standard-datenschutzmodell datenschutz-folgenabschätzung datenübermittlung ausland prüfung dsms datenschutzmanagementsystem dsfa zertifizierung forschung zweckänderung prüfung fragebogen

Erste Datenschutz-Prüfungen nach DSGVO durch die Aufsichtsbehörden

/von

Etwas mehr als zwei Monate ist es her, dass die DSGVO wirksam geworden ist. Die Unsicherheiten hinsichtlich der verordnungskonformen Umsetzung der Vorgaben der DSGVO sind größtenteils geblieben. Insofern ist es interessant, zu erfahren, wie Prüfungen der Aufsichtsbehörden aussehen können.

Einen ersten diesbezüglichen Hinweis auf die Prüfungspraxis hat kürzlich die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) gegeben. Das LfD hat nämlich an 50 Unternehmen unterschiedlicher Größe einen Fragebogen versandt, den die Unternehmen zu beantwortet zurückzusenden haben.

Drohen bereits Bußgelder?

Laut der Aufsichtsbehörde ist es nicht das vorrangige Ziel der Aktion, „möglichst viele Fehler zu finden und Bußgelder zu verhängen“. Vielmehr soll durch den Fragebogen aufgeklärt und sensibilisiert werden (Pressemitteilung des LfD). Die Ergebnisse sollen genutzt werden um den Unternehmen „wertvolle Hinweise“ geben zu können. Allerdings teilt die Behörde auf Ihrem Internetauftritt auch mit, dass es natürlich zu einem entsprechenden Verfahren kommen kann, wenn während der Prüfung Verstöße gegen die DSGVO festgestellt werden.

Insofern erscheint es so, dass sich direkt die erste Frage des Fragebogens inhaltlich irgendwo zwischen Fangfrage und Unsinnigkeit bewegt. Und zwar soll hier, sofern noch nicht alle Maßnahmen vollständig umgesetzt wurden, der jeweilige Umsetzungsstatus erläutert werden.

Diese Formulierung hat insofern den Anschein eine Fangfrage zu sein, da der Verantwortliche, je genauer er seine Defizite „erläutert“, eine umso bessere Vorlage und Begründung für die Verhängung eines Bußgeldes gibt. Unsinnig oder zumindest nicht zielführend ist die Frage insoweit, als die Gefahr besteht, dass jeder Verantwortliche, um sich nicht selbst zu belasten und um die Gefahr von Bußgelder zu minimieren, eine 100-prozentige Umsetzung angeben wird. Die zurückgemeldeten Informationen werden der Behörde als eventuell wenig Aufschluss darüber geben, wie weit die Umsetzung der DSGVO tatsächlich bereits fortgeschritten ist oder in welchen Themenbereichen noch besonderer Beratungsbedarf besteht.

Was sind die abgefragten Schwerpunkte?

Die im Fragebogen enthaltenen Fragen decken die typischen Schwerpunkte der DSGVO ab. Insbesondere wird Wert auf diejenigen Themen gelegt, bei denen es signifikante Änderungen zur bisherigen gesetzlichen Regelung vor dem 25.05.2018 gegeben hat und die daher in den Unternehmen zu einem Umsetzungsbedarf geführt haben. Hierbei handelt es sich insbesondere:

  • das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO),
  • Sicherstellung der Betroffenenrechte,
  • Einsatz angemessener technischen und organisatorischen Maßnahmen,
  • Durchführung der Datenschutz-Folgenabschätzung (Art. 35 DSGVO),
  • Auftragsverarbeitung (Art. 28 DSGVO),
  • Benennung und Fachkunde des Datenschutzbeauftragten
  • Sicherstellung der Erfüllung der Meldepflichten (Art. 33 DSGVO),
  • Erfüllung der Dokumentations- und Nachweispflichten

Welche Unternehmen wurden befragt?

Welche Unternehmen genau befragt wurden, hat die Behörde nicht veröffentlicht. Es wird aber mitgeteilt, dass es sich zunächst um 20 große und 30 mittelgroße Unternehmen aus verschiedenen Branchen handelt. Bis November 2018 sollen die Antworten ausgewertet werden und bei ausgewählten Unternehmen sollen anschließend Vor-Ort-Termine stattfinden. Der Abschlussbericht soll dann im Mai 2019 vorliegen.

Fazit

Wer sich rechtzeitig mit der Umsetzung der Vorgaben der DSGVO befasst hat, wird keine größeren Probleme bei der Beantwortung der Fragen haben. Gerade im Hinblick auf die drohenden Bußgelder ist es sicher zu empfehlen, noch fehlende Maßnahmen kurzfristig umzusetzen und den Fragebogen dann erst nach Umsetzung an die Behörden zu senden. Fristen zur Beantwortung sollten selbstverständlich eingehalten werden. Unternehmen, die durch uns als Datenschutzbeauftragte betreut werden, haben bereits Anfang 2017 umfangreiche Handlungsempfehlungen erhalten, in denen alle Punkte des jetzt versandten Fragebogens enthalten waren. Gemeinsam wurden die Vorgaben der DSGVO in verschiedenen Projekten umgesetzt.

Haben Sie noch Umsetzungsbedarf hinsichtlich der Vorgaben der DSGVO? Gerne unterstützen wie Sie bei allen Maßnahmen, die notwendig sind um die DSGVO verordnungskonform umzusetzen.

Das könnte Sie auch interessieren
meldung datenschutzbeauftragter aufsichtsbehördeDatenschutzbeauftragten bei Behörde richtig anmelden
privacy shield safe harbor usa übermittlung ausland drittländer drittstaat binding corporate rules bcr angemessenheitsbeschluss japanSafe Harbor: Hamburger Aufsichtsbehörde wird aktiv
ds-gvo adv auftragsverarbeitung backups löschenAuftragsdatenverarbeitung unter der DSGVO im Vergleich zum BDSG
aufsichtsbehörden dsk datenschutzkonferenz entschließung göttinger erklärung kündigungsschutz datenschutzbeauftragter verzeichnis verarbeitungstätigkeiten vvt vertrag 61bStartet nun die prophezeite DSGVO Bußgeldwelle?
datenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigert verschlüsselungDatenverarbeitung zu Werbezwecken unter der DSGVO
standard-datenschutzmodell datenschutz-folgenabschätzung datenübermittlung ausland prüfung dsms datenschutzmanagementsystem dsfa zertifizierung forschung zweckänderung prüfung fragebogenDatenschutz-Folgenabschätzung und Standard-Datenschutzmodell
Fotos von Personen nach der DSGVO nur noch mit Einwilligung?ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvobestandsaufnahme datenschutz anonymes tracking einwilligung überprüfung tom cookies einwilligungDas Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der TOM