Prüfung der LfD Niedersachsen zur Umsetzung der DS-GVO in Unternehmen – die Ergebnisse
Es ist erst wenige Jahre her, dass die Wirtschaft in den Kontrolltätigkeiten der Landesbeauftragten für den Datenschutz (LfD) Niedersachsen eine eher untergeordnete Rolle spielte. Unternehmen und ihre immensen Datenströme waren kaum im Fokus der Aufsichtsbehörde. Doch das hat sich in den vergangenen fünf Jahren geändert: Inzwischen hat die Aufsicht über die Wirtschaft ein mindestens genauso großes Gewicht wie jene über den öffentlichen Bereich. So war es nur folgerichtig, dass die LfD Niedersachsen unmittelbar nach Geltungsbeginn der Datenschutz-Grundverordnung (DS-GVO) eine groß angelegte Prüfung zu deren Umsetzung in niedersächsischen Unternehmen initiierte. 50 große und mittelgroße Unternehmen mit Hauptsitz in Niedersachsen sollten in der sogenannten Querschnittsprüfung darlegen, ob und wie sie die Regelungen der DS-GVO in der betrieblichen Praxis mit Leben füllten. Hierfür sollten sie Fragen zu zehn Komplexen beantworten, welche die wesentlichen Bereiche der DS-GVO abdeckten. In der Auswertung der Antworten wurde jedem Fragenkomplex eine Ampelfarbe zugeordnet, die zeigte, ob es in diesem Bereich keinen bzw. kaum (grün), normalen (gelb) oder erheblichen Handlungsbedarf (rot) gab. Ausgehend von diesen Einzelergebnissen erhielt jedes Unternehmen eine Gesamtbewertung, ebenfalls in Rot, Gelb oder Grün (Anmerkung der Verfasserin: Eine ausführliche Darstellung der Prüfungsplanung und -auswertung findet sich in RDV-Heft 2/2019). Nun liegen die Ergebnisse dieser bislang umfassendsten Prüfung in der Geschichte der LfD Niedersachsen vor. Sie liefern wertvolle Erkenntnisse sowohl für die datenschutzrechtlichen Erfordernisse in Wirtschaftsunternehmen als auch für die weitere aufsichtsbehördliche Tätigkeit.
I. Ergebnisse im Überblick – neun Unternehmen bleiben rot
Die meisten der geprüften Unternehmen hatten sich intensiv auf die DS-GVO vorbereitet, die größeren in der Regel im Rahmen eines 2017 gestarteten unternehmensweiten Projektes. Die Ergebnisse der Querschnittsprüfung waren dennoch zunächst ernüchternd. Gerade einmal 5 der 50 geprüften Unternehmen konnte die LfD Niedersachsen nach der Auswertung der ersten Antworten mit „Grün“ bewerten. Nur bei diesen fünf wurde in keinem der zehn Fragenkomplexe ein erheblicher Handlungsbedarf festgestellt. Bei weiteren 15 Unternehmen musste „nur“ ein Komplex mit dem Prädikat „Rot“ versehen werden, diese wurden deshalb insgesamt mit „Gelb“ bewertet. Auffällig war hier, dass dieser eine mit Rot bewertete Fragenkomplex entweder den technisch-organisatorischen Datenschutz oder die Datenschutzfolgenabschätzung (DSFA) betraf – dazu später mehr. 30 von 50 Unternehmen erhielten zunächst die Gesamtbewertung „Rot“. Bei ihnen wurde in mehr als einem Fragenkomplex erheblicher Handlungsbedarf festgestellt. Auch hier bereiteten die Bereiche des technisch-organisatorischen Datenschutzes und der DSFA die mit Abstand größten Schwierigkeiten. Für die insgesamt mit Grün und mit Gelb bewerteten Unternehmen war die Prüfung beendet, sobald sie ihr schriftliches Ergebnis erhalten hatten. Darin