehend aus circa 200 Einzelkriterien erarbeitet. Die Kriterien basieren dabei auf den rechtlichen Anforderungen der DSGVO. Mit dem Katalog ist neben der Gewährleistung einer konsistenten Bewertung auch eine (weitere) Hilfestellung bezweckt. Denn anhand der Kriterien soll verdeutlicht werden, was ein Verantwortlicher alles zu beachten hat, um datenschutzkonform aufgestellt zu sein. Daher wird der Kriterienkatalog am Ende der Querschnittsprüfung veröffentlicht und so allen (niedersächsischen) Unternehmen zugänglich gemacht werden.
VII. Fokus auf methodischem Vorgehen
In Hinblick auf das Ziel der Querschnittsprüfung, einen Überblick über den Umsetzungstand der DS-GVO in den Unternehmen zu erhalten, wurde bei den Kriterien der Fokus teilweise ausschließlich auf das methodische Vorgehen gelegt und keine inhaltliche Auswertung vorgenommen. Dies ist insbesondere bei den Datenschutz-Folgenabschätzungen der Fall. Das heißt, für diese wird „nur“ bewertet, ob die dazu eingereichten Unterlagen zumindest die Inhalte nach Art. 35 Abs. 7 DS-GVO enthalten. So wird zum Beispiel geprüft, ob eine Einstufung der Schwere eines Risikos stattfindet und diese begründet wird. Es wird dagegen nicht geprüft, ob die konkrete Einstufung von Seiten der Aufsichtsbehörde für richtig gehalten wird. Denn eine detaillierte inhaltliche Prüfung würde den für die Querschnittsprüfung kalkulierten zeitlichen Prüfungsrahmen bei knapp 200 vorgelegten Datenschutz-Folgenabschätzungen schlichtweg sprengen.
VIII. Ampelfarbe pro Fragenkomplex
Zu jedem Kriterium sind drei Bewertungen dazu möglich, ob ein Kriterium erfüllt ist: ja, nein oder teilweise. Alle Einzelkriterien, die es zu einer Frage der zehn Komplexe gibt, werden anschließend zu einer Gesamtbewertung pro Fragenkomplex zusammengefasst und einer Ampelfarbe (rot/gelb/grün) zugeordnet. Mit „Grün“ werden die Komplexe bewertet, die inhaltlich weitestgehend zufriedenstellend beantwortet wurden, mit nur geringen Abweichungen bei der Bewertung der Einzelkriterien. Bei „Grün“ sieht die LfD Niedersachsen keinen konkreten Handlungsbedarf auf Seiten der Unternehmen zu diesem Bereich. Mit „Gelb“ werden die Fragenkomplexe eingestuft, bei denen es noch Handlungsbedarf gibt. Solche Handlungsbedarfe sind dann festzustellen, wenn die Einzelkriterien häufiger mit „teilweise“ oder zum Teil auch mit „nein“ bewertet werden mussten. Auf „Rot“ stehen schließlich die Komplexe, bei denen die Antworten auf erheblichen Handlungsbedarf schließen lassen. Hier wurden die Einzelkriterien überwiegend mit „teilweise“ und „nein“ bewertet. Der LfD Niedersachsen ist durchaus bewusst, dass die Nichterfüllung von Kriterien zum Teil auch daraus resultieren kann, dass das eine oder andere Unternehmen den Erwartungshorizont der Aufsichtsbehörde hinsichtlich der Detailtiefe der Ausführungen nicht richtig eingeschätzt hat. Hier ist jedes der geprüften Unternehmen im Nachgang gefordert, den jeweiligen individuellen Anpassungsbedarf auf Basis der mitgeteilten Prüfungsergebnisse zu erkennen und bei Bedarf die Unternehmensprozesse anzupassen. Die eingereichten Unterlagen werden zudem nur in dem für die Prüfung des Kriterienkataloges erforderlichen Rahmen gesichtet und ausgewertet, nicht darüber hinaus. Somit steht am Ende der Querschnittsprüfung eine konkrete Aussage darüber, inwieweit die Unternehmen die bewerteten Kriterien erfüllt haben. Es kann jedoch keine Aussage darüber getroffen werden, inwieweit die von den Unternehmen eingereichten Unterlagen insgesamt inhaltlich datenschutzkonform ausgestaltet waren.
