00:00:00: Welche Arten von Prüfungen durch die Aufsichtsbehörden gibt es, was bedeuten sie für die Unternehmen, was sind mögliche Konsequenzen?
00:00:09: Welche Lücken in der Umsetzung der DSGVO wurden bei der aktuellen Querschnittsprüfung des Landes Niedersachsen entdeckt?
00:00:17: Wie kann man sich so eine Prüfung vorstellen? Meldet sich die Aufsichtsbehörde vorher an oder steht sie plötzlich mit der Polizei vor der Tür?
00:00:26: Und wie können sich Unternehmen am besten auf solche Prüfungen durch die Aufsichtsbehörde vorbereiten?
00:00:34: Datenschutzprüfung der Podcast fragt nach - diesmal bei Barbara Thiel, Landesbeauftragte für den Datenschutz Niedersachsen.
00:00:47: Mein Name ist Severin Putz herzlich willkommen zu unserer neuen Folge von Datenschutzpraxis - Der Podcast.
00:00:54: Wir diskutieren regelmäßig mit spannenden Gesprächspartnern über aktuelle Themen aus Datenschutz und Datensicherheit.
00:01:01: In dieser Folge habe ich wieder Oliver Schonschek an meiner Seite, er ist freier Analyst und Fachjournalist und schreibt regelmäßig für die Datenschutz Praxis, guten Morgen, Oliver! ja guten Morgen, hallo.
00:01:14: Heute möchten wir uns mit dem Thema Prüfung durch die Aufsicht beschäftigen
00:01:19: und in der Datenschutzpraxis hatten wir im Mai 2018 bereits die Meldung "DSGVO - Fragen an 50 Unternehmen aus Niedersachsen. Mit einer branchenübergreifenden Querschnittsprüfung will die niedersächsische Landesbeauftragte für den Datenschutz
00:01:36: ermitteln, wie gut die Wirtschaft des Landes die neuen Regeln der DSGVO umsetzt.
00:01:42: Wir freuen uns deshalb besonders als Interviewpartnerin für diesen Podcast Barbara Thiel, die Landesbeauftragte für den Datenschutz Niedersachsen, begrüßen zu dürfen, herzlich willkommen Frau Thiel!
00:01:55: Ja herzlichen Dank und schönen guten Morgen! "Prüfung durch die Aufsicht": Oliver, kannst du mich und unsere Hörer noch mal kurz in das Thema einführen?
00:02:05: Sehr gerne! Unser Thema ist ja "Prüfung durch die Aufsicht" Was ist da der Hintergrund? In der DSGVO regeln die Artikel 57 und 58 die Aufgaben und Befugnisse der Aufsichtsbehörden
00:02:19: und dazu gehört es unter anderem, die Anwendung der datenschutz-grundverordnung zu überwachen und durchzusetzen,
00:02:26: die Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen.
00:02:31: Und die Aufsichtsbehörden führen im Rahmen ihrer gesetzlichen Aufgaben regelmäßig anlassbezogene und anlasslose Datenschutzprüfung durch.
00:02:40: Was ist das? Eine anlassbezogene Prüfung erfolgt meist aufgrund von Beschwerden oder konkreten Hinweisen auf mögliche Datenschutzverstößen und anlasslose Prüfungen erfolgen nach pflichtgemäßen
00:02:53: Ermessen, wie man so schön sagt.
00:02:55: Nun haben wir die Gelegenheit direkt mit einer Landesdatenschutzbeauftragten zu sprechen, um mehr über diese Prüfung durch die Aufsichtsbehörden zu erfahren und da freuen wir uns natürlich sehr.
00:03:06: Frau Thiels
00:03:08: Aufsichtsbehörde hat ja in den letzten Monaten Querschnittsprüfungen in Kommunen und in der Wirtschaft durchgeführt und da sind wir natürlich gespannt, zusammen mit unseren Hörerinnen und Hörern, was Sie uns zu den Resultaten berichten können, wo Sie.
00:03:24: Lücken gesehen haben und ob Sie vielleicht auch Unterschiede gesehen haben, wo es im öffentlichen Bereich Lücken gibt, im nichtöffentlichen ... vielleicht können Sie uns da mal so einen kleinen Abriss geben, was ist da bei diesen spannenden Prüfungen rausgekommen?
00:03:38: Ja sehr gern! Also es gibt bei diesen beiden Prüfungen
00:03:44: Unterschiede auf der einen Seite, auf der anderen Seite gibt es aber auch Gemeinsamkeiten. Ich fange kurz mit der Kommunalprüfung an.
