Die österreichische Datenschutzbehörde hatte wenig Zeit, um sich in ihre neuen Aufgaben unter der Datenschutz-Grundverordnung (DSGVO) einzufinden: Seit dem 25. Mai 2018 haben sie als neues zentrales Kontroll- und Straforgan bei Datenschutzverstößen bereits mehr als 3000 Beschwerden von Betroffenen zu (vermuteten) Datenschutzverletzungen erreicht. Hinzu kommen mehr als 1500 Data-Breach-Meldungen von Unternehmen.

Trotz dieser großen Zahlen der an sie zugetragenen Verfahren ergreift die Behörde aber zunehmend selbst die Initiative und geht nach dem Vorbild der Kartellbehörde potenziellen Missständen proaktiv nach. Auch das lässt sich aus den Fallzahlen gut ableiten: 2019 hat sie mit mehr als 200 Prüfungen bereits doppelt so viele Audits durchgeführt als noch 2017. Kurzum: Die Behörde füllt ihre neue Funktion bereits voll aus. Dabei lassen sich nach knapp zwei Jahren Aktivität klare Muster erkennen.

Einleitung eines Verfahrens

Die Auslöser amtswegiger Prüfverfahren sind mannigfach. Auffallend ist, dass die Behörde bei medial publik gewordenen, größeren Datenschutzthemen selbst bewusst und rasch proaktiv tätig wird. So ist sie z. B. sowohl im Fall rund um die Speicherung der mutmaßlichen Parteienpräferenz durch die Österreichische Post AG, aber auch in Zusammenhang mit der Bewertungsplattform "Lernsieg" aufgrund breiter Berichterstattung tätig geworden.

Beide Verfahren wurden straff geführt und transparent kommuniziert. Damit geht eine Signalwirkung gegenüber der Öffentlichkeit einher: Gibt es potenzielle Themen, sieht sich die Behörde das an und entscheidet dann sachlich, aber auch ohne sich vom medialen Druck leiten zu lassen.

Daneben veranlasst noch häufiger eine konkrete Beschwerde eines Betroffenen die Behörde zur Durchführung einer amtswegigen Prüfung. Dabei ist zu beobachten, dass der eigentliche Auslöser für die Beschwerde regelmäßig nicht im Datenschutzrecht selbst wurzelt. Oftmals greifen Betroffene nur begleitend oder als Mittel zum Zweck zur Möglichkeit der – kosten- und risikolosen – Anzeige bei der Behörde.

Der wahre Antrieb liegt oft in der Unzufriedenheit mit einem Unternehmen – sei es als ehemaliger Mitarbeiter oder Kunde, eine Anspruchsverweigerung durch das Unternehmen, geringe Erfolgsaussichten oder zu hohe Kosten der Rechtsdurch setzung von anderen Ansprüchen oder schlicht eine bestehende Wettbewerbssituation. Aber auch politische Überlegungen – siehe zuletzt die Corona-App oder die Diskussion rund um das Ergänzungsregister – führen mitunter zu entsprechenden Beschwerden.

Datenschutzverfahren haben also oft einen sehr emotionalen Hintergrund und sind Ausläufer von anderen, oft tieferliegenden Themen. Setzt man als Unternehmen dort, z. B. mit einem funktionierenden Beschwerdemanagement, an, können viele Verfahren verhindert werden.

Auf dem Prüfstand

Im gleichen Ausmaß beugt auch die saubere Ausgestaltung der Datenschutzhinweise nach Artikel 13 und 14 DSGVO-Beschwerden vor: Umso transparenter, klarer und einfacher die Verarbeitung gegenüber den Betroffenen offengelegt wird, desto geringer ist der Raum für Fragen, abweichende Auslegungen oder Vermutungen, die Betroffene zu Beschwerden veranlassen können. Hier lohnen sich daher ebenso ein prüfender Blick und ein Abgleich mit dem Marktstandard, um die Einleitung von Verfahren hintanzuhalten.

Bei einem amtswegigen Datenschutz-Audit stehen sodann sämtliche Verarbeitungsvorgänge eines Unternehmens auf dem Prüfstand: So werden meist einleitend detaillierte Fragen zu den konkreten Vorwürfen eines Betroffenen gestellt. Begleitend wird oftmals auch die Vorlage der datenschutzrechtlichen Dokumentation, also insbesondere des Verarbeitungsverzeichnisses sowie der Datenschutzfolgenabschätzungen, verlangt. Das stellt Unternehmen in der Praxis vor große Herausforderungen, wenn die umfangreichen Dokumentationspflichten bisher nur stiefmütterlich behandelt wurden.

Aber auch wenn im Mai 2018 ursprünglich ein umfangreiches DSGVO-Compliance-Programm umgesetzt, aber seither keine Aktualisierung vorgenommen wurde, wird es bei der Prüfung kritisch. Aufgrund ihrer jahrelangen Erfahrung und der zunehmenden Anzahl an unterschiedlichen Verfahren ist die Behörde in der Lage, etwaige Schwachstellen rasch zu identifizieren. Hier ist in der Praxis anzusetzen und dafür zu sorgen, dass die datenschutzrechtliche Dokumentation laufend an die Spruchpraxis der Behörden und Gerichte, aber auch den IT-Standard angepasst wird.

Der erste Eindruck

Die erste Reaktion des Unternehmens auf den Fragenkatalog ist oft schon richtungsentscheidend: Die Belastbarkeit und der Detailgrad der Ausführungen des Verantwortlichen sowie die Qualität der vorgelegten Dokumentation sind ein wichtiger erster Eindruck. Daraus kann man oftmals ablesen, ob das Unternehmen die rechtlichen Vorgaben tatsächlich schon proaktiv fundiert umgesetzt oder nur für die Prüfung aufgesetzt hat. Auch sieht man, ob der Verantwortliche die DSGVO verstanden und richtig implementiert, insbesondere die Verarbeitungen auf die richtigen Rechtsgrundlagen gestützt hat.

Bei der Prüfung selbst spannt die Behörde den Bogen oft etwas weiter. So werden vielfach auch die technischen und organisatorischen Maßnahmen im Sinne von Artikel 32 DSGVO standardmäßig mit geprüft. Hier verlangt die Behörde nicht nur die Vorlage interner Richtlinien oder Sicherheitskonzepte, sondern stellt auch konkrete Fragen zu den gelebten Prozessen. Ob diese dem Stand der Technik entsprechen, wird in der Praxis auch häufig durch Zeugeneinvernahmen und mithilfe einschlägiger Sachverständiger geprüft.

Vermeidbare Unstimmigkeiten

Die Gründe für die Einleitung eines Prüfverfahrens durch die Datenschutzbehörde liegen oft außerhalb der Sphäre des Verantwortlichen. Regelmäßig führen vermeidbare Unstimmigkeiten mit Betroffenen zu verfahrenseinleitenden Beschwerden. Hier gilt es mit entsprechenden internen Prozessen anzusetzen.

Daneben ist die saubere Vorbereitung im Unternehmen – DSGVO-Compliance endet nicht mit der erstmaligen Erstellung der erforderlichen Dokumentation – extrem wichtig. Kommt es zu einem Audit durch die Datenschutzbehörde, sollte der Verantwortliche schon alles parat haben und offen auf die Behörde zugehen können. Der erste Eindruck zählt. (Axel Anderl, Nino Tlapak, 21.5.2020)