Die LfDI Bremen hat auf ihrer Webseite Informationen zu einer aktuellen Umfrage bei den 30 größten Unternehmen der Hansestadt zum Einsatz von Microsoft Office 365 veröffentlicht. Hierfür werden Fragebögen an Unternehmen in Bremen gesendet.
Die Aufsichtsbehörde begründet die Aktion damit, dass es zahlreiche Nachfragen zur cloud-basierten Bürosoftware Office 365 gegeben habe und daher der Einsatz der Software im Hinblick auf die Sicherheit und Rechtmäßigkeit der Verarbeitung personenbezogener Daten genauer betrachtet werden soll.
Die angeschriebenen Unternehmen wurden laut Angaben der LfDI aufgefordert, den Fragebogen bis zum 30. September 2019 zu beantworten.
Der von der LfDI genutzte Fragebogen findet sich hier (pdf).
Die Frage sind noch recht allgemein gehalten. Die LfDI wird sich in einem ersten Schritt wohl zunächst einen Überblick über den Einsatz der Software und auch die interne Dokumentation der Unternehmen zu dem Einsatz verschaffen wollen.
U.a. wird auch danach gefragt, ob vor dem Einsatz der Software eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchgeführt wurde. Sollte die Antwort „nein“ lauten, soll das Unternehmen begründen, warum die DSFA nicht stattfand. Hierbei scheint die LfDI eventuell Berichte aus den Niederlanden im Kopf zu haben. Dort wurde für das Justizministerium durch eine Beratungsgesellschaft eine DSFA durchgeführt und die Ergebnisse veröffentlicht.
Daneben fragt die LfDI etwa auch nach der Rechtsgrundlage der Datenübermittlung in Drittstaaten (konkret die USA).
Das jeweilige Anschreiben an die Unternehmen ist nicht veröffentlicht. Da laut den Informationen auf der Webseite die Unternehmen aber „aufgefordert“ werden, bis zu einer bestimmten Frist Informationen bereitzustellen, kann es sich hier auch um einen Verwaltungsakt handeln. Dafür kann etwa sprechen, wenn in dem Anschreiben auf § 40 Abs. 4 BDSG verwiesen wird, wonach der Aufsicht unterliegenden Stellen verpflichtet sind, einer Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte zu erteilen.
Erst kürzlich entschied das Verwaltungsgericht Mainz (Urteil vom 09.05.2019 – 1 K 760/18.MZ) in einem Verfahren, in dem die Datenschutzbehörde von dem Betreiber eines Tanzlokals Auskunft in Form eines Fragenkataloges, der insgesamt 16 Fragen umfasste, insbesondere hinsichtlich des Umfangs der eingesetzten Videoüberwachungstechnik, begehrte. Das Verwaltungsgericht sah den diesbezüglich erlassenen Verwaltungsakt der Behörde als rechtmäßig an. Das Verwaltungsgericht verwies hierzu u.a. auf die Untersuchungsbefugnisse der Behörden nach Art. 58 DSGVO und die Aufgabe nach Art. 57 Abs. 1 lit. a DSGVO, die Anwendung der DSGVO zu überwachen und durchzusetzen. Auf Art. 57 Abs. 1 lit. a DSGVO verweist auch hier die LfDI Bremen in den Erläuterungen.
Sollte es sich hier um einen Verwaltungsakt handeln, bestehen für die Unternehmen natürlich auch die gesetzlich vorgeschriebenen Rechtschutzmöglichkeiten.