00:03:52: Die Kommunalprüfung hat uns deutlich gemacht, dass die Kommunen die zweijährige Übergangsfrist oder Umsetzungsfrist,
00:04:00: die eröffnet worden war in den Jahren 2016 bis 2018, nicht ausreichend genutzt haben. Mit den Umsetzungsarbeiten wurde in den Kommunen eindeutig zu spät begonnen, und das wiederum hatte zur Folge,
00:04:13: dass keine der an der Umfrage beteiligten Kommunen die erforderlichen Anpassungsarbeiten zur Umsetzung der DSGVO abgeschlossen hatte und immerhin muss man in diesem Zusammenhang sagen, das sind
00:04:26: insgesamt 150 Kommunen gewesen, die wir in diesem Zusammenhang geprüft haben.
00:04:31: Bei den Kommunen offenbarte sich der größte Nachholbedarf bei der Durchführung von Datenschutz-folgenabschätzungen
00:04:39: sowie bei der Bearbeitung von Datenpannen.
00:04:43: Beides, das muss man eben dann auch dazu anmerken, beides sind ja neue Punkte für die Kommunen. Die Datenschutzfolgenabschätzungen sind generell neu und nicht mehr zu vergleichen mit der bisherigen
00:04:57: Kontrolle, und was das Thema Datenpannen Meldungen angeht, so ist es
00:05:02: So, dass die Kommunen jetzt erstmalig durch die DSGVO verpflichtet worden sind, diese Datenpannen dann auch tatsächlich zu melden.
00:05:11: Erfreulich war auf der anderen Seite, dass alle Kommunen ihrer Pflicht
00:05:15: zur Benennung eines Datenschutzbeauftragten nach gekommen waren und die bestellten Personen auch über die notwendige Fachkompetenz verfügten.
00:05:25: Allerdings haben wir hinreichend Zweifel, ob den Datenschutzbeauftragten tatsächlich auch genügend Zeit
00:05:35: zur Verfügung steht um ihre Aufgabe dann tatsächlich auch ausreichend nachzukommen.
00:05:41: Im Unternehmensbereich, 50 große und mittelgroße Unternehmen haben wir in dieser Prüfung geprüft.
00:05:50: Da hat die Prüfung ergeben, dass die Verantwortlichen einerseits
00:05:54: auch bei den Datenschutzfolgenabschätzungen große Umsetzungsprobleme hatten, aber auf der anderen Seite auch bei den Maßnahmen des technisch-organisatorischen
00:06:06: Datenschutzes erhebliche Anpassungsprobleme
00:06:11: hatten. Also bei den technisch-organisatorischen Maßnahmen sah es so aus, dass vor allem in Fragen des Datenschutzes durch Technikgestaltung - das wird ja in den Artikel 25 der DSGVO gefordert - die befragten Unternehmen
00:06:27: sehr schlecht
00:06:29: abgeschnitten haben. Es wurde deutlich, dass viele Unternehmen in diesem Bereich an der DSGVO scheitern, weil ihr Kenntnisstand über den Stand der Technik mangelhaft ist.
00:06:40: Und wir haben festgestellt, dass bei den technisch organisatorischen Maßnahmen
00:06:45: vorrangig die Unternehmensinteressen berücksichtigt worden sind, aber das nicht im Sinne des Datenschutzes gehandhabt worden ist und denn da haben die Rechte der Betroffenen
00:06:57: entsprechende Berücksichtigung zu finden.
00:07:00: Also ich sagte schon, es gibt Gemeinsamkeiten bei den Ergebnissen dieser Prüfung, soweit es um die Datenschutz-folgenabschätzung geht
00:07:10: Das ist
00:07:12: ein Punkt der offensichtlich in allen Bereichen, sowohl im öffentlichen als auch im nichtöffentlichen Bereich, noch erheblichen Nacharbeitungsbedarf hat.
00:07:24: Es kommt bei den Kommunen hinzu, dass das Verzeichnis der Verarbeitungstätigkeiten
00:07:31: jedenfalls zum Zeitpunkt der Prüfung erst von acht Kommunen vollständig erstellt worden ist, und das ist insofern auch besonders
00:07:42: kritisch zu bewerten, weil ja nun gerade das Verzeichnis der verarbeitungstätigkeiten
00:07:48: das Fundament für sämtliche anderen Umsetzungsarbeiten darstellt und insoweit das Herzstück jedes Datenschutzkonzept ist.
00:07:57: Die Unternehmen haben an dieser Stelle deutlich weniger Probleme gehabt. Insgesamt
00:08:05: extrem interessant! Muss ich Ihnen sagen, also sowohl die unterschiedliche Betrachtungen, also Ergebnisse, was man da betrachten, kann bei den Kommunen, bei den Unternehmen, und aber auch die Schnittmengen, diese Datenschutzfolgenabschätzungen
00:08:20: und für uns jetzt beispielsweise, für Berichterstattungen, ist das ja eine allein schon für uns eine tolle Bedarfsanalyse, wir sehen also, wo sollte ganz intensiv noch mal informiert und beraten werden, und ich kann mir auch sehr gut vorstellen
00:08:36: dass sie als Aufsichtsbehörde das jetzt natürlich auch nutzen und sagen, ok, hier sehen wir eben, wo die Probleme
00:08:44: in den Unternehmen sind, und da machen Sie als Aufsichtsbehörden immer sehr gute Beratungs- und Unterstützungsarbeit.
