Datenschutzprüfungen werden zunehmend automatisiert ablaufen

Deutschland ächzt unter dem Fachkräftemangel. Wenn an allen Ecken und Enden Personal fehlt, betrifft das nicht zuletzt auch die Datenschutz-Aufsichtsbehörden. Für Datenschutzsünder ist das dennoch kein Grund zum Aufatmen. Denn die Kontrollen der Aufsichtsbehörden hängen nicht nur von Manpower ab. Inzwischen finden auch automatisierte Prüfungen statt.

Auch Datenschützer leiden an Personalmangel

Wenn Datenschutzbeauftragte eine Bilanz ziehen, ist immer wieder von der dünnen Personaldecke die Rede, die viele Vorhaben limitiere. Das Aufgabengebiet ist immens – die Kopfstärke der Behörden jedoch überschaubar. Zu den Obliegenheiten der Datenschützer gehören auch Prüfungen und Kontrollen. Die können sich auf konkrete Fälle von Datenschutzverletzungen erstrecken, auf Verdachtsmomente oder rein routinemäßig in Form von Stichproben gemacht werden. Diese Maßnahmen sind in der Regel außerordentlich aufwendig. Wer es mit dem Datenschutz nicht so genau nimmt, könnte daraus den Schluss ziehen, unbehelligt durchs Prüfnetz zu fallen. Bei der Vielzahl an Firmen und Institutionen scheinen die Aussichten gering, dass ausgerechnet im eigenen Betrieb der Umgang mit personenbezogenen Daten auf Herz und Nieren geprüft wird. Weil aber die Datenschutzaufsicht eben diesen Eindruck nicht aufkommen lassen möchte, wird ein Mittel gewählt, das in der Wirtschaft gang und gäbe ist: die Automatisierung.

Automatisierte Prüfung von Apps und Webseiten

Wie inzwischen bekannt wurde, hat sich das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) auf „fokussierte Prüfungen“ verlegt, denen kein besonderer Anlass zugrunde liegt und bei denen Unternehmen im Freistaat schriftlich sowie automatisiert über das Internet geprüft werden. Schwerpunkt können sensible Themenfelder wie die Kontrolle von Apps und Cookie-Bannern sein. 15 Apps und mehrere Hundert Webseiten wurden auf diese Weise automatisiert überprüft. Im Mittelpunkt der Kontrollen stand die Frage, ob die Apps womöglich ohne die erforderliche Einwilligung von Nutzern Dienste einbinden und ob sich auf dem Cookie-Banner der Internetseiten Cookies ablehnen lassen. Die Betreiber dieser Apps und Webseiten kamen aus allen möglichen Branchen und wurden anlasslos sowie nicht nach speziellen Zielstellungen ausgewählt.

Dabei zeigt sich, dass Apps wegen ihrer spezifischen technischen Komplexität schwieriger zu überprüfen sind als Webseiten. Für diese hat das BayLDA eigens ein Prüftool entwickelt, dass Cookie-Banner automatisiert unter die Lupe nimmt. Es untersucht, ob bereits auf der ersten Ebene einer Internetseite eine Option angeboten wird, das Banner zu schließen, ohne eine Einwilligung gegeben zu haben. An diesem Problem kranken viele Webseiten – was auch auf unserem Portal bereits thematisiert wurde. Die Datenschützer aus Bayern stellten schließlich auf automatischem Weg bei 350 Webseiten dahingehende Datenschutzverstöße fest. Mit manuellen Mitteln wäre dieses Ergebnis derzeit wohl nicht erzielbar.

Bayerisches Analysetool ist erst der Anfang

Die Erkenntnisse der Datenschützer des BayLDA bei der Überprüfung von Webseiten dürften bundesweit ähnliche Bestrebungen verstärken. BayLDA-Präsident Michael Will hob hervor, dass Entscheidungen über die Behebung von Datenschutzproblemen sowie über Bußgelder auch in Zukunft von seinen Mitarbeitern getragen würden – automatisierte Prüfverfahren aber bei den begrenzten Personalressourcen ein probater Ausweg seien. Mit deren Hilfe können insbesondere alle Kontrollaufgaben wahrgenommen werden, die als Stichproben keinen konkreten Beschwerden nachgehen. In diesem Zusammenhang ist auch das von uns schon vorgestellte kostenlose Website-Audit-Tool zu erwähnen, das der Europäische Datenschutzausschuss (EDSA) zur Verfügung stellt. Es ist damit zu rechnen, dass diesem Open-Source-Analysetool weitere folgen werden, die Behörden, Datenschutzbeauftragten oder Juristen die Möglichkeit geben, Datenschutzprüfungen automatisiert vorzunehmen. Wer nun zweifelt, ob die eigene Unternehmenswebseite datenschutzkonform ist, braucht deshalb nicht in Panik zu verfallen. Die Automatisierung lässt sich auch im eigenen Haus anwenden, sodass rechtzeitiges Reagieren vor einem drohenden Bußgeldbescheid schützt.