IX. Transparente Kommunikation der Ergebnisse
Den geprüften Unternehmen, denen die Ampelfarbe „grün“ oder „gelb“ zugeordnet worden ist und bei denen demzufolge insgesamt – über alle Fragen hinweg – kein Handlungsbedarf oder nur in wenigen Fällen ein solcher gesehen wird, wird voraussichtlich bis Ende März ihr jeweiliges Prüfungsergebnis pro Fragenkomplex schriftlich mitgeteilt werden. Mit der Mitteilung des schriftlichen Prüfungsergebnisses wird für diese Unternehmen die Querschnittsprüfung beendet sein. In diesem Zusammenhang wird vor allem darauf einzugehen sein, welche Fragen das Unternehmen aus Sicht der LfD zufriedenstellend beantwortet hat und wo noch Handlungsbedarf gesehen wird. Zudem wird jedem Unternehmen auch der detaillierte Kriterienkatalog mit der unternehmensspezifischen Bewertung jedes einzelnen Kriteriums zur Verfügung gestellt. Die geprüften Firmen haben auf diese Weise die Möglichkeit, nachzuvollziehen, welchen Maßstab die LfD Niedersachsen an die Antworten angelegt hat und wie sie zur (Gesamt-) Bewertung der einzelnen Prüfungsfragen gekommen ist. Mit dieser Darstellung schafft die LfD Niedersachsen Transparenz und wird zugleich dem in der DS-GVO verankerten Auftrag der Aufklärung, Information und Sensibilisierung gerecht. Die Unternehmen erhalten konkrete, nachvollziehbare Hinweise, in welchen Bereichen die Antworten noch Verbesserungspotenzial erkennen lassen. Zugleich sollen die Unternehmen dadurch motiviert werden, dieses Verbesserungspotenzial auch tatsächlich zu nutzen, um dadurch letztlich einen verbesserten Datenschutz für die Betroffenen zu gewährleisten.
X. Vor-Ort-Termine
In gleicher Weise werden auch die Unternehmen, bei denen zum Teil oder auch verbreitet erhebliche Handlungsbedarfe erkannt wurden, über das Ergebnis der Prüfung informiert. Allerdings wird es sich bei dieser Mitteilung zunächst nur um ein Zwischenergebnis handeln können. Es wird vielmehr erforderlich sein, die Unternehmen dazu aufzufordern, zu den Feststellungen der Aufsichtsbehörde Stellung zu nehmen. Erst auf dieser Basis wird es möglich sein, zu einer vertieften Beurteilung der Sachlage durch die Aufsichtsbehörde zu kommen. Soweit dies anhand der schriftlichen Unterlagen nicht möglich sein sollte, werden zudem weitergehende Kontrollmaßnahmen im Rahmen von Vor-Ort-Terminen zu veranlassen sein. Diese Termine sollen primär dazu dienen, die durch die Aufsichtsbehörde gewonnenen Erkenntnisse in einem persönlichen Gespräch zu erläutern und gemeinsam mit den Unternehmen insbesondere die Bereiche, in denen erheblicher Handlungsbedarf gesehen wird, vertieft zu erörtern. Es bleibt abzuwarten, in welcher Weise die Unternehmen auf diese aufsichtsbehördlichen Aktivitäten reagieren und ob und inwieweit sie bereit sind, etwaige datenschutzrechtliche Verstöße abzustellen. Nicht auszuschließen ist, dass es in Einzelfällen auch zur Verhängung eines Bußgeldes kommen kann. Dabei wird u.a. zu berücksichtigen sein, wie schwerwiegend der jeweilige Verstoß ist und wie das Unternehmen damit umgegangen ist. Voraussichtlich im Mai 2019 wird die LfD der Öffentlichkeit einen Abschlussbericht über die Prüfung vorlegen.
XI. Fazit
Die Querschnittsprüfung der LfD Niedersachsen kam für manche Unternehmen sicherlich überraschend und vielleicht auch überraschend früh – war die Datenschutz-Grundverordnung doch erst wenige Wochen anzuwenden. Doch der Zeitpunkt war genau richtig: Um Themen zu identifizieren, bei denen auf Unternehmensseite noch Unsicherheit herrscht, um zu erkennen, wo von Seiten der LfD verstärkt Beratung angeboten werden sollte, und schließlich, um die Unternehmen wachzurütteln und für die neuen Anforderungen zu sensibilisieren. Jetzt heißt es, die Prüfung abzuschließen und mit den Erkenntnissen weiter zu arbeiten. Die Ergebnisse – das zeigt sich schon jetzt – sind spannend und wie erwartet aufschlussreich. Nicht zuletzt erhofft sich die LfD durch die Prüfung auch Hinweise für ihre eigene Arbeit. So könnten sich zum Beispiel Schwerpunktprüfungen in bestimmten Branchen anschließen. Zudem ist es denkbar, dass für Bereiche mit besonders hohem Beratungs- und Aufklärungsbedarf neue Orientierungshilfen und Handlungsempfehlungen erarbeitet werden (müssen).