Die Datenschutzaufsichtsbehörden der Bundesländer prüfen schon seit Jahren die Umsetzung des Datenschutzes gemäß Bundesdatenschutzgesetz (BDSG) in Unternehmen. Mit der europäischen Datenschutz-Grundverordnung (DSGVO) dürften diese Prüfungen häufiger und umfassender werden. Ein wesentlicher Grund dafür sind die deutlich umfangreicheren Dokumentationspflichten. Weil unter der DSGVO empfindliche Bußgelder für Datenschutzverstöße drohen, sind Unternehmen gut beraten, genau zu wissen, wie die Aufsichtsbehörden vorgehen. Die jeweils aktuellen Prüfungen finden Sie in diesem Artikel.

DSGVO-Umsetzung in Niedersachsen (Juni 2018)

Die Landesbeauftragte für den Datenschutz Niedersachsen prüft als eine der ersten Datenschutzaufsichtsbehörden die Umsetzung der DSGVO in Unternehmen. In einer branchenübergreifenden Querschnittsprüfung sollen 50 Unternehmen zu je zehn Bereichen des Datenschutzes Stellung beziehen.

Im Fokus der Prüfung stehen 20 große und 30 mittelgroße Unternehmen. Es gehe explizit nicht um kleine Handwerksbetriebe oder ähnliches, teilte die Aufsichtsbehörde in ihrer Pressemitteilung mit. Man wolle zum einen prüfen, ob es bei den verantwortlichen Stellen Nachholbedarf gäbe. Zum anderen ginge es auch darum, das Bewusstsein für Datenschutz und die neuen DSGVO-Vorschriften zu stärken. Die Suche nach Fehlern und das Verhängen von Bußgeldern seien zum jetzigen Zeitpunkt nicht vorrangig.

Nach Auswertung der versandten Fragebögen sollten vereinzelt auch Vorort-Überprüfungen bei Unternehmen stattfinden, so die Landesbeauftragte für den Datenschutz in Niedersachsen, Barbara Thiel. Insgesamt erhoffe sie zu ermitteln, wo die Aufsichtsbehörde in Zukunft vermehrt aufklären und beraten müsse.

Welche Fragen stellt die Aufsichtsbehörde?

Der Fragenkatalog der niedersächsischen Datenschutzaufsichtsbehörde (hier als PDF verfügbar) vermittelt einen ersten Eindruck, wie umfangreich Prüfungen zukünftig ausfallen könnten. Folgende Themen werden abgefragt:

  1. Wie erfolgte die Vorbereitung auf die DSGVO?
  2. Wie wurde das Verzeichnis von Verarbeitungstätigkeiten erstellt? Wie wird es aktualisiert?
  3. Auf Basis welcher Rechtsgrundlagen werden Daten verarbeitet?
  4. Mittels welcher Prozesse werden Betroffenenrechte gewahrt?
  5. Mit welchen technischen und organisatorischen Maßnahmen (TOM) werden Daten geschützt und wie werden diese TOM aktualisiert?
  6. In welchem Umfang geschieht eine Datenschutz-Folgenabschätzung?
  7. Welche Verträge werden bei der Auftragsverarbeitung eingesetzt?
  8. Wie wird der Datenschutzbeauftragte eingesetzt?
  9. Auf welche Art und Weise wird den Meldepflichten gegenüber der Aufsichtsbehörde nachgekommen?
  10. Wie können die vorgenannten Punkte nachgewiesen werden?

Fachliche Einschätzung der Datenschutzprüfung

Die Aufsichtsbehörde Niedersachsens begnügt sich in ihrem Fragebogen nicht mit einfachen Aussagen. Stattdessen haben geprüfte Unternehmen ihren Antworten Muster und Beispiele beizufügen, damit die tatsächliche Umsetzung des Datenschutzes geprüft werden kann. Hier gilt es, gut vorbereitet zu sein.

Zudem ist zumindest kritisch zu hinterfragen, ob es tatsächlich bei einer solch gutwilligen Haltung der Aufsichtsbehörde bleibt. Denn Art. 83 DSGVO sieht explizit eine Pflicht zur Ahndung von Datenschutzverstößen vor. Handlungsspielraum haben die Aufsichtsbehörden lediglich bei der Höhe der Bußgelder.

Darüber hinaus sollten Unternehmen, bei denen die Prüfung zu Beanstandungen führt, diese Mängel umgehend beheben. Denn selbst wenn derzeit noch keine Bußgelder verhängt werden bzw. würden, sind einmal bekannt gewordene Defizite ein guter Grund für die Datenschutzaufsichtsbehörde, bald wieder vorstellig zu werden.

Bitte bewerten Sie diese Inhalte!
[7 Bewertung(en)/ratings]

Umsetzungsstand DSGVO (Bayern - Mai 2017

Ab 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung (DSGVO) unmittelbar anwendbar. Damit ist seit Inkrafttreten der neuen europäischen Datenschutz-Vorschriften genau die Hälfte der Zeit zur Umsetzung verstrichen. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) nutzt diesen Anlass, um 150 zufällig ausgewählte Unternehmen zu überprüfen. Inhalt der Kontrolle via Fragebogen ist der Stand der Umsetzung der DSGVO im Unternehmen.

Ziel des BayLDA ist es, den Unternehmen in Bayern bereits jetzt ein Gefühl darüber zu vermitteln, wie sich ab Mai 2018 die verstärkten Prüfaktivitäten gestalten. Denn zwar bleiben viele Prinzipien des Datenschutzrechts vergleichbar mit dem noch geltenden Bundesdatenschutzgesetz (BDSG). Bei der konkreten Umsetzung ergeben sich jedoch maßgebliche Änderungen; insbesondere umfassendere Rechenschaftspflichten schlagen hier zu Buche.

Damit nicht nur die überprüften Unternehmen wissen, wie sich Datenschutz-Kontrollen unter der DSGVO (zumindest in Bayern) gestalten, hat das BayLDA den Prüffragebogen als PDF veröffentlicht.

Grenzüberschreitenden Datenübermittlung (bundesweit - November 2016

Die Datenschutz-Aufsichtsbehörden von zehn Bundesländern prüfen seit November 2016 in einer koordinierten Aktion deutschlandweit 500 Unternehmen im Bereich der grenzüberschreitenden Datenübermittlung. Die Kontrolle erfolgt vorerst durch einen detaillierten Fragebogen. Je nach Ergebnis ist mit Folgemaßnahmen zu rechnen.

Durch die zunehmende Nutzung von Cloud-Computing und Software-as-a-Service (SaaS) in Unternehmen, aber auch durch die Auslagerung von Management- oder IT-Prozessen, werden immer häufiger personenbezogene Daten (etwa von Kunden oder Mitarbeitern) ins Nicht-EU-Ausland transferiert, weil die Server der jeweiligen Anbieter z. B. in den USA stehen. Vor dem Transfer der Daten muss vom Unternehmen sichergestellt werden, dass die Daten im Empfängerland ausreichend geschützt sind. Andernfalls hat die Übermittlung zu unterbleiben.

Die bisherige Erfahrung der Datenschutzaufsichtsbehörden zeige, dass sich Unternehmen bei Nutzung solcher Produkte nicht immer der Tatsache bewusst sind, dass daraus datenschutzrechtliche Konsequenzen resultieren. Die aktuelle Überprüfung habe deshalb den Zweck, Unternehmen für diese Herausforderung zu sensibilisieren, so das Bayerische Landesamt für Datenschutzaufsicht in seiner betreffenden Pressemitteilung (PDF).

Wo prüfen die Aufsichtsbehörden welche Unternehmen?

Die aktuelle Überprüfung wird koordiniert von den Datenschutz-Aufsichtsbehörden in den Bundesländern Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt angegangen. Im Rahmen der Prüfung werden rund 500 Unternehmen angeschrieben, die nach dem Zufallsprinzip ausgewählt wurden. Es wurde Wert daraufgelegt, Unternehmen unterschiedlicher Größenordnungen und verschiedener Branchen einzubeziehen.

Was wird überprüft?

Betroffene Unternehmen erhalten einen „Fragebogen zur Prüfung des internationalen Datenverkehrs“ (beim BayLDA als Download verfügbar). Gefragt wird zum Beispiel nach der Inanspruchnahme externer Leistungen und Produkte in Bereichen wie Fernwartung, Support, Ticketing-Bearbeitung, aber auch Customer-Relationship-Management oder Bewerbermanagement. Die Unternehmen werden dann aufgefordert, die entsprechenden von ihnen genutzten Dienstleistungen und Produkte konkret zu nennen.

Sofern personenbezogene Daten in Nicht-EU-Staaten übermittelt werden, sind die kontrollierten Unternehmen darüber hinaus aufgefordert anzugeben, auf welcher datenschutzrechtlichen Grundlage die Übermittlungen erfolgen. Mitgeteilt werden muss bspw., ob für das Zielland durch Beschluss der Europäischen Kommission ein angemessenes Datenschutzniveau anerkannt ist (dazu zählt auch das EU-U.S. Privacy Shield), ob Standardvertragsklauseln als Grundlage verwendet werden, ob die Übermittlungen auf Einwilligungen der Betroffenen gestützt werden und ob der Datenschutzbeauftragte des Unternehmens entsprechend konsultiert wurde.

Datenschutzrechtliche Einschätzung

Anzumerken ist, dass die aktuelle Prüfung der Aufsichtsbehörden sich vorwiegend auf den letzten zu klärenden Bereich beim Datentransfer in Drittstaaten bezieht. Denn die angemessene Datensicherheit am Empfängerort zu gewährleisten, ist längst nicht das einzige, was Unternehmen tun müssen.

Voraussetzung für einen zulässigen Drittstaatentransfer ist, dass für diesen an sich eine belastbare Rechtsgrundlage vorliegt und die gegebenenfalls notwendigen Formalien (etwa der Abschluss von Vereinbarungen zur Auftragsdatenverarbeitung) beachtet werden. Sind diese Voraussetzungen nicht erfüllt, ist die Datenübermittlung allein dadurch rechtswidrig. Diese Vorbedingungen werden im Fragebogen der Aufsichtsbehörden nur angedeutet.

0 Kommentare

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.