Datenschutz

DSGVO-Fragenkatalog – Landesbeauftragte für Datenschutz prüft Umsetzung in Unternehmen

Die niedersächsische Landesbeauftragte für Datenschutz fordert derzeit 50 Unternehmen unterschiedlicher Größe per branchenübergreifenden Querschnittsprüfung dazu auf, genaue Auskunft über die Umsetzung der DSGVO zu geben. Die Einleitung von Bußgeldverfahren sei zwar nicht das vordergründige Ziel der Befragung, dennoch bleibt die Verhängung von Bußgeldern möglich.

Screenshot Pressemitteilung der LfD Niedrsachsen

Die Landesbeauftragte für Datenschutz in Niedersachsen (LfD), Frau Barbara Thiel, prüft derzeit die Umsetzung der am 25. Mai 2018 wirksam gewordenen Datenschutz-Grundverordnung (DSGVO). In einem an 50 niedersächsische Unternehmen (davon 20 große und 30 mittelgroße Unternehmen) gerichteten Fragebogen, welche ihren Hauptsitz in Niedersachsen haben, sollen allgemeine Informationen über die Vorbereitung auf die DSGVO eingeholt werden. Kleinere Unternehmen sind nicht betroffen. „Wir werden nicht den kleinen Handwerksbetrieb oder Bäcker an der Ecke prüfen“, so Barbara Thiel. Eine vollständige Prüfung einzelner Branchen sei momentan nicht geplant. Die Fragebögen werden seit Ende Juni versendet.

DSGVO-Prüfung kann zu Bußgeldern führen

Bei betroffenen Unternehmen, die bereits angeschrieben wurden bzw. noch angeschrieben werden, dürfte dies jedoch zu hektischer Betriebsamkeit führen. Vor allem bei den Unternehmen, die die zweijährige Übergangsfrist zur Umsetzung der DSGVO nicht genutzt haben.

Denn mit Hilfe des an die jeweiligen Unternehmen versendeten Erhebungsfragebogens, welcher 10 Punkte beinhaltet, möchte die Behörde herausfinden, wie gut die Wirtschaft des Landes die neuen Regeln der Datenschutz-Grundverordnung (DSGVO) umgesetzt hat.

Hauptanliegen Thiels ist es dabei zu identifizieren, ob es bei den verantwortlichen Stellen noch Nachholbedarf gibt. Außerdem möchte sie mit dieser Prüfung das Bewusstsein für Datenschutz im Allgemeinen und die Vorschriften der DSGVO im Speziellen stärken. Es geht zum jetzigen Zeitpunkt also nicht vorrangig darum, möglichst viele Fehler zu finden und Bußgelder zu verhängen. Stattdessen möchte die Landesbeauftragte für Datenschutz aufklären, sensibilisieren und wertvolle Hinweise geben. Dennoch betont sie, dass es natürlich dennoch zu einem entsprechenden Verfahren kommen kann, wenn während der Prüfung Verstöße gegen die DSGVO festgestellt werden.

Konkret fordert Thiel von den betroffenen Unternehmern die Beantwortung der folgenden 10 Punkte:

 Fragenkatalog Querschnittsprüfung DSGVO

  1. Vorbereitung auf die DS-GVO

Wie haben Sie sich als Unternehmen auf die DS-GVO vorbereitet?

Schildern Sie (kurz) die Vorgehensweise, welche Bereiche involviert waren und welche Maßnahmen initiiert wurden. Sofern noch nicht alle Maßnahmen vollständig umgesetzt wurden, erläutern Sie bitte auch den Umsetzungsstatus.

  1. Verzeichnis von Verarbeitungstätigkeiten

Wie haben Sie sichergestellt, dass alle Ihre Geschäftsabläufe, bei denen personenbezogene Daten verarbeitet werden, in ein Verzeichnis von Verarbeitungstätigkeiten aufgenommen wurden? Wie stellen Sie dessen Aktualität sicher? Legen Sie bitte eine Übersicht Ihrer dokumentierten Verfahren sowie ein Beispielverfahren als Muster bei.

  1. Zulässigkeit der Verarbeitung

Auf Basis welcher Rechtsgrundlagen verarbeiten Sie personenbezogene Daten? Sofern Sie auch auf Basis von Einwilligungen personenbezogene Daten verarbeiten, legen Sie bitte Ihre verwendeten Muster bei.

  1. Betroffenenrechte

Wie stellen Sie die Einhaltung der Betroffenenrechte (auf Information, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit) sicher? Skizzieren Sie Ihre diesbezüglichen Prozesse und gehen Sie insbesondere detailliert darauf ein, wie Sie Ihren Informationspflichten