Mehr Automatisierung bei Datenschutzprüfungen
Der Fachkräftemangel belastet die deutsche Wirtschaft branchenübergreifend. Da machen die Datenschutz-Aufsichtsbehörden keine Ausnahme. Für Datenschutzsünder ist das dennoch kein Grund zum Aufatmen. Denn ein Großteil datenschutzrechtlicher Überprüfungen läuft inzwischen rein maschinell ab.
Personal ist schwer zu bekommen
Die mit Datenschutz betrauten Institutionen weisen immer wieder auf unzureichende personelle Ausstattung hin. Das Aufgabengebiet ist immens – die Kopfstärke der Behörden jedoch überschaubar. Zu den Obliegenheiten der Datenschützer gehören auch Prüfungen und Kontrollen. Die können sich auf konkrete Fälle von Datenschutzverletzungen erstrecken, auf Verdachtsmomente oder rein routinemäßig in Form von Stichproben gemacht werden. Diese Maßnahmen sind in der Regel außerordentlich aufwendig. Wer es mit dem Datenschutz nicht so genau nimmt, könnte daraus den Schluss ziehen, unbehelligt durchs Prüfnetz zu fallen. Bei der Vielzahl an Firmen und Institutionen scheinen die Aussichten gering, dass ausgerechnet im eigenen Betrieb der Umgang mit personenbezogenen Daten auf Herz und Nieren geprüft wird. Jedoch steuern die betroffenen Behörden nach Kräften dagegen, indem sie immer mehr auf automatisierte Kontroll-Prozesse setzen.
Webseiten und Apps im Auto-Screening
Das Bayerische Landesamt für Datenaufsicht (BayLDA) erweist sich einmal mehr als Vorreiter. Die bayerischen Beamten führt bereits länger „fokussierte Prüfungen“ durch, die über das Internet stattfinden und kaum Personal nötig machen. Schwerpunkt können sensible Themenfelder, wie die Kontrolle von Apps und Cookie-Bannern, sein. 15 Apps und mehrere Hundert Webseiten wurden auf diese Weise automatisiert überprüft. Im Mittelpunkt der Kontrollen stand die Frage, ob die Apps womöglich ohne die erforderliche Einwilligung von Nutzern Dienste einbinden und ob sich auf dem Cookie-Banner der Internetseiten Cookies ablehnen lassen. Diese Kontrollen werden auch durchgeführt, wenn kein Verdachtsfall vorliegt und folgen eher dem Prinzip Zufall, was die Auswahl der überprüften Firmen angeht.
Nach den ersten Erfahrungen sind Apps dabei sehr viel schwieriger zu überprüfen als Webseiten. Für diese hat das BayLDA eigens ein Prüftool entwickelt, das Cookie-Banner automatisiert unter die Lupe nimmt. Es untersucht, ob bereits auf der ersten Ebene einer Internetseite eine Option angeboten wird, das Banner zu schließen, ohne eine Einwilligung gegeben zu haben. An diesem Problem kranken viele Webseiten – was auch auf unserem Portal bereits thematisiert wurde. Die Datenschützer aus Bayern stellten schließlich auf automatischem Weg bei 350 Webseiten dahingehende Datenschutzverstöße fest. Hätten diese Überprüfungen manuell durchgeführt werden müssen, wäre die Anzahl der Überprüfungen nicht mal ansatzweise auf diesem Niveau.
Automatisierte Prüfungen setzen sich durch
Vermutlich werden etliche Landesdatenschutzbehörden dem bayerischen Vorbild folgen und auch automatisierte Prozesse einführen. BayLDA-Präsident Michael Will hob hervor, dass Entscheidungen über die Behebung von Datenschutzproblemen sowie über Bußgelder auch in Zukunft von seinen Mitarbeitern getragen würden – automatisierte Prüfverfahren aber bei den begrenzten Personalressourcen ein probater Ausweg seien. Mit deren Hilfe können insbesondere alle Kontrollaufgaben wahrgenommen werden, die als Stichproben keinen konkreten Beschwerden nachgehen. In diesem Zusammenhang ist auch das von uns schon vorgestellte kostenlose Website-Audit-Tool zu erwähnen, das der Europäische Datenschutzausschuss (EDSA) zur Verfügung stellt. Es ist damit zu rechnen, dass diesem Open-Source-Analysetool weitere folgen werden, die Behörden, Datenschutzbeauftragten oder Juristen die Möglichkeit geben, Datenschutzprüfungen automatisiert vorzunehmen. Wer nun zweifelt, ob die eigene Unternehmenswebseite datenschutzkonform ist, braucht deshalb nicht in Panik zu verfallen. Die Automatisierung lässt sich ohne bürokratischen Aufwand in Unternehmen durchführen, um so auf der rechtlich sicheren Seite zu bleiben.
Hier bloggt Ihre Redaktion.