schlüsselte die LfD Niedersachsen anhand eines Katalogs von über 200 Einzelkriterien genau auf, wie es zur Bewertung der einzelnen Komplexe gekommen war. So sollten die Unternehmen zum einen möglichst transparent über die Auswertung ihrer Antworten informiert werden. Zum anderen gab die LfD dadurch Hinweise, wo und wie der Datenschutz im jeweiligen Unternehmen noch zu verbessern war. Auch die mit Rot bewerteten Unternehmen erhielten ihr Ergebnis in dieser Form. Sie wurden aber gleichzeitig zu einer weiteren Stellungnahme aufgefordert. Mit dieser zweiten Abfrage wollte die LfD Niedersachsen ihnen die Gelegenheit geben, sich im Gesamtergebnis noch zu verbessern. Schließlich war es auch möglich, dass die Unternehmen den Erwartungshorizont der Behörde in ihren ersten Antworten falsch eingeschätzt und nur deshalb unzureichende Auskünfte gegeben hatten. Tatsächlich gelang es 4 der 30 Unternehmen im Zuge des zweiten Prüfungsschrittes, sich von Rot auf Grün zu verbessern. Durch ihre ergänzenden Antworten musste nun keiner der Fragenkomplexe mehr mit Rot bewertet werden. Dieser große Sprung in der Bewertung lässt sich auf zwei Faktoren zurückführen: Zum einen resultierten rote Bewertungen teilweise daraus, dass die Unternehmen den Erwartungshorizont der LfD Niedersachsen hinsichtlich der Antworttiefe nicht richtig eingeschätzt hatten. Zum anderen befanden sich einige Unternehmen zu Beginn der Querschnittsprüfung noch in der Umsetzungsphase zur DS-GVO. Zum Zeitpunkt ihrer zweiten Stellungnahme konnten sie aber eine aktualisierte Antwort geben, aus der hervorging, dass die Anforderungen zwischenzeitlich umgesetzt worden waren. Das wurde in der Bewertung berücksichtigt. Weitere 17 Unternehmen verbesserten sich auf Gelb, standen somit noch bei einem Fragenkomplex auf Rot. Bei den übrigen neun Unternehmen blieb es bei der Gesamtbewertung Rot. Sie hatten also trotz der ergänzenden Stellungnahme weiterhin mehr als einen „roten“ Fragenkomplex. Alle neun Unternehmen standen beim technisch-organisatorischen Datenschutz auf Rot, sechs auch bei der DSFA. Darüber hinaus gab es rote Bewertungen bei den Einwilligungserklärungen (5), beim Prozess zur Meldung von Datenpannen (3) sowie bei den Betroffenenrechten, der Bestellung von Datenschutzbeauftragten und der Auftragsverarbeitung (je 1). Insgesamt standen nach zwei Prüfungsschritten also 9 Unternehmen auf Grün, 32 auf Gelb und 9 auf Rot.
Am wenigsten Schwierigkeiten bereiteten den Unternehmen die Bereiche Auftragsverarbeitung, Datenschutzbeauftragte (DSB), Meldepflichten von Datenschutzverletzungen und Dokumentation. Hier wurden nur gelegentlich Defizite festgestellt. Etwas häufiger bemängeln musste die LfD Niedersachsen die Antworten in den Komplexen Verzeichnis von Verarbeitungstätigkeiten, Einwilligungen und Betroffenenrechte. Verbreitet erhebliche Defizite lagen, wie bereits angedeutet, bei den Themen technisch-organisatorischer Datenschutz und DSFA vor. Besonders gravierend: Nicht selten wurde bei der Risikoeinschätzung der Fokus auf die (finanziellen) Risiken für das Unternehmen gelegt statt – wie im Datenschutz nötig – auf die Risiken für die Betroffenen.
