Wie man einer Pressemitteilung vom 17.7.2025 der lokalen Datenschutz Aufsichtsbehörde aus Mecklenburg-Vorpommern entnehmen kann, führte die Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI MV) unangekündigte Vor-Ort-Prüfungen bei Verantwortlichen durch. Die Kontrollen fanden “insbesondere bei Behörden” aber offensichtlich nicht wohl nicht ausschließlich im öffentlichen Bereich statt.
Anlass für die Kontrollen soll die gestiegene Zahl von Datenpannen, die dem LfDI MV gemeldet oder auf anderen Wegen bekannt geworden sind, gewesen sein.
Die Behörde führt zu den Kontrollen aus:
“Dabei beschränkt sich die Kontrolle nicht auf die bloßen Zutritts- und Zugriffsmöglichkeiten. Es werden auch gezielt Maßnahmen und Dokumente wie Datenschutz- oder Sicherheitskonzepte, Verfahrensverzeichnisse oder Auftragsverarbeitungsverträge abgefragt. IT-Systeme und Netzwerke können kontrolliert, Räumlichkeiten inspiziert und Verantwortliche sowie Beschäftigte befragt werden.
Bei einer kürzlich durchgeführten unangekündigten Kontrolle in einer Behörde versuchten die Prüfenden etwa, in nicht-öffentlich zugängliche Bereiche zu gelangen, ohne sich auszuweisen. Im Zuge dessen wurde auch im Rahmen einer Sichtkontrolle überprüft, ob Arbeitsplätze beim Verlassen gesperrt werden und damit ein Zugang von Unbefugten verhindert wird. Weiterhin wurden Zugriffsrechte auf dienstliche Systeme und die Passwortrichtlinien überprüft. Dabei zeigte sich, dass zwar auf dem Papier Maßnahmen existieren, diese im Alltag aber nicht konsequent eingehalten werden.“
Im Grunde Dinge, die ich bei meinen Internen Audits auch mache, aber von einer Datenschutz Aufsichtsbehörde kannte ich solche nicht anlassbezogenen und unangekündigte (!) Kontrollen im privatwirtschaftlichen Bereich bisher nicht. Also Obacht, jendenfalls in MV.