00:08:54: Dass Sie da das auch noch mal speziell auf die Agenda nehmen.
00:08:58: Was bedeutet so eine Prüfung denn für die Unternehmen selbst? Was sind da Konsequenzen? Müssen die jetzt mit irgendwelchen Sanktionen rechnen? oder eher, dass sie sagen, wir intensivieren jetzt unser Beratungsangebot für sie?
00:09:11: Was passiert jetzt?
00:09:16: Also sowohl für die Unternehmen als auch für die Kommunen glaube ich bedeutet jede Prüfung einer Aufsichtsbehörde und damit natürlich auch eine Prüfung meiner Behörde zunächst einmal eine gewisse Art von Stress.
00:09:29: Das würde ich schon so sehen. Es entsteht Unruhe im Unternehmen oder in der Behörde.
00:09:34: Und damit natürlich gleichzeitig auch erhöhte Aufmerksamkeit, verstärkte Wahrnehmung für das Thema Datenschutz und für die Frage: Haben wir denn jetzt tatsächlich alles richtig gemacht?
00:09:47: Im Unternehmen: Funktioniert unsere Compliance-Struktur oder gibt es da gewisse Defizite, Probleme, Handlungsbedarf, die wir als solche noch nicht erkannt haben?
00:09:59: Deswegen denke ich, dass jede Prüfung, die wir durchführen
00:10:03: auch eine gewisse Art von Klarheit in den Unternehmen, aber auch in den Behörden schafft und möglicherweise
00:10:10: dann auch bestimmte Veränderungen in bestehenden Strukturen und Abläufen auslöst. Was
00:10:18: außerdem hinzu kommt, jedenfalls für die Unternehmen, weil wir da ja auch ganz andere Möglichkeiten haben, was unsere Befugnisse angeht, wenn ein solcher Datenschutzverstoß, möglicherweise auch ein größerer Datenschutzverstoß öffentlich wird,
00:10:36: dann bedeutet das natürlich auch einen gewissen Reputations-, Imageschaden für das Unternehmen, und wenn so etwas dann tatsächlich eintritt, dann
00:10:49: denke ich, wird an dieser Stelle auch Vertrauen bei den Bürgerinnen und Bürgern verspielt. So würde ich das jedenfalls mal
00:10:59: in der Folge betrachten wollen. Dann kommt natürlich auch immer die Frage, wie wirken die einzelnen Maßnahmen, die Aufsichtsbehörden dann tatsächlich treffen können? Und
00:11:12: die Anordnung ist
00:11:14: an dieser Stelle sicherlich die eine Maßnahme und die Festsetzung eines Bußgeldes ist die andere Maßnahme, und ich denke schon, dass gerade die Bußgelder, die wir heute versetzen können,
00:11:26: dann durchaus auch deutliche Auswirkungen
00:11:30: im Unternehmen nach sich ziehen. Das ist bei den Kommunen nicht der Fall, da können wir keine Bußgelder festsetzen.
00:11:38: Da haben wir auch nur bedingt die Möglichkeit Anordnungen zutreffen. Insofern dürfte da die Wirkung nicht ganz so gravierend sein wie im Bereich der Wirtschaft.
00:11:48: Ja und welche Ziele verfolgen wir als Aufsicht?
00:11:53: Bei dieser Querschnittsprüfung, die wir in den Unternehmen durchgeführt haben, aber auch bei der Kommunalprüfung
00:11:59: hatten wir vorrangig das Ziel, uns überhaupt erstmal einen Überblick darüber zu verschaffen,
00:12:05: wie weit die Unternehmen und Behörden bei der Umsetzung der DSGVO tatsächlich gekommen sind.
00:12:11: Wir wollten eine Art Bestandsaufnahme durchführen und wollten feststellen,
00:12:16: wo gibt es gegebenenfalls noch Handlungsbedarfe? Wo gibt es Defizite? Und dann welchen Stellen können wir als Aufsichtsbehörde dann möglicherweise dann auch tatsächlich noch weiterhelfen.
00:12:31: Wir haben mit unserem Fragebogen, den wir herausgegeben haben, der ja kein Multiple-Choice-Fragebogen gewesen ist,
00:12:40: haben wir die Unternehmen auch ein Stück weit dazu animiert, sich vertieft mit ihren eigenen Geschäfts-
00:12:47: prozessen auseinanderzusetzen und den eigenen Umgang mit personenbezogenen Daten zu hinterfragen.
00:12:53: Allerdings, das haben wir auch von Anfang an deutlich gemacht,
00:12:57: sollten wir oder hätten wir bei dieser Prüfung gravierende Datenschutzmängel festgestellt, was ja nun auch tatsächlich eingetreten ist,
00:13:07: dann ist das Unternehmen auch nicht davor geschützt, dass wir möglicherweise eine Geldbuße festsetzen.