II. Ergebnisse im Detail
1. Fragenkomplex 1 – Vorbereitung auf die DS-GVO
„Wie haben Sie sich als Unternehmen auf die DS-GVO vorbereitet?“ Mit dieser weit gefassten, einleitenden Frage wollte die LfD Niedersachsen einen Überblick sowohl über die unterschiedlichen Herangehensweisen der Unternehmen erhalten als auch über deren Selbsteinschätzung hinsichtlich ihres Umsetzungsstandes. Bei der Auswertung achtete die LfD besonders darauf, ob jeweils alle Unternehmensbereiche, die personenbezogene Daten verarbeiten, in die Planungen und Maßnahmen zur Umsetzung der DS-GVO involviert waren. Dies war bei nahezu allen der Fall, nur sehr vereinzelt blieb hier etwas unklar. Erfreulich war auch, dass die Unternehmen überwiegend Schulungen für ihre Beschäftigten durchgeführt oder noch kurzfristig geplant hatten.
2. Fragenkomplex 2 – Verzeichnis von Verarbeitungstätigkeiten
Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist das Herzstück jedes Datenschutzkonzeptes. Es dient als wesentliche Grundlage für eine strukturierte Dokumentation und als Nachweis der Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO. Deshalb müssen Verantwortliche dafür Sorge tragen, dass das VVT vollständig ist, regelmäßig überprüft und falls nötig auch aktualisiert wird. Auch in diesem Bereich waren die Unternehmen überwiegend gut aufgestellt. Nur gelegentlich konnten die Prüferinnen und Prüfer der LfD den zur Verfügung gestellten Übersichten nicht entnehmen, dass alle Standardverfahren wie z.B. das Personal- und Bewerbermanagement oder das Betreiben der Website dokumentiert waren. Vereinzelt fehlten auch die Kontaktdaten des DSB. Insgesamt stellte die LfD hier aber bei keinem Unternehmen erheblichen Handlungsbedarf fest.
3. Fragenkomplex 3 – Zulässigkeit der Verarbeitung
Die Verarbeitung personenbezogener Daten ist nur auf Basis einer gültigen Rechtsgrundlage zulässig. Maßgeblich ist hier besonders Art. 6 Abs. 1 DS-GVO. In diesem Fragenkomplex erwartete die LfD Niedersachsen eine vollständige und plausible Nennung aller für die verschiedenen Verfahren einschlägigen Rechtsgrundlagen. Mehrfach fiel in den Antworten die Aussage, dass keine Datenverarbeitung auf Basis von Einwilligungen erfolge. Zugleich musste aber auf der jeweiligen Webseite der Nutzung von Cookies zugestimmt werden. Oder es ergab sich aus den sonstigen Antworten, dass Newsletter auf Einwilligungsbasis verschickt wurden. Die LfD Niedersachsen weist beim Thema Einwilligungen immer wieder darauf hin, dass sie in der Regel nicht eingeholt werden sollten, wenn die Verarbeitung auf eine andere Rechtsgrundlage gestützt werden kann. Zudem muss die betroffene Person vor Abgabe der Einwilligung von ihrem Recht auf jederzeitigen Widerruf in Kenntnis gesetzt werden. Da der Widerruf so einfach wie die Erteilung der Einwilligung sein muss, ist u.a. unbedingt anzugeben, an welche Stelle der Widerruf zu richten ist. Dies war bei den Antworten der Unternehmen häufiger nicht klar zu erkennen. Insgesamt stellte die LfD in diesem Fragenkomplex bei fünf Unternehmen erheblichen Handlungsbedarf fest.
