der Datenschutzerklärung dargestellt sein. Leider mangelt es bei einigen Angeboten von Bundesbehörden hier
an Transparenz. Deswegen habe ich Anbieter aufgefordert, Abhilfe zu schaffen.
Gut, dass es aber auch positive Beispiele gibt, bei denen die datenschutzrechtlichen Aspekte sowohl in der
Datenschutzerklärung der App selbst als auch auf der Website der Behörde zu finden sind. Zusätzlich ist die
GPS-Standortbestimmung zunächst standardmäßig deaktiviert und muss vom Nutzer bewusst in Betrieb genommen werden.
Meine kontinuierlichen Prüfungen von Mobilen Applikationen der Bundesbehörden sollen dazu beitragen, den
Datenschutz bei diesen „Helfern im Alltag“ zu verbessern.
17.2.4.8 Konzerndatenschutzrichtlinie der Deutschen Post DHL - Zielvorgabe noch nicht erreicht
Bereits in der Vergangenheit (vgl. 24. TB Nr. 6.12.1) habe ich über die Konzerndatenschutzrichtlinie der Deutschen Post DHL und deren Billigung durch mich im Jahr 2011 berichtet. Diese umfasst alle global genutzten
IT-Services des Unternehmens. Inzwischen konnte die Umsetzung der Konzerndatenschutzrichtlinie nach Angaben der Deutschen Post beinahe abgeschlossen werden. Von den ca. 900 Gesellschaften des Konzerns verbleiben nach Angaben des Konzerns noch etwa zwei Dutzend, die den Regelungen noch beitreten müssen, um
die 100-prozentige Beitrittsquote faktisch zu erreichen. Ausgenommen vom Beitritt sind Gesellschaften mit
Minderheitsbeteiligung der Deutschen Post, bei denen ihre Rechte zur Umsetzung nicht ausreichen sowie Gesellschaften ohne Personalkörper.
In der Praxis trägt die Konzerndatenschutzrichtlinie zu einer unternehmensweiten Hervorhebung der Bedeutung
des Datenschutzes bei, die auch ich immer wieder gefordert hatte. Nach Angaben des Konzerns konnten in fast
allen Gesellschaften ein Datenschutzansprechpartner etabliert werden, der die operationale Verantwortung der
Beratung der jeweiligen Länder in den Bereichen Audit, Schulungen und Untersuchungen wahrnimmt.
Um Datenschutzbelange dauerhaft durch den Konzern bis in die Gesellschaften umzusetzen, wurde ein Datenschutz-Lenkungsausschuss eingerichtet, der sich u. a. mit der Darstellung des internen Audit-Konzepts sowie
der Vorstellung des Aktionsplans bzgl. der Umsetzung der EU-DSGVO beschäftigt hat.
17.3 Aus Beratung und Kontrolle
17.3.1 Kontrollen im Telekommunikationsbereich
Nicht immer werden datenschutzrechtliche Defizite in angemessener Zeit behoben. Manchmal ist aber auch
etwas Licht am Ende des Tunnels zu sehen.
Beratungs- und Kontrollbesuche bei Unternehmen der Telekommunikationsbranche sind eine meiner wichtigsten Aufgaben in diesem Bereich. Zum einen dienen sie dazu, sowohl individuelle als auch systemische Fehler
bei der Datenverarbeitung durch diese Unternehmen zu identifizieren und - im Idealfall - zeitnah zu beseitigen,
was wiederum zu einer unmittelbaren Verbesserung des Datenschutzniveaus für die betroffenen Kunden führt.
Zum anderen erhalte ich durch diese Vor-Ort-Termine einen Überblick über die praktischen Auswirkungen
datenschutzrelevanter Themen und die aktuellen technischen Entwicklungen im Telekommunikationsbereich,
der in einer rein theoretischen Behandlung der Datenschutzfragen in diesem Umfang oft nicht möglich wäre.
Ebenso fördern die Besuche den persönlichen Kontakt mit den betrieblichen Datenschutzbeauftragten der Unternehmen, die als Schnittstelle zwischen operativem Bereich der Unternehmen und mir meine ersten und wichtigsten Ansprechpartner sind. Schließlich sind meine Kontrollen nicht selten Ausgangspunkt für datenschutzrechtliche Diskussionen und Beratungen zu Fragen oder Projekten, die eigentlich nicht im Zusammenhang mit
dem konkreten Prüfgegenstand stehen.
Was lange währt ...
– 174 –
BfDI 26. Tätigkeitsbericht 2015-2016