Unangekündigte Kontrollen gibt es in vielen Facetten. Zu denken ist dabei an den Vokabeltest in der Schule, das Anhalten durch die Polizei im Straßenverkehr oder die Fahrkartenkontrolle im öffentlichen Nahverkehr. Gemeinsam haben solche Kontrollen zumeist, dass sie, aufgrund des Überraschungseffektes, bei den überprüften Personen Angst und Stress auslösen, weil man befürchtet, den Anforderungen der Überprüfung nicht gerecht zu werden.
Auch die Datenschutzaufsichtsbehörden können unangekündigte Kontrollen vornehmen. So berichtete der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI MV) jüngst, dass er vermehrt unangekündigte Überprüfungen zur Einhaltung der datenschutzrechtlichen Bestimmungen bei verantwortlichen Stellen vor Ort durchführe. Das Ziel sei dabei die Prävention und die Vorsorge (Titel der Pressemitteilung: “Lieber den LfDI MV im Haus als eine Datenpanne“), da Missstände beim Datenschutz unmittelbar festgestellt werden können und deren Behebung das Risiko für eine Datenschutzverletzung verringere. Konkret wurden nicht nur die „bloßen Zutritts- und Zugriffsmöglichkeiten“ überprüft, sondern auch „gezielt Maßnahmen und Dokumente wie Datenschutz- oder Sicherheitskonzepte, Verfahrensverzeichnisse oder Auftragsverarbeitungsverträge abgefragt. IT-Systeme und Netzwerke können kontrolliert, Räumlichkeiten inspiziert und Verantwortliche sowie Beschäftigte befragt werden“. Insbesondere aber nicht ausschließlich waren öffentliche Stellen Adressaten der Überprüfung.
Rechtliche Rahmenbedingungen und Befugnisse der Datenschutzaufsichtsbehörden für eine Vor-Ort-Überprüfung
Überprüfungen der Aufsichtsbehörden sind zunächst von weiteren Überprüfungsbefugnissen, bspw. von verantwortlichen Stellen gegenüber ihren Auftragsverarbeitern (Art. 28 Abs. 3 S. 2 lit. h DSGVO), abzugrenzen. Eine der zentralen und exklusiven Befugnisse der Datenschutzaufsichtsbehörden liegt darin, „Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen“ (Art. 58 Abs. 1 lit. b DSGVO), um somit die Anwendung der DSGVO und weitere datenschutzrechtliche Bestimmungen zu „überwachen und durchzusetzen“ (Art. 57 Abs. 1 lit. b DSGVO). Dabei müssen verantwortliche Stellen den Aufsichtsbehörden „Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind (…)“ sowie gemäß „dem Verfahrensrecht der Union oder dem Verfahrensrecht des Mitgliedstaats Zugang zu den Räumlichkeiten, einschließlich aller Datenverarbeitungsanlagen und -geräte“ (Art. 58 Abs. 1 lit. e-f DSGVO) gestatten. Interessanterweise wurde im Gesetzgebungsprozess der DSGVO angeführt, ob in der Norm noch aufgenommen werden soll, dass diese Überprüfungen „ohne Vorankündigung“ erfolgen können. Da dies jedoch nicht explizit geregelt wurde, unterliegt jede unangekündigte Überprüfung einer Verhältnismäßigkeitsprüfung im Hinblick auf Faktoren wie einen Anfangsverdacht, die Störung des Betriebsablaufes oder eine Vornahme zu den üblichen Geschäftszeiten.
Für öffentliche Stellen können weitere entsprechende Spezialnormen aus dem Landesrecht Anwendung finden. Das Landesdatenschutzgesetz M-V sieht für Überprüfungen zwar keine spezielle Befugnisnorm vor, allerdings lohnt sich hier ein Blick in das benachbarte Schleswig-Holstein, wo das Landesrecht in § 18 Abs. 1 Nr. 2 LDSG-SH öffentliche Stellen dazu verpflichtet, der Aufsichtsbehörde „Zutritt zu den Dienst- und Geschäftsräumen zu gewähren (…)“. Auch „das Grundrecht der Unverletzlichkeit der Wohnung nach Artikel 13 Absatz 1 des Grundgesetzes wird insoweit eingeschränkt.“ Diese Einschränkung dürfte allerdings nur bei (potenziell) besonders schweren Verstößen gegen den Datenschutz zur Geltung kommen.
Worauf verantwortliche Stellen bei unangekündigten Vor-Ort-Kontrollen achten sollten
Betreten vermeintliche Mitarbeitende einer Aufsichtsbehörde unangekündigt das Betriebsgelände bzw. den Empfangsbereich, sollten verantwortliche Stellen zunächst überprüfen und sicherstellen, wer da bei ihnen vorbeischaut. Der LfDI MV hatte sich nämlich als solcher vorgestellt, allerdings nicht ausgewiesen und verlangte Zutritt zu schützenswerten Bereichen einer verantwortlichen Stelle. Diese Vorgehensweise hat einen hohen präventiven Charakter, da das Element der Täuschung häufig im Rahmen eines illegalen Datenzugriffs verwendet wird. Man denke dabei nur an die allseits bekannten Phishing-E-Mails oder Personen, die sich fälschlicherweise als Strafverfolgungsbehörde ausgeben, um so Zugang zu sensiblen Daten und Informationen zu erhalten. Generell sollten betriebsfremde Personen sich nicht ohne Begleitung bzw. unkontrolliert in nicht-öffentlichen Bereichen einer verantwortlichen Stelle aufhalten.
Weiterhin sollte vorab der Umfang und der Gegenstand der unangekündigten Überprüfung erfragt werden, um eine erhebliche Störung des Betriebsablaufes zu vermeiden. Sollte eine solche Störung vorliegen oder die Überprüfung zu einem unverhältnismäßig hohen Aufwand bei der verantwortlichen Stelle führen, hat die Aufsichtsbehörde im Zweifel die Verhältnismäßigkeit ihrer unangekündigten Überprüfung darzulegen.
Gegenstand der Überprüfung können insb. Bereiche sein, in denen viele personenbezogene Daten verarbeitet werden, wie eine Kameraüberwachung, der Serverraum oder die Personalaktenverwaltung. Diese Bereiche sind bereits im Vorhinein aufgrund ihrer Sensibilität regelmäßig auf die Datenschutzkonformität zu überprüfen und die Mitarbeitenden zu sensibilisieren. Entsprechende Unterlagen und Konzepte sollten an einer zentralen Stelle dokumentiert und auf Anfrage bereitgehalten werden.
Eine für den Datenschutz zuständige Person (i.d.R. Datenschutzkoordinator*in oder Datenschutzbeaufragte*r) sollte die Aufsichtsbehörde bei ihrer Überprüfung begleiten und aus Sicht der verantwortlichen Stelle unterstützen. Sofern eine solche auskunftsfähige Person spontan aber nicht zur Verfügung stünde, könnte logischerweise die Sinnhaftigkeit einer Überprüfung ggf. nicht gewährleistet werden.
Es empfiehlt sich, diese Maßnahmen und den Ablauf in einem intern dokumentierten Prozess festzuhalten.
Fazit
Das Gefühl von Stress und Angst, ausgelöst durch eine unangekündigte Überprüfung, sollte im Rahmen eines Besuches einer Datenschutzaufsichtsbehörde nicht von langer Dauer sein. Vielmehr müssen zunächst die Identität der Prüfer*innen festgestellt und interne Stellen (Geschäftsführung, Datenschutzbeauftragte*r, Datenschutzkoordinator*in) informiert werden, welche den geplanten Ablauf und den Gegenstand der Überprüfung mit der Aufsichtsbehörde abstimmen. All diese Schritte und der weitere Ablauf sollten vorab festgelegt werden und mit einer grds. Kooperationsbereitschaft einhergehen.
Dem Ansatz des LfDI MV ist insofern beizupflichten, dass eine unangekündigte Vor-Ort-Überprüfung eine besondere Möglichkeit darstellt, die eigenen Prozesse im Datenschutz auf ihre Alltagstauglichkeit zu überprüfen sowie Schwachstellen und Missstände beim Datenschutz unmittelbar festzustellen. Der Zustand, dass infolge einer Überprüfung eine Aufsichtsbehörde entsprechende Maßnahmen gegen eine verantwortliche Stelle einleitet, ist einer Datenschutzverletzung, und dem damit verbundenen Schaden für betroffene Personen und verantwortliche Stellen, stets vorzuziehen.
6. August 2025 @ 14:15
Dazu wird zum Glück mangels Ressourcen niemals kommen. Die Aufsichtsbehörden können ja nicht mal ihre sonstigen Aufgaben angemessen abarbeiten.