4. Fragenkomplex 4 – Betroffenenrechte
Dieser Komplex umfasste besonders die Informationspflichten aus Art. 13 und 14 DS-GVO, das Auskunftsrecht (Art. 15 DS-GVO), die Rechte auf Berichtigung und Löschung (Art. 16 und 17 DS-GVO), das Recht auf Einschränkung der Verarbeitung (Art. 18 DS-GVO) sowie das Recht auf Datenübertragbarkeit aus Art. 20 DS-GVO. Die ganz grundsätzlichen Erwartungen der LfD ergaben sich aus Art. 12 DS-GVO, wonach alle Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache zu übermitteln sind. Die Unternehmen sollten außerdem für alle Rechte entsprechende Verfahren implementiert haben, um den Anforderungen der DS-GVO form- und fristgerecht zu genügen. Bei den Informationspflichten war bei der Hälfte der geprüften Unternehmen die Darstellung des Prozesses nicht oder nur teilweise nachvollziehbar beschrieben worden. Ebenfalls bei der Hälfte war das berechtigte Interesse gar nicht beschrieben worden, sofern eine Verarbeitung nach Art. 6 Abs. 1 lit. f DS-GVO erfolgte. Bei einem weiteren Viertel war die Beschreibung nur beispielhaft oder es fehlte die Abwägung mit den Betroffeneninteressen. Ganz überwiegend konnte den Antworten nicht entnommen werden, dass bei einer beabsichtigten Zweckänderung sichergestellt ist, dass die betroffene Person vor dieser Weiterverarbeitung Informationen über den anderen Zweck und alle anderen maßgeblichen Informationen erhält. Bezogen auf das Auskunftsrecht war die Darstellung des entsprechenden Prozesses bei fast allen Unternehmen nachvollziehbar. Die übrigen Betroffenenrechte wurden von den meisten Unternehmen allerdings trotz expliziter Erwähnung in der Fragestellung nicht näher beschrieben. Insgesamt sah die LfD in diesem Bereich bei zwei Unternehmen erheblichen Handlungsbedarf.
5. Fragenkomplex 5 – technisch-organisatorischer Datenschutz
Die Fragen zum technisch-organisatorischen Datenschutz waren ausschließlich als Verständnisfragen formuliert. Sie zielten also nicht auf die konkrete Umsetzung technisch-organisatorischer Maßnahmen (TOM) in einzelnen Verfahren ab. Das überdurchschnittlich schlechte Abschneiden der geprüften Unternehmen zu diesem Themenkomplex lässt sich nur in Teilen mit der mangelnden Vertrautheit mit der neuen Rechtslage begründen. So waren beispielsweise der Stand der Technik oder das Rechte-/Rollenkonzept (in Form der Zugangs- und Zugriffskontrolle) schon in der Anlage zu § 9 Satz 1 des alten Bundesdatenschutzgesetzes (BDSG) zu beachten. Die Fragen der LfD Niedersachsen zielten hier zum Beispiel auf die Gewährleistung eines angemessenen Schutzniveaus und auf die Anpassung der TOM an den jeweiligen Stand der Technik ab. Die Antworten waren überwiegend nicht zufriedenstellend, weshalb 41 Unternehmen in der ersten Prüfungsrunde mit Rot bewertet wurden. Die Systematik des Art. 25 DS-GVO wurde häufig nicht umgesetzt, Schutzziele nicht benannt, Schutzbedarfe gar nicht erst erkannt. Einige Unternehmen verwiesen auf verbindliche Vorschriften zur IT-Sicherheit als maßgeblich für den Datenschutz. Die Beachtung der datenschutzrechtlichen Anforderungen und damit der Blick auf die Risiken für Betroffene blieben hingegen weitgehend offen. Zum Stand der Technik wurde teilweise lediglich auf jährliche Audits und regelmäßige Erneuerungen per Hardware- sowie Software-Updates verwiesen. Der Stand der Technik bezieht sich aber auf die bestmöglichen marktfähigen Techniken, die aktuell einen hohen Sicherheitsstandard aufweisen, selbst wenn sich ihr Einsatz in der Praxis (noch) nicht durchgesetzt hat. Was „Stand der Technik“ ist, ist dynamisch zu betrachten. Nach unten grenzt er sich von den „anerkannten Regeln der Technik“ (z.B. DIN-Normen) ab, nach oben vom „Stand von Wissenschaft und Technik“ (neueste technische und wissenschaftliche Erkenntnisse). Mangelhaft waren auch Rechte- und Rollenkonzepte, die zum Teil lediglich der Informationssicherheit i.S.d. ISO/IEC 27001 dienten. Damit unterblieben an dieser Stelle datenschutzrechtliche Betrachtungen bspw. unter dem Aspekt der Datensparsamkeit. In Bezug auf Privacy by Design und by Default ließ sich aus den übersandten Leitfäden zwar erkennen, dass diese Prinzipien in den Unternehmen bekannt und bei der Implementierung von Verarbeitungsvorgängen zu beachten sind. Welche konkreten Anforderungen hier zu stellen und wie diese umzusetzen sind, blieb jedoch unklar.
