Letztes Wochenende hatten wir auf der Frühjahrstagung des Fachverband Externe Datenschutzbeauftragte e.V. einen Bericht von einer anlasslosen Datenschutzprüfung bei einem Unternehmen im Bereich der Wohungswirtschaft bekommen. Hervorzuheben ist in diesem Zusammenhang nicht nur die Tatsache, dass sich die Aufsichtsbehörde für die Prüfung, die mit mehreren Mitarbeiter der Autsichtsbehörde durchgeführt wurde (u.a. ein Jurist und ein IT-Fachmann) drei Tage Zeit genommen hat, in der alle wesentlichen Ansprechpartner des Unternehmens zeitweise z.T. für Einzelinterviews anwesend sein mussten.
Viele wichtiger ist noch, dass eine Vielzahl von Dokumentationen im Vorfeld oder bei dem Termin beigebracht werden musst. Ohne eine generelle Vorbereitung in Hinsicht auf den Datenschutzrequirements (Erstellung Verfahrensverzeichnisse, Löschkonzepte, Datenschutzrichtlinien) und auch eine Vorbereitung auf den konkreten Termin, wird man durch eine solch umfangreiche Prüfung nicht ohne Beanstandungen kommen.
Interessant fand ich auch, dass die internen Berichte des Datenschutzbeauftragten angefordert wurden. Je nach dem, wie die Berichte aufgebaut sind, sind da ja schon sehr sensible Informationen drin, die auch auf Schwachstellen (Verbesserungsbedarfe) bei der Umsetzung des Datenschutzes hinweisen. Das fällt dann ja schon unter das nicht Selbstbelastungsverbot. Möglicherweise ist es sinnvoll verschiedenen (Tätigkeits-)Berichte zu erstellen und sich in dem Bericht, denn man an eine Aufsichtsbehörde herausgibt, allein auf die kontreten Tätigkeiten zu beschränkt.
Hat man keine Berichte oder gab es keine Tätigkeiten, steht man aber auch nicht gut dar, auch wenn es jetzt keine wörtliche gesetzliche Forderung gibt, solche Berichte zu erstellen. Ich würde daher eher empfehlen, die wesentlichen Maßnahmen, die in dem Tätigkeitsbericht aufgezeigt werden, einfach auch mal umzusetzen.
Meine zweite Empfehlung und das war auch die klare Empfehlung des Vortragenden, wäre den DSB bei dem Termin immer mit dabei zu haben. Koste es, was es wolle.
