Unternehmen in Bayern müssen mal wieder mit einer schriftlichen Prüfung der Landasdatenschutzbehörde BayLDA rechnen.
Aktuell führt die Aufsichtsbehörde eine Prüfung der korrekten Bestimmung zur DSFA-Durchführung („DSFA-Schwellwertprüfung“) bei Hochrisikoverarbeitungen in einer schriftlichen Verfahrensprüfungen durch.
Nach Angaben des BayLDA werden zufällig ausgewählte Verantwortliche zu den Einträgen im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) befragt, bei denen die Schwellwertanalyse zur Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen ergeben hat. Es gibt keine Verpflichtung darauf zu Antworten, vor allem sofern die Antwort wenig befriedigend wäre. Die Aufsichtsbehörde stellt Verantwortlichen, die der Aufforderung des BayLDA nicht fristgerecht nachkommen, aber den Erlass einer förmlichen Anweisung gem. Art. 58 Abs. 1 a) DSGVO samt Zwangsgeldandrohung in Aussicht.
Darüber hinaus behält sich die Behörde vor, im weiteren Prüfverlauf in Einzelfällen auch vor Ort zu kontrollieren, um die Umsetzung der genannten Maßnahmen zu überprüfen.
Unternehmen, die hier ein Schwachstelle für sich aufgetan haben, sollten hier für eine adäquate Lösung des Problems sorgen. Datenschutz-Folgenabschätzungen, wenn sie denn erforderlich sind, sind zwar eher komplexer Natur, Ausnahmen von deren Erstellung sieht das Gesetz aber nicht vor, sofern die erforderliche Schwellwertanalyse zu dem Ergebnis kommt, dass hohe Datenschutzrisiken bestehen. Und das kann in Einzelfällen relativ schnell anzunehmen sein, z.B. bei Unternehmen, die mehr als 50 Mitarbeiter haben und eine interne Meldestelle nach HinSchg betreiben müssen (so die wohl herrschende Meinung).