In der Praxis als externer Datenschutzbeauftragter wird mir immer wieder die Frage gestellt, ob überhaupt datenschutzrechtliche Prüfungen durch die zuständigen Aufsichtbehörden durchgeführt werden.
Die Landesbeauftragten für den nicht-öffentlichen Bereich geben teilweise Auskunft über ihre Prüftätigkeit. Nach ihren Informationen ist die Anzahl der fachlichen Anfragen bei den Aufsichtsbehörden gestiegen. Allein der Berliner Beauftragte für den Datenschutz erhielt 2007 über 1.400 schriftliche oder elektronische Eingaben. Das Spektrum der Anfragen erstreckt sich auf viele Lebensbereiche, eine Auswahl können Interessenten etwa im 30. Tätigkeitsbericht des Landesbeauftragten für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen einsehen.
Eine Übersicht über die Mängel, die Aufsichtsbehörden bei Prüfungen von Unternehmen festgestellt haben, lässt sich dem Tätigkeitsbericht des Hamburgischen Datenschutzbeauftragten von 2006/2007 entnehmen. Demnach haben die geprüften Unternehmen 49 Prozent keinen oder nicht alle Mitarbeiter auf den Datenschutz verpflichtet. In 86 Prozent der Fälle waren die zu führenden Verfahrensverzeichnisse gar nicht vorhanden oder unvollständig. In 54 Prozent der Prüfungen war kein Datenschutzbeauftragter bestellt, nicht schriftlich bestellt, fachlich unqualifiziert oder es lag ein Interessenkonflikt vor.
Erschreckend sind die Zahlen im Bereich der IT-Sicherheit. So waren 91 Prozent der Passwörter veraltet, hatten keine ausreichende Zeichenlänge oder einen mangelhaften Zeichenmix. Sie garantieren daher auch nur einen geringen oder keinen Schutz der EDV-Systeme.
Auch gab es Mängel bei technischen und organisatorischen Maßnahmen. So hatten 67 Prozent der geprüften Unternehmen einen mangelhaften Kopierschutz für personenbezogene Daten oder es gab keine Sperrung von Schnittstellen. Solche Fälle sind als sehr bedenklich einzustufen, da einem Datenabfluss aus dem Unternehmen Tür und Tor geöffnet ist.