00:13:15: Also die Prüfungen, jetzt aus Sicht des Unternehmens einerseits, Sie haben ja gesagt, natürlich das ist eine Stresssituation - wie jede Prüfung - das ist Aufwand im Unternehmen, dann aber hilft es also, wenn ich das kurz so zusammenfasse, es hilft
00:13:29: bei der Awareness, es hilft einfach normal, dass sich auch viele in den Unternehmen auch mal, oder zumindest alle Verantwortlichen, mit dem Thema Datenschutz beschäftigen, dass auch Sie mit Ihrem Prüfungsfragebogen natürlich auch noch mal ein Instrument liefern, das
00:13:46: auch die, die vielleicht nicht befragt worden sind, hingehen können und sagen, das ist für uns selbst jetzt sowas wie ein kleines internes Audit.
00:13:54: Wie würden wir denn da drauf antworten, würden wir denn da stehen? Also ist das zum einen für mich wirklich
00:14:00: wie Sie es auch beschrieben haben, ein Awareness-Maßnahme, andererseits natürlich im Rahmen Ihrer überwachungs- und Kontrollfunktion als Aufsichtsbehörde kann es eben dann dazu führen, dass jemand in der Öffentlichkeit dadurch unangenehm aufällt.
00:14:13: Imageschaden sagten Sie ja. Bis hin, dass es tatsächlich
00:14:17: zu Sanktionen kommen kann, wenn eben entsprechende Lücken festgestellt worden sind. Also deshalb kann man an der Stelle schon sagen dass solche Querschnittsprüfung ein sehr gutes, wichtiges Instrument sind. Klar
00:14:31: einiges an Aufwand, und es kann auch böse ausgehen, aber insgesamt hilft es eben sehr die Übersicht zu gewinnen, einerseits für die Aufsichtsbehörde, aber dann auch in den Unternehmen.
00:14:43: Also wir haben an dieser Stelle ja hohes Interesse erzeugt, bezogen auf unseren Fragebogen, bezogen auf unseren Kriterienkatalog, mit dem wir die einzelnen Fragen dann geprüft haben, die Antworten auf die einzelnen Fragen
00:14:59: und ich denke, dass auch unser Abschlussbericht zu dieser Prüfung jetzt mit großem Interesse wahrgenommen wird.
00:15:07: Und Sie sehen ja, wir haben ja auch diesen Podcast anberaumt, wir haben auch gedacht, das ist für unsere Hörerinnen und Hörer, die Datenschutzbeauftragten gerade in Unternehmen, ist das eine sehr wichtige
00:15:21: Entwicklung und ein sehr wichtiger Schritt, den man dann da exemplarisch nachvollziehen kann.
00:15:26: Jetzt haben Sie da eine Prüfung gemacht mit Hilfe von Fragebogen, haben Sie auch gesagt, dass das sicherlich sehr oft noch runtergeladen worden ist. Hat man sich angeguckt. Es gibt aber doch verschiedene Arten von Prüfungen, also dass Sie auch vor Ort sind bei den Unternehmen, durchaus auch unangemeldet.
00:15:43: Auch Prüfungen automatisiert - online. Können Sie da vielleicht mal sagen, wie Sie welche Arten von Prüfungen einsetzen und wann Sie vielleicht eher vor Ort hingehen würden oder wann es online reicht. Dass die Unternehmen sich dann noch ein bisschen mehr ein Bild davon machen können. Was verbirgt sich
00:16:00: hinter so einer Prüfung durch die Aufsicht? Ja, da gibt's ganz unterschiedliche Vorgehensweisen.
00:16:08: Also in der Regel in der Regel prüfen wir schriftlich.
00:16:14: Also auf der einen Seite, soweit es diese anlasslosen Prüfungen betrifft, passiert das eben häufig über einen Fragebogen.
00:16:24: Soweit die Prüfuneng sich beziehen auf den Inhalt einer Beschwerde oder auf die Meldung einer Datenpanne,
00:16:32: das sind dann ja die sogenannten anlassbezogenen Prüfung,
00:16:37: müssen wir natürlich immer erst einmal den Sachverhalt aufklären und das geschieht auch auf schriftlichem Wege.
00:16:44: Wir haben ja jetzt bei dieser Querschnittsprüfung bezogen auf die 50 Unternehmen festgestellt,
00:16:51: dass es im Ergebnis aber einige Unternehmen gibt, nämlich insgesamt 9 von 50 Unternehmen,
00:16:59: die nach wie vor ganz erhebliche Defizite aufweisen. Und wir haben uns entschieden, bei fünf dieser neun Unternehmen eine Vor-Ort-Prüfung durchzuführen.
00:17:11: Also das machen wir immer dann,
00:17:13: wenn sich herausstellt, dass es doch Bedenken wegen den aktuellen Stand der Datenschutz.
00:17:21: der Beachtung innerhalb des Unternehmens gibt, möglicherweise aber auch innerhalb der Behörde. Diese Vor-Ort-Prüfungen erfolgen
00:17:30: in der Regel durch Ankündigung, weil wir sicherstellen wollen, dass wir natürlich dann, wenn wir vor Ort sind, auch mit den Personen sprechen können,
00:17:41: die die fachliche Expertise haben, die für bestimmte Fragestellungen dann auch zuständig sind. Es kann im Einzelfall aber auch passieren, dass wir unangekündigt erscheinen bei einer solchen Vor-Ort-Prüfung.
00:17:55: Wir hatten in der Vergangenheit jetzt einen Fall, an den ich mich erinnern kann im Rahmen meiner Amtszeit,
00:18:03: da war das Unternehmen, ich würde mal sagen, sehr renitent und hat sich wirklich nicht kooperativ gezeigt in der
00:18:12: gesamten Phase der Ermittlung des Sachverhalts. Und da hielten wir es dann für erforderlich, gemeinsam mit der Polizei
00:18:20: unangekündigt in diesem Unternehmen zu erscheinen und dann die notwendigen Fragen und Untersuchungen anzustellen.
00:18:28: Also vielen Dank dafür, dass Sie uns da jetzt mal so die Bandbreite gezeigt haben. Weil man man hat ja alle möglichen Vorstellungen. Wie ist das mit Ankündigung? Steht die Aufsicht plötzlich vor der Tür oder wie läuft das ab? Sie haben gesagt also in der Regel mit Ankündigung, allein dadurch,
00:18:46: dass man ja auch schon mit den richtigen Leuten sprechen will, aber im Fall des Falles kann es auch unangekündigt zusammen mit der Polizei sein.
00:18:55: Jetzt machen die Aufsichtsbehörden, die verschiedenen Aufsichtsbehörden, die wir in Deutschland haben, ja auch unterschiedliche Prüfungen. Manche machen meinetwegen ... sehen sich bestimmte Dinge an: Patchmanagement bei Warenwirtschaftssystemen ... und ganz unterschiedlich ... Tauschen Sie sich aus zu solchen
00:19:13: Prüfungen, zu Prüfungsergebnissen? Nutzen Sie vielleicht auch gemeinsame Prüfwerkzeuge? Wie kann man sich das vorstellen?
00:19:21: Also mittlerweile ist es ja sogar so, wir könnten, wenn wir wollten, bzw wenn es einen entsprechenden Anlass gäbe,
00:19:33: auch auf der europäischen Ebene zusammenarbeiten, mit anderen Aufsichtsbehörden anderer Mitgliedstaaten.
00:19:40: Das haben wir jetzt hier in Niedersachsen bisher noch nicht praktiziert.
00:19:45: Was wir getan haben und was wir sicherlich bei geeigneten Fällen auch immer wieder tun werden,
00:19:50: ist es, gemeinsame Prüfung durchzuführen. Also ich erinnere mich jetzt gerade an eine Prüfung aus der letzten Zeit,
00:19:57: da haben wir fitness-tracker, also diese sogenannten Wearables,
00:20:03: geprüft, und das haben wir gemeinsam mit einigen anderen Aufsichtsbehörden, unter anderem
00:20:08: dem LDA Bayern gemacht, und da haben wir insbesondere bei den technischen Fragen
00:20:19: doch häufig das Problem, dass solche Prüfverfahren die Kapazitäten einer einzelnen Landesbehörde schnell übersteigen. Und dann macht es sehr wohl Sinn, wenn man sich die Aufgaben teilt und eben mit
00:20:32: mehreren anderen Aufsichtsbehörden
00:20:34: gemeinsam prüft. Wir haben auch im nächsten Jahr die Absicht wieder eine solche gemeinsame Prüfung durchzuführen, wobei ich momentan noch nicht sagen kann, wie viele Behörden sich dann letztlich beteiligen werden.
00:20:48: Es gibt immer entsprechende Informationen, entweder schriftlich oder aber wenn wir in unserer Datenschutz-
00:20:54: Konferenz zusammenkommen, und dann besteht die Möglichkeit die federführende Aufsichtsbehörde,
00:21:01: die diese Prüfungsplanung entwickelt hat, bietet dann die Möglichkeit anderen Aufsichtsbehörden daran teilzunehmen. Ja und davon wird dann auch tatsächlich Gebrauch gemacht.
00:21:13: Ja das ist sehr interessant, weil das sind so
00:21:17: Abläufe, was in der Datenschutzkonferenz passiert, wird ja auch sehr rege und ausführlich berichtet, aber trotzdem, wie das tatsächlich abläuft, wie da die Aufsichtsbehörden kooperieren können und kooperieren,
00:21:29: da kann man sich was zu denken, aber jetzt haben wir es mal halt erfahren, wie es dann konkret ist, sehr schön.
00:21:36: Dadurch, dass Sie uns viele wertvolle Hinweise zum Thema Prüfungen durch die Aufsicht gegeben haben, sind bestimmt noch mehr Unternehmen sensibilisiert und sagen,
00:21:45: wenn ich das mal trifft, wenn ich z.b. ein Schreiben kriege mit so einem Fragebogen,
00:21:52: Wie sollten sich Unternehmen denn am besten vorbereiten? Weil die werden ja dann wahrscheinlich auch keine zu lange Frist für die Antwort haben, also wäre es ja gut, sich auch schon vorzubereiten, bevor dann das Schreiben der Aufsicht im Briefkasten ist.
00:22:06: Was hätten Sie denn dafür Empfehlungen?
00:22:13: Also die beste Vorbereitung ist natürlich eine fehlerlose Umsetzung der Vorgaben der DSGVO.
00:22:19: Ich kann an dieser Stelle jetzt gar keine allgemeinen Aussagen dazu treffen, wie sich
00:22:27: verschiedene Branchen auf unsere Prüfung vorbereiten können, weil ja auch insbesondere bezogen auf diese anlass-
00:22:35: bezogenen Prüfungen nicht klar ist, gegen welches Unternehmen sich nun gerade welche Beschwerde richten könnte, aber wenn die Unternehmen von sich aus
00:22:45: den Verdacht hegen wenn die Verantwortlichen den Verdacht hegen,
00:22:50: dass die Umsetzung der DSGVO in ihrem Unternehmen möglicherweise noch nicht vollständig ist, oder Prozesse noch nicht angepasst,
00:22:59: dann würde ich zum gegenwärtigen Zeitpunkt dringend zur Lektüre unseres Abschlussberichts raten.
00:23:06: Oder man könnte dann eben natürlich auch unsere Tätigkeitsberichte lesen und wir haben den letzten Tätigkeitsbericht jetzt herausgegeben,
00:23:17: für die Jahre 2017/2018. Beginnend mit dem Jahr 2019 werden diese Tätigkeitsberichte
00:23:26: dann jährlich herausgegeben. Das heißt, der für das Jahr 2019 erscheint in den nächsten Monaten.
00:23:33: Und aus diesem Tätigkeitsbericht kann man sicherlich auch sehr viel entnehmen.
00:23:38: In welche Richtung wir prüfen, welche Fragestellungen wir prüfen, und dann muss man immer schauen, wie passen Soll und Ist jetzt
00:23:46: tatsächlich zueinander.
00:23:49: Das wären momentan so die einzigen Möglichkeiten aus meiner Sicht, mit denen sich Unternehmen entsprechend präparieren können.
00:23:57: Und vielleicht, wenn ich da jetzt noch mal kurz anknöpfe, dass Sie gesagt haben, ein großer gemeinsamer Schwachpunkt für die geprüften Unternehmen und die Kommunen war das mit dem Thema Datenschutzfolgenabschätzung.
00:24:12: Dass da Unternehmen sich auf jeden Fall hinsetzen und sagen, Moment, also wenn das bei so vielen ein Problem darstellt, bevor wir dann auch
00:24:22: zeigen, diese Lücke in einer möglichen Prüfung,
00:24:26: sollten wir uns damit vielleicht mal ganz gezielt beschäftigen. Und was Sie auch am Anfang gesagt hatten:
00:24:32: Das Verzeichnis von Verarbeitungstätigkeiten, als das Kernelement für das ganze Datenschutzkonzept,
00:24:39: dass man sich da auch noch mal sagt, wie sieht's denn da bei uns aus? Weil wenn da Lücken drin sind, lässt das für den restlichen Datenschutz schon keine guten Schlüsse mehr ziehen.
00:24:52: Wenn ich da vielleicht noch mal kurz anknüpfen darf an dieser Stelle: Sie sagten, das ja auch. Wir bieten wirklich eine Vielzahl von Anleitungen, Anwendungshinweise, Hilfestellungen,
00:25:05: die wir alle auf meiner Homepage veröffentlicht haben, und wir haben die Absicht, jetzt als Konsequenz aus der Querschnitts-
00:25:12: Prüfung auch noch mal ergänzende Hinweise zu geben, ergänzende Hilfestellungen zu geben zum Thema "Datenschutzfolgenabschätzung",
00:25:22: zum Thema "Stand der Technik" zum Thema "Technisch-organisatorische Maßnahmen" und das wäre eben ein weiterer Punkt, dass man sich
00:25:30: damit auseinandersetzt, was wir an Hilfestellungen über unsere Homepage herausgeben, und dann schaut, ob das jetzt tatsächlich mit der Praxis in den jeweiligen Unternehmen übereinstimmt.
00:25:41: Danke für diesen wichtigen Hinweis, noch mal dass Sie da als Aufsichtsbehörde sehr viele gute Materialien haben, Anwendungshinweise, Orientierungshilfen, und da lohnt es sich absolut, noch mehr rein zu schauen und damit zu arbeiten.
00:26:00: Vielleicht von meiner Seite zum Schluss:
00:26:03: Jetzt könnte man ja sagen, gut, in Niedersachsen, da sind jetzt umfangreiche Prüfung gelaufen, jetzt wird erstmal irgendwas in anderen Bundesländern sein, jetzt können wir hier erstmal
00:26:15: abwarten und ...
00:26:17: Dem ist ja sicherlich nicht so. Also man kann nicht sagen, so jetzt waren hier umfangreiche Prüfungen, sondern es werden weitere Prüfungen naturgemäß folgen, vielleicht anderer Art mit anderem Schwerpunkt,
00:26:28: aber da kann sich jetzt keiner zurücklehnen, und sagen "Unser Bundesland ist durch".
00:26:33: Nein, es kann sich keiner zurücklehnen, weil es ist ja wirklich nur ein ganz kleiner Ausschnitt geprüft worden. Schauen Sie sich mal den öffentlichen Bereich an. Wir haben uns jetzt auf die Kommunen fokussiert.
00:26:44: Aber da wäre ja auch der gesamte Bereich der Landesverwaltung sicherlich auch
00:26:49: nochmal zu betrachten, ad 1. Und wenn Sie sich den nichtöffentlichen Bereich anschauen, wir haben uns
00:26:55: konzentriert auf große und sogenannte mittelgroße Unternehmen, der ganze Bereich der kleinen und mittleren Unternehmen, also der Bereich des Mittelstands, und gerade der Bereich des Mittelstands ist hier sehr ausgeprägt in Niedersachsen,
00:27:09: der müsste dann sicherlich irgendwann auch noch mal beleuchtet werden.
00:27:13: Das sind zwei Bereiche, die sich für Querschnittsprüfungen eignen. Und darüber hinaus planen wir gerade fürs nächste Jahr themen- und branchenbezogene Prüfung und da sind wir mit unseren Planungen, allerdings noch nicht soweit, dass ich da jetzt weitergehende Hinweise geben könnte.
00:27:32: Aber da wird mit Sicherheit etwas kommen im nächsten Jahr.
00:27:35: Ganz herzlichen Dank für den Punkt. Und wir werden da auch mit unserer Berichterstattung dran bleiben, weil wir das als sehr wertvoll erachten. Sie haben uns ja schön erläutert, welche Vorteile letztlich auch Unternehmen haben und dass es solche Prüfung gibt. Natürlich gibt es auch mögliche
00:27:53: nicht so schön Konsequenzen, aber die hat man ja dann selber verschuldet. Also von meiner Seite herzlichen Dank und dann gebe ich zurück ich an meinen Kollegen.
00:28:03: Herzlichen Dank auch von meiner Seite! Ich habe noch eine Frage, zu dem was Sie zuletzt noch gesagt hatten,
00:28:10: Branchen, das Stichwort Branchen, dass Sie in diese Richtung auch gucken wollen,
00:28:14: kann man sich das so vorstellen, dass Sie auch so gewissermassen das Risiko mit hinzuziehen, dass Sie sagen, bestimmte Branchen und Unternehmen, in denen eben ein höheres Risiko durch bestimmte Datenverarbeitungen zu erwarten ist,
00:28:28: haben auch ein höheres Risiko geprüft zu werden,
00:28:31: und umgekehrt sind vielleicht kleine Vereine jetzt mit einem sehr geringen Prüfungsrisiko ausgestattet. Wie muss man sich das vorstellen?
00:28:39: ja, also diesen Hinweis, den kann ich auf jeden Fall geben, und das sage ich auch immer, wenn ich dazu gefragt werde, also Vereine, gerade kleinere Vereine,
00:28:50: stehen mit Sicherheit nicht im Fokus unserer Betrachtung. Es ist
00:28:55: mit Sicherheit ein wichtiges Kriterium, das Risiko, auf der anderen Seite muss man auch schauen, welches sind denn die Branchen, die eine Vielzahl von personenbezogenen Daten verarbeiten
00:29:08: und welches sind die Branchen, die eben nicht nur Mitarbeiterdaten verarbeiten, sondern auch sehr viele kundenbezogene Daten.
00:29:17: Das soll jetzt nicht heißen, dass wir uns jetzt speziell auf diese Branchen im nächsten Jahr
00:29:23: fokussieren werden, aber das sind natürlich Fragestellungen, die man sich als Aufsichtsbehörde dann schon stellen muss.
00:29:30: Und wir haben natürlich auch durch die Vielzahl der Beschwerden, die bei uns eingeht, Hinweise darauf, auf welche Branchen man sich dann vielleicht doch etwas stärker mal konzentrieren sollte.
00:29:42: Vielen Dank und eine Frage von meiner Seite aus dann zum Schluss:
00:29:48: Fühlen Sie sich von der Kapazität ihr Aufsichtsbehörde gut genug ausgestattet für die Prüfungen, die sie vorhaben fürs kommende Jahr?
00:29:58: Ein klares Nein an dieser Stelle! Sie wissen ja, dass wir janusköpfig sind. Wir haben auf der einen Seite die Aufgabe der Aufsicht und des Vollzugs, und diese Aufgabe
00:30:09: ist eindeutig durch die DSGVO gestärkt worden. Wir müssen dieser Aufgabe nachkommen. Wir können nicht einfach sagen, wir lassen Aufsicht Aussicht sein und kümmern uns nur um die Beratung. Aber
00:30:22: eben wenn dann Prüfungen durchgeführt werden,
00:30:25: dann geschieht das miteinem großen Teil unserer Kapazitäten und wir haben dann nicht hinreichend Kapazitäten für diese umfangreiche Beratungs-, Informations-,
00:30:37: Aufklärungs- und Sensibilisierungsaufgabe. Wir können uns eigentlich immer nur auf einen Bereich konzentrieren, und
00:30:46: das ist misslich an dieser Situation, und deswegen muss ich eindeutig sagen, die Ressourcen sind zu gering
00:30:54: um allen Aufgaben, die die DSGVO für uns bereithält, tatsächlich auch in einem zufriedenstellenden Maße und Umfang nachkommen zu können.
00:31:05: Bedeutet das für Ihre Priorisierung dann, wie man das auch schon aus anderen Aufsichtsbehörden gehört hat, dass in Zukunft auch mehr auf die Prüfung und weniger auf die Beratung.
00:31:18: Wert gelegt wird?
00:31:20: Ja, zwangsläufig. Wir haben ja z.b. diese beiden Pflichtaufgaben "Bearbeitung von Beschwerden" und "Meldung von Datenpannen". Die nehmen schon sehr viel Zeit und Raum ein.
00:31:32: Wenn wir darüber hinaus gewisse anlasslose Kontrollen durchführen wollen, weil wir sie auch durchführen müssen.
00:31:39: Wir müssen nun mal als Aufsichtsbehörden dafür Sorge tragen, dass ein einheitliches Schutzniveau gewährleistet ist,
00:31:46: dann bleibt eben wirklich wenig Zeit für Beratung, und ich bedauere das persönlich sehr, weil wir an der Stelle
00:31:54: eigentlich sehr viele Konzepte in der Schublade haben, die wir gerne verwirklichen würden, weil es eben auch unser Auftrag ist.
00:32:01: Gerade in Zeiten von Digitalisierung ist Datenschutz so wichtig wie noch nie, würde ich was sagen.
00:32:08: Und da fehlen uns dann tatsächlich die entsprechenden Leute.
00:32:15: Danke für die ehrliche Antwort, vielleicht helfen wir Ihnen mit unserem Podcast auf diesem Wege auch noch mal um diese Beratung etwas zu stärken und nochmal
00:32:26: durch dieses Sprachrohr Podcast Infos rauszugeben zu den Unternehmen.
00:32:30: Genau darüber würde ich mich sehr freuen, wenn ich eben auch entsprechende Unterstützung von außen bekäme, weil das, was ich tun kann,
00:32:39: was ich auch gemeinsam mit meinen Mitarbeiterinnen und Mitarbeitern tun kann, das tun wir und das wollen wir auch gerne weiterhin tun.
00:32:47: aber je mehr Bedarf von außen auch reklamiert wird und je mehr wir Unterstützung finden für
00:32:55: unsere Vorstellungen und für unsere Pläne für die Zukunft, umso besser ist es, denke ich.
00:33:02: Vielen Dank, vielen Dank für dieses Gespräch, für Ihre Antworten, für Ihre offenen Antworten, Ihre Bereitschaft sich unseren Fragen zu stellen.
00:33:11: Ja, sehr gern und es entspricht ja auch meinem Interesse! Auch dir lieber Oliver, vielen Dank für die spannende Moderation. Auch sehr gern, ich fand es wirklich ausgesprochen spannend bei diesem wichtigen Thema dabei sein zu können.
00:33:24: Und liebe Hörerinnen und Hörer, auch Ihnen ein herzliches Dankeschön, ich hoffe, dass es Ihnen gefallen hat
00:33:30: und dass Sie auch unsere nächste Podcastfolge wieder mitverfolgen. Wenn Sie Fragen zum diesmaligen Thema oder weitere Fragen haben,
00:33:39: die wir unseren spannenden Interviewpartnern stellen sollten, bitte schreiben Sie uns
00:33:44: an dsp@weka.de oder über twitter oder XING, wo Sie möchten. Vielen Dank noch mal, Frau Thiel, vielen Dank Oliver!
00:33:54: Bis zur nächsten Folge von Datenschutzpraxis der Podcast.