aufsichtsbehörde prüft rechtsgrundlage öffentliches interesse öffentliche gewalt hoheitliche aufgabe 6 1 e dsgvo tom passwörter bsi risikoanalyse zawas

DSGVO Datenschutzprüfung in Bayern und Niedersachen

/von

Knapp über 170 Tage ist es nun her, seitdem die DSGVO nach einer zweijährigen Übergangfrist „scharf geschaltet“ wurde. Doch wie weit ist der allgemeine Umsetzungsstand der Anforderungen der DSGVO in den Unternehmen? Bisher lässt sich dies nur erahnen. Nach einem turbulenten Start in das Jahr 2018 mit dem Hot Topic „DSSVO“ lässt sich vermuten, dass ein Großteil der Unternehmen erst mit Zunahme der Medienpräsenz begonnen hat, sich mit dieser Thematik auseinanderzusetzen.

Niedersachsen wird aktiv

Dies ist auch der Landesdatenschutzbeauftragten Niedersachen Barbara Thiel bewusst, weshalb diese nun 150 niedersächsischen Kommunen einen Fragenkatalog zugesandt hat. Ziel dieses Fragebogens ist, Lücken und Herausforderungen der Umsetzung der DSGVO zu identifizieren. Darüber hinaus soll das Bewusstsein der Verantwortlichen für Datenschutz geschärft werden. Diese Art der Befragung ist bereits die zweite Prüfung nach DSGVO in Niedersachen. Bereits im Juni dieses Jahrs wurden 50 mittelgroße und große niedersächsische Unternehmen angeschrieben. Die Ergebnisse wurden bislang noch nicht veröffentlich und werden voraussichtlich noch bis Mai 2019 auf sich warten lassen

Kommunen – warum?

Aber wieso ist nun die Zielgruppe Kommunen? „Gerade öffentliche Bereiche sollen mit gutem Beispiel voran gehen, wenn es um die Einhaltung des Datenschutzes geht“ So Thiel.

In Bayern tut sich auch was

Auch das Bayrische Landesamt für Datenschutz hat am 6. November 2018 begonnen Datenschutzprüfung in Form eines Fragebogens zum Umsetzungstand der Anforderungen der DSGVO bei kleinen und mittelständischen Unternehmen durchzuführen. Alles Weitre dazu in diesem Artikel.

Vor-Ort-Kontrollen geplant

Interessant ist, dass im Rahmen der Prüfung unter anderem auch 5-15 Vor-Ort- Kontrollen durch Prüfer vorgenommen werden sollen. Das heißt, man plant bis zu 100% der angeschriebenen Unternehmen auch „zu besuchen“. Uns stellt sich die Frage, warum? Geht man davon aus, dass der Umsetzungsstand in den Unternehmen so schlecht ist, dass es notwendig sein wird, alle angeschriebenen Unternehmen auch vor Ort zu kontrollieren? Dass die Auslastung in der Behörde aufgrund plötzlich fehlender Anfragen so stark gesunken ist, dass man andere Wege der Beschäftigung sucht, können wir uns jedenfalls nicht vorstellen.

Was sind die Inhalte der Fragenkataloge?

Der Fragenkatalog der Niedersachen listet allgemeine Fragen zu den umzusetzenden Anforderungen der DSGVO. Es handelt sich um insgesamt 35 Fragen, welche in 4 Cluster aufgeteilt sind:

  • Organisation
  • Datenschutzkonforme Verarbeitung
  • Umgang mit Betroffenenrechte
  • Umgang mit Datenschutzverletzung

Teilweise sind die Fragen mit ja oder nein aber auch teilweise mit mehr Angaben zu beantworten. Zum Beispiel werden Fragen zum Verzeichnis von Verarbeitungstätigkeiten gestellt. Dies sind im Detail Fragen zu der Anzahl der Verarbeitungen, den Umsetzungstand und die Form der Dokumentation. Hinzu kommt abschließend noch die Frage, ob Schwierigkeiten beim Erstellen aufgetreten sind. Letztere kann sicher mehrfach mit ja beantwortet werden.

Es war (und ist) schwierig…

Aber wieso stehen viele Unternehmen vor Problemen der Befüllung der Verzeichnisse der Verarbeitung? Wurden im Vorfeld zu wenig Informationen und Hilfestellung hierzu bekannt gegeben? Die Auswertung der ausgefüllten Fragebögen findet Anfang 2019 statt. Eine erste gesammelte Auswertung der Erkenntnisse soll dann im Frühjahr 2019 folgen. Den Link zum Fragebogenkatalog finden sie hier : Fragenkatalog für niedersächsische Kommunen

Der Fragebogen des Bayrischen Landesamt für Datenschutz hingegen umfasst nur 20 Fragen jedoch mit ähnlichem inhaltlichem Fokus. Den Link zum Fragebogenkatalog finden sie hier: Fragebogen KMU Bayern

Prüfen Sie doch einmal selbst mit den Fragebögen, wie Sie aktuell aufgestellt sind. Gerne unterstützen wir Sie auch!


Diesen Beitrag teilen

Das könnte Dich auch interessieren
arztpraxis aufruf anonym name betroffenenrecht auskunft 15 ds-gvo einschränkung der verarbeitung sperrung 18 dsgvo schadensersatzFallstricke bei der Auskunft nach Art. 15 DS-GVO
auftragsverarbeitung vertrag informationspflichten ausnahmenWann gelten die Ausnahmen für die Informationspflichten?
vorabkontrolle videoüberwachung beweismittel bundesarbeitsgericht bag 4 bdsg europarechtswidrig bundesarbeitsgericht bag lag landesarbeitsgericht verwertungsverbotVideoüberwachung im Unternehmen und Datenschutz
vorabkontrolle videoüberwachung beweismittel bundesarbeitsgericht bag 4 bdsg europarechtswidrig bundesarbeitsgericht bag lag landesarbeitsgericht verwertungsverbotBundesarbeitsgericht lässt alte Videoaufzeichnungen als Beweismittel zu
ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvoActive Sourcing und Datenschutz
privacy shield safe harbor usa übermittlung ausland drittländer drittstaat binding corporate rules bcr angemessenheitsbeschluss japanPrivacy Shield – Abkommen zur Datenübermittlung in Kraft getreten