Die Datenschutzgrundverordnung ist seit nunmehr knapp einem halben Jahr in Kraft. Bislang ist es abgesehen von einigen Skurrilitäten und Einzelfällen relativ ruhig geblieben. Dies hat bei vielen Unternehmen die Hoffnung geweckt, das Thema Datenschutz (weiterhin) nachrangig in der Prioritätenliste behandeln zu können. Doch der Eindruck könnte täuschen.
Neue Initiativen der Datenschutzbehörden
Nachdem die Datenschutzbehörden der Länder sich zunächst bewusst zurückgehalten haben, zum Teil auch wegen personeller Engpässe, sind nunmehr für das kommende Jahr verstärkte Prüfungsaktivitäten angekündigt worden. In einer Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom 07.11.2018 teilt das Landesamt mit, dass Prüfaktivitäten verstärkt aufgenommen und neue flächendeckende Datenschutzkontrollen in Bayern angestoßen wurden. Dabei stehen fünf Prüfkomplexe im Mittelpunkt: der sichere Betrieb von Onlineshops, der Schutz vor Verschlüsselungstrojanern in Arztpraxen, die Erfüllung der Rechenschaftspflicht bei Großkonzernen und mittelständischen Unternehmen sowie die Umsetzung der Informationspflichten in Bewerbungsverfahren. Für die nahe Zukunft angekündigt sind Kontrollen beim Sub-Dienstleistereinsatz und zum Thema „Löschen von Daten“, schwerpunktmäßig bei SAP-Systemen.
Nachdem der Fokus der Behörden im Jahre 2018 vor allem darauf lag über die Neuerungen der Datenschutzgrundverordnung zu informieren, müssen die Verantwortlichen dem Bayerischen Landesamt für Datenschutzaufsicht nunmehr nachweisen, dass sie die neuen Vorgaben kennen und erfüllen. Ziel sei dabei allerdings nicht, kleine Betriebe mit Datenschutzkontrollen zu überfordern, sondern größere und risikobehaftete Organisationen hinsichtlich möglicher Gefährdungsquellen zu sensibilisieren und darauf hinzuwirken, dass personenbezogene Daten gerade dort wirksam und angemessen geschützt werden.
Umsetzung der Datenschutzgrundverordnung bei kleineren und mittelständischen Unternehmen
Die Prüfung der kleinen und mittelständischen Unternehmen besteht darin, dass ein Fragenkatalog von 20 Fragen vorgelegt wird, die im Detail zu beantworten sind, zum Teil unter Vorlage von Unterlagen. Der Schwerpunkt der Kontrolle liegt auf der Prüfung, ob hinreichende technische und organisatorische Schutzmaßnahmen entsprechend des Risikos getroffen wurden. Der Prüfkatalog ist veröffentlicht (und hier zu finden Anlage ). Die Beantwortung dürfte zunächst, da auf dem Multiple-Choice-Verfahren beruhend, relativ unproblematisch sein. Der Teufel steckt jedoch, wie so oft, im Detail. Insbesondere die Vorlage von Unterlagen im Falle der Bejahung von Fragen zu vorhandenen Konzepten dürfte in vielen Fällen für kleine und mittlere Unternehmen eine Herausforderung darstellen. Es wäre sicherlich eine gute Übung auch für Unternehmen, die derzeit noch nicht vom Landesamt angeschrieben worden sind, den Katalog der 20 Fragen intern zu beantworten und sich zu fragen, ob die angefragten Informationen und Dokumente tatsächlich auch vorliegen.
Schwerpunkt: Bewerbungsverfahren
Ein weiterer Schwerpunkt der Prüfung liegt auf dem Bewerbungsverfahren, da der Umgang mit personenbezogenen Daten von Bewerbern im Recruitingprozess erfahrungsgemäß besondere Risiken aufwirft. Hierzu hat das Bayerische Landesamt für Datenschutzaufsicht einen Katalog von sechs Fragen entworfen, die in der Beantwortung ein plausibles Konzept der datenschutzkonformen Bearbeitung von Bewerbungen (einschließlich entsprechender Dokumentationen) erfordern [Das Musterschreiben finden Sie hier: Anlage]. Selbst scheinbar einfache Fragen, wie: „Wann werden die Daten der abgelehnten Bewerberinnen und Bewerber gelöscht?“ sind unter Berücksichtigung aller Rechtsvorschriften im Bereich der Speicherpflichten von Daten gar nicht einfach zu beantworten, erst recht dann nicht, wenn dem Landesamt auch ein plausibles und technisch unterlegtes Löschkonzept nachzuweisen ist.
Emplawyers-Workshop „Bewerbermanagement in Zeiten von Big Data und Datenschutz“ am 26.02.2019
In diesem Zusammenhang dürfen wir gerne auf unseren nächsten Workshop zum Thema „datenschutzkonformer Bewerbungsprozess“ hinweisen. Nachdem die Veranstaltung sowohl mit externen Veranstaltern als auch hausintern bereits im zweiten Halbjahr 2018 mehrfach sehr erfolgreich durchgeführt wurde haben wir uns entschlossen, den Workshop auch im kommenden Jahr anzubieten. Erster Termin hierfür ist der 26. Februar 2019. Die genauen Einzelheiten (Ort, Zeiten, Tagungsinhalt) werden noch gesondert bekannt gegeben, die Inhalte finden Sie auf unsere Website.
In jedem Fall sind Anmeldungen per Mail, Fax oder Telefon bereits jetzt möglich.
Wir regen daher an, dass Sie sich diesen Termin vormerken, nicht zuletzt um für den Fall einer Befragung durch das Bayerische Landesamt für Datenschutzaufsicht gewappnet zu sein.