Die Datenschutzgrundverordnung ist seit dem 25.05.2018 in Kraft.
Von den häufig angesprochenen Bußgeldern für Datenschutzvergehen hat man bis jetzt noch nicht viel gehört. Das mag daran liegen, dass die Aufsichtsbehörden in der Anfangszeit genauso am Limit arbeiten mussten wie viele Unternehmen und öffentliche Einrichtungen um ihre Organisation datenschutzkonform zu gestalten. Einige Aufsichtsbehörden sind bis heute damit beschäftigt, die angefallenen Anfragen aufzuarbeiten. Andere nehmen langsam aber sicher ihre angedachte Arbeit auf.
Hier ein paar Beispiele aus welchem Anlass die Aufsichtsbehörden tätig werden bzw. welche Punkte in der Organisation überprüft werden.
1.
Die Aufsichtsbehörde in Hessen wurde aufgrund einer Meldung einer ehemaligen Mitarbeiterin eines Markt- und Meinungsforschungsinstituts tätig.
Die ehemaligen Mitarbeiterin gab an, dass in dem Unternehmen Papier mit personenbezogenen Daten als Schmierpapier verwendet und der Aktenvernichter selten benutzt werde. Weiterhin würden im Call Center Raum sensible Daten frei zugängliche aufbewahrt und Löschungen trotz Zusagen an die Kunden nicht erfolgen.
Durch solche Anzeigen werden die Aufsichtsbehörden auf Organisationen aufmerksam. Sie können die betroffene Organisation um Stellungnahme bitten oder eine Vor-Ort-Prüfung durchführen, wie in diesem Fall geschehen. Dann muss die Organisation dokumentieren, dass sie allen Datenschutzpflichten nachgekommen ist. Dies beinhaltet unter anderem das Vorhandensein eines Verarbeitungsverzeichnisses, das Nachkommen der Informationspflichten sowie die korrekte Bestellung eines Datenschutzbeauftragten (wenn notwendig).
2.
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) verstärkt nach eigenen Angaben zur Zeit seine Prüfaktivitäten. Die flächendeckenden Datenschutzkontrolle des BayLDA konzentriert sich dabei auf Online-Shops, die Datensicherheit in Arztpraxen und die Dokumentationspflichten bei Großkonzernen.
Bei mittelständischen Unternehmen wird die Umsetzung der Informationspflichten im Rahmen von Bewerbungsverfahren geprüft.
Quellen:
Tätigkeitsbericht des Hessischen Datenschutzbeauftragten 2017 Abschnitt 7.7
Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom 07.11.2018: „Datenschutzprüfungen bei bayerischen Unternehmen und Ärzten nach der DSGVO“