Thiel zieht nach Prüfung von Unternehmen durchwachsene Bilanz

Thiel zieht nach Prüfung von Unternehmen durchwachsene Bilanz

Abschluss der Querschnittsprüfung

Die Umsetzung der Datenschutz-Grundverordnung (DS-GVO) gelingt niedersächsischen Unternehmen bisher nur teilweise. Das ist das Ergebnis der branchenübergreifenden Prüfung von 50 Unternehmen, zu der die Landesbeauftragte für den Datenschutz Niedersachsen (LfD), Barbara Thiel, nun ihren Abschlussbericht vorgelegt hat.

 

Große Defizite bei technisch-organisatorischem Datenschutz

„Wir haben Bereiche identifiziert, in denen die Regelungen der DS-GVO bereits zufriedenstellend umgesetzt werden”, sagt Thiel. „Zugleich mussten wir aber auch erhebliche Defizite feststellen, die sehr besorgniserregend sind.” Besonders großen Nachholbedarf haben die Unternehmen demnach im technisch-organisatorischen Datenschutz und bei der Datenschutz-Folgenabschätzung (DSFA).

Diese Abschätzung müssen Unternehmen vorab durchführen, wenn sie Datenverarbeitungen planen, die voraussichtlich zu einem hohen Risiko für die betroffenen Personen führen. Die Prüfung zeigte, dass sich viele Unternehmen noch nicht ausreichend mit den rechtlichen Grundlagen zur DSFA befasst hatten.

Maßnahmen des technisch-organisatorischen Datenschutzes sollen sicherstellen, dass die Rechte und Freiheiten natürlicher Personen angemessen bei der Datenverarbeitung geschützt werden. Dazu gehört zum Beispiel der geeignete Schutz eines IT-Netzwerks gegen Cyber-Angriffe. Hier war besonders problematisch, dass zahlreiche Unternehmen den Fokus fast ausschließlich auf den Schutz der eigenen Interessen gelegt hatten. Im Datenschutz müssen aber die Interessen der Betroffenen im Zentrum stehen.

Es gab allerdings auch Bereiche, in denen die LfD überwiegend zufriedenstellende Antworten erhielt. Dazu zählen die Komplexe Auftragsverarbeitung, Datenschutzbeauftragte, Meldung von Datenpannen und Dokumentationspflichten.

 

Neun Unternehmen mit „Rot” bewertet

Bewertet wurden die Unternehmen abschließend mit einer Ampelfarbe: Grün, wenn sie überwiegend zufriedenstellend abgeschnitten hatten; Gelb, wenn es noch vereinzelt Handlungsbedarf gab; Rot, wenn erhebliche Defizite vorlagen. Am Ende erhielten 9 Unternehmen das Prädikat Grün, 32 Gelb und 9 Rot.

In einigen der mit Rot bewerteten Unternehmen wird die LfD noch in diesem Jahr weitergehende Kontrollen durchführen. Stellt sie dabei schwerwiegende Verstöße gegen die Datenschutzregeln fest, sind auch Bußgelder gegen die Verantwortlichen möglich.

Gleichzeitig wird die LfD die Unternehmen aber auch dabei unterstützen, die erkannten Defizite zu beheben. Zu diesem Zweck wird sie in den nächsten Wochen Handreichungen zu den besonders problematischen Themenfeldern veröffentlichen. „Wir müssen als Aufsichtsbehörde beide Seiten der Medaille Datenschutz bedienen: Vollzug und Kontrolle einerseits, Aufklärung und Information andererseits”, so Thiel. „Damit erreichen wir auf lange Sicht die besten Ergebnisse für Betroffene und Verantwortliche.”

 

Zur Querschnittsprüfung

Die LfD Niedersachsen hatte Ende Juni 2018, kurz nach Geltungsbeginn der DS-GVO, einen Fragebogen an 50 mittelgroße und große Unternehmen mit Hauptsitz in Niedersachsen verschickt. Diese sollten Fragen zu zehn Bereichen des Datenschutzes beantworten. Die Antworten wurden mithilfe eines umfangreichen Kriterienkatalogs ausgewertet. Die branchenübergreifende Prüfung war die bislang größte anlasslose Kontrolle in der Geschichte der LfD.

 

Quelle: Pressemeldung Die Landesbeauftragte für den Datenschutz Niedersachsen