6. Fragenkomplex 6 – Datenschutz-Folgenabschätzung
Auch in diesem Bereich musste die LfD Niedersachsen häufig das Prädikat „rot“ vergeben, nämlich 29 Mal im ersten Prüfungsschritt. Da es zur DSFA aber auch einige wenige hervorragende Ergebnisse gab, waren die Erwartungen der Aufsichtsbehörde offenbar nicht überzogen. Bei vielen Unternehmen war nicht erkennbar, dass sie die Tatbestände prüfen, die sich aus den Normen des Art. 35 DS-GVO ergeben. Schon deren Nennung hätte sich positiv ausgewirkt, da sie gezeigt hätte, dass sich die Verantwortlichen umfassend mit den gesetzlichen Vorgaben auseinandergesetzt hatten. Die deutschen Aufsichtsbehörden haben gemäß Art. 35 Abs. 4 DS-GVO eine Liste von Verarbeitungstätigkeiten erstellt, für die eine DSFA durchzuführen ist (Muss-Liste). Immer wieder weisen die Behörden ausdrücklich darauf hin, dass diese Liste nicht abschließend ist. Trotzdem antworteten mehrere Unternehmen, sie hätten keine DSFA durchgeführt, weil ihre Verarbeitungsverfahren nicht auf der Muss-Liste gestanden hätten. Bei zahlreichen der kontrollierten Unternehmen war zudem keine methodische Herangehensweise an die Prüfung von Art. 35 Abs. 1 DS-GVO erkennbar, was nachvollziehbare Ergebnisse quasi unmöglich macht. Die Aufsichtsbehörden machen hier keine explizite Vorgabe, welche Methodik anzuwenden ist. Entscheidend ist letztlich, dass die jeweils zuständige Aufsicht die Prüfung und deren Ergebnisse nachvollziehen kann. Die LfD Niedersachsen hat zur Unterstützung von Verantwortlichen den „Prozess zur Auswahl angemessener Sicherungsmaßnahmen“ (ZAWAS) entwickelt. Dieser Prozess ist u.a. dafür geeignet, bei der Durchführung einer DSFA die möglichen Risiken und die für deren Eindämmung notwendigen TOM systematisch herzuleiten. Schließlich gab es weder in allen Unternehmen klare Zuständigkeiten für die DSFA-Prüfung noch eine umfassende Dokumentation derselben.
7. Fragenkomplex 7 – Auftragsverarbeitung
An dieser Stelle wollte die LfD Niedersachsen zunächst wissen, inwieweit bestehende Auftragsverarbeitungsverträge an die neuen Regelungen nach Art. 28 DS-GVO angepasst worden waren. Bei knapp der Hälfte der Unternehmen war dieser Anpassungsprozess noch nicht vollständig abgeschlossen. Zudem prüfte die LfD die übersandten Muster und Beispielverträge dahingehend, ob sie den rechtlichen Anforderungen entsprechen, was überwiegend der Fall war. Insgesamt musste deshalb nur bei einem Unternehmen ein dringender Handlungsbedarf festgestellt werden.
8. Fragenkomplex 8 – Datenschutzbeauftragte
Die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten ergibt sich aus Art. 37 DS-GVO sowie aus § 38 BDSG. Die Bestellung erfolgt auf Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens im Bereich des Datenschutzrechts und der Datenschutzpraxis sowie auf Grundlage seiner Fähigkeit zur Erfüllung der in Art. 39 DS-GVO genannten Aufgaben. Diese Fachkunde ist im Rahmen der Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO umfassend nachzuweisen. Auch zu diesem Fragenkomplex waren die Ergebnisse erfreulich. Ein Interessenskonflikt stand nur bei einem Unternehmen im Raum, bzgl. der erforderlichen Fachkunde wurde nach dem zweiten Prüfungsschritt ebenfalls nur noch in einem Fall dringender Handlungsbedarf festgestellt.
9. Fragenkomplex 9 – Meldepflichten
Rechtsgrundlage bilden hier die Art. 33 und 34 DS-GVO. Zur Umsetzung sollten Unternehmen einen Prozess zur Meldung von Datenschutzverstößen implementieren. In einer nachvollziehbaren Darstellung sollten insbesondere die Verantwortlichkeiten und Abläufe klar geregelt sein und allen Beschäftigten bekannt gemacht werden. Im ersten Prüfungsschritt wurde bei circa einem Drittel der Unternehmen der Meldeprozess nicht oder nur teilweise nachvollziehbar dargestellt. Zudem fehlte es bei einem Drittel der Unternehmen an einer klaren Regelung der Verantwortlichkeit und an einer erkennbaren Berücksichtigung der 72-Stunden-Meldefrist. Nach dem zweiten Prüfungsschritt stellte die LfD nur noch bei drei Unternehmen erheblichen Handlungsbedarf beim Meldeprozess fest.
10. Fragenkomplex 10 – Dokumentation
Jeder Verantwortliche muss nachweisen können, dass er den Pflichten, die ihm die DS-GVO auferlegt, nachkommt. Daher prüfte die LfD Niedersachsen abschließend, inwiefern sich aus der Antwort zu diesem Komplex sowie aus der Summe der übrigen Antworten ergab, dass eine Dokumentation zu jeder der abgefragten Pflichten vorhanden ist. Ganz überwiegend konnte die LfD hier nachvollziehen, dass die Unternehmen eine entsprechende Dokumentation vorhalten. Bei sieben Unternehmen wurde hier nur geringer Anpassungsbedarf festgestellt, erheblicher Bedarf bei keinem.
III. Schlussfolgerungen
Aus der branchenübergreifenden Querschnittsprüfung haben sich für die LfD Niedersachsen Erkenntnisse ergeben, die sowohl ihre Vollzugsaufgaben berühren als auch ihre Pflicht zu Aufklärung und Sensibilisierung der Verantwortlichen. Was den Vollzug betrifft, so war die Prüfung zwar auch für die Unternehmen beendet, die nach der zweiten Stellungnahme immer noch mit Rot bewertet worden waren. Allerdings wurden fünf von ihnen mit der Mitteilung des Ergebnisses gleichzeitig darüber informiert, dass bei ihnen aufgrund der gravierenden Defizite noch in diesem Jahr weitergehende Kontrollen in separaten Prüfungen folgen werden. Nicht auszuschließen ist, dass es auch zur Verhängung von Bußgeldern kommen kann. Dabei wird die LfD Niedersachsen u.a. berücksichtigen, wie schwerwiegend ein möglicherweise vorliegender Verstoß ist und wie das Unternehmen damit umgegangen ist. Zudem wird die LfD verstärkt weitere themen- und branchenbezogene anlasslose Kontrollen durchführen, um ihrer Aufgabe als Aufsichtsbehörde angemessen nachzukommen. Zugleich wird die Behörde den eingeschlagenen Weg fortsetzen, das Beratungs- und Informationsangebot auf ihrer Webseite an die identifizierten Bedarfe anzupassen. Die Querschnittsprüfung hat deutlich gezeigt, dass die größten Schwierigkeiten in der Umsetzung der DS-GVO in den Bereichen technisch-organisatorischer Datenschutz und Datenschutz-Folgenabschätzung liegen. Deshalb hat die LfD Niedersachsen beschlossen, Handlungsempfehlungen zu den Themen „Stand der Technik“, „Rollen- und Berechtigungskonzepte“, „Privacy by Design und by Default“ sowie zur Schwellwertprüfung bei der DSFA zu veröffentlichen.