Nach § 38 Abs. 1 Satz 1 BDSG ist Aufgabe der Datenschutzaufsichtsbehörde, die Ausführung des Bundesdatenschutzgesetzes (BDSG) und anderer Vorschriften über den Datenschutz zu kontrollieren. Zu diesem Zweck dürfen von der Aufsichtsbehörde beauftragte Personen gemäß § 38 Abs. 4 BDSG Grundstücke und Geschäftsräume verantwortlicher Stellen betreten, dort Prüfungen und Besichtigungen vornehmen und geschäftliche Unterlagen sowie gespeicherte personenbezogene Daten und Datenverarbeitungsprogramme einsehen. Wie genau so ein Audit abläuft erklärt das BAyLDA.

ANKÜNDIGUNG

In der Regel erhält die verantwortliche Stelle, bei der – aufgrund einer Beschwerde oder auch anlasslos – eine Vor-Ort-Kontrolle durchgeführt werden soll, ca. 4-6 Wochen vor dem Prüftermin eine schriftliche Ankündigung des vorgesehenen Termins. Dieser Termin wird vom BayLDA festgelegt und kann im Regelfall nicht verschoben werden. Eine Terminverschiebung ist nur im Fall der schriftlichen Darlegung äußerst triftiger Gründe denkbar. Eine Ankündigung unserer Vor-Ort-Kontrolle ist nicht zwingend erforderlich. Auch unangekündigte Kontrollen sind zwar denkbar, bleiben jedoch die Ausnahme.

PRÜFINHALT UND -DAUER

Der Inhalt und die Dauer der Vor-Ort-Prüfung sind je nach Art der Prüfung unterschiedlich:

• Die am häufigsten durchgeführten Vor-Ort-Prüfungen sind fokussierte Prüfungen. Diese sind meist anlasslos und umfassen in der Regel zehn Prüfpunkte aus unterschiedlichen Bereichen, die in Abhängigkeit von der Art des untersuchten Unternehmens variieren. Standardfragen beziehen sich zum Beispiel auf die Videoüberwachung, Umgang mit Kunden- und Mitarbeiterdaten, Verträge zur Auftragsdatenverarbeitung, Einsatz von Verschlüsselungsverfahren, Passwortmanagement oder auch auf die datenschutzkonforme Vernichtung von Datenträgern. Die Inhalte der fokussierten Vor-Ort-Kontrolle werden dem überprüften Unternehmen in der Regel spätestens eine Woche vor dem Prüftermin schriflich mitgeteilt. Für fokussierte Vor-Ort-Prüfungen wird in der Regel eine Dauer von maximal zwei Stunden angesetzt.
• Anlassbezogene Vor-Ort-Prüfungen – zum Beispiel aufgrund einer Bürgerbeschwerde – beziehen sich nur auf einen speziellen oder sehr wenige Prüfpunkte, über welche/n wir das geprüfte Unternehmen üblicherweise vorab gezielt informieren. Diese Art der Prüfung führen wir zum Beispiel durch, wenn für die rechtliche Beurteilung eine Einsichtnahme in die Datenverarbeitungsanlage oder andere Geräte vor Ort erforderlich ist. Eine solche Prüfung dauert meist nur ca. eine Stunde.
• Komplettprüfungen von Unternehmen können wir aufgrund unserer personellen Ressourcen kaum durchführen, da diese je nach Unternehmensgröße mehrere Tage und gleichzeitig auch mehrere Mitarbeiter unserer Behörde in Anspruch nehmen können.

Die Ankündigung der Prüfpunkte soll den Unternehmen eine gute Vorbereitung auf den Prüftermin ermöglichen. Um die Prüfdauer überschaubar zu halten, empfehlen wir, alle Unterlagen, die zu den jeweiligen Prüfpunkten relevant sein könnten, schon im Voraus im Eigeninteresse vorzubereiten (z. B. Verträge zur Auftragsdatenverarbeitung oder andere Vereinbarungen mit externen Dienstleistern, Einwilligungsmuster, Verpflichtung der Mitarbeiter auf das Datengeheimnis nach § 5 BDSG, Verfahrensverzeichnisse und Verarbeitungsübersicht, Rechte-/Rollenkonzepte u.v.a.).

NACHBEARBEITUNG

Im Nachgang zu unseren Prüfungen verfassen wir einen Bericht über die durchgeführte Prüfung, welcher im Wesentlichen die Punkte umfasst, bei denen eine Nachbesserung von Seiten des Unternehmens erforderlich ist. Die straffe Strukturierung der fokussierten Vor-Ort-Kontrolle ermöglicht uns, den Prüfbericht in einem nahen zeitlichen Zusammenhang fertig zu stellen und zu versenden.

MÖGLICHE KONSEQUENZEN

Werden die beim Prüftermin angesprochenen und im Prüfbericht mitgeteilten erforderlichen Nachbesserungen nicht fristgemäß umgesetzt, können diese entweder mit einer kostenpflichtigen förmlichen Anordnung verbunden mit einer (auch mehrfach möglichen) Zwangsgeldandrohung durchgesetzt oder festgestellte Ordnungswidrigkeiten mit einem Bußgeld geahndet werden. Jedoch führen wir unsere Prüfungen vorrangig zur Sensibilisierung der Unternehmen durch. Auch gewinnen wir so Erkenntnisse über den Datenumgang in bestimmten Unternehmen oder Branchen. Ziel unserer Prüfungen ist es nicht, Sachverhalte für die Durchführung eines Bußgeldverfahrens zu suchen. Entsprechend erhalten wir von den bisher geprüften Unternehmen zur Vor-Ort-Prüfung zumeist eine positive Resonanz. Viele verantwortliche Stellen betrachten unsere Vor-Ort-Prüfungen (zumindest im Nachhinein) als eine konstruktive Beratung.