Im Rahmen seines Vortrages zum 5. Münchner Datenschutztag am 23.03.2017 hat der Präsident des Bayrischen Landesamtes für Datenschutzaufsicht, Thomas Kranig, angekündigt, dass seine Behörde bereits im Jahr 2017 mit Blick auf die Umsetzung der EU Datenschutz-Grundverordnung (DS-GVO) bis Mai 2018 unangekündigte Kontrollen bei Unternehmen durchführen wird. Im Rahmen dieser Kontrollen soll geprüft werden, ob sich die Unternehmen rechtzeitig und ausreichend auf die DS-GVO vorbereiten.

Ein Themenkreis, der die Behörde besonders interessiert, sind die Maßnahmen, die die Unternehmen zur Erfüllung der Auskunftsansprüche der Betroffenen und zur Herausgabe einer Kopie der gespeicherten Daten (Art. 15 DS-GVO) getroffen haben oder in Vorbereitung auf die DS-GVO aktuell planen. Wie schnell werden Unternehmen in der Lage sein, diese Anfragen umfassend und richtig zu beantworten? Auch die Vorbereitungen der Unternehmen, um schnell und effektiv auf Datenlecks zu reagieren, werden im Fokus der Untersuchungen stehen. Die DS-GVO hat die Anforderungen an IT Sicherheit und Notfallreaktionspläne noch einmal deutlich verschärft.

Weiter wies Herr Kranig darauf hin, dass die Behörde in Art. 5 Abs. 2 DS-GVO („Rechenschaftsplicht“) eine Art Beweislastumkehr gegenüber dem bisherigen deutschen Recht sieht. Unternehmen sind demnach verpflichtet, auch ohne konkreten Anlass jederzeit die Einhaltung sämtlicher Vorgaben der DS-GVO nachweisen zu können. Auch dies würde seine Behörde aktiv prüfen.

Die DS-GVO ist ab dem 25. Mai 2018 in allen EU-Staaten geltendes Recht, ohne dass es dafür eines nationalen Umsetzungsaktes bedarf. Das deutsche „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU“ (DSAnpUG-EU), das derzeit in Bundestag und Bundesrat beraten wird, wird lediglich Regelungen für die von der DS-GVO vorgesehenen Öffnungsklauseln treffen. Dies betrifft u.a. konkrete Regelungen für den Beschäftigtendatenschutz und die Organisation der deutschen Datenschutzbehörden.

Praxistipp: Unternehmen müssen sich frühzeitig auf die teils erheblichen Änderungen durch die DS-GVO vorbereiten. Anfragen von Behörden zur DS-GVO müssen auch vor dem 25.05.2018 ernstgenommen und beantwortet werden. SKW Schwarz berät und begleitet bereits viele Mandanten vom Mittelständler bis zum Großunternehmen in Umsetzungsprojekten zur DS-GVO. Die Mandanten schätzen dabei, dass wir neben der Projektpraxis für viele Fragen rund um die DS-GVO über einen großen Pool von Checklisten und Best-Practice-Dokumenten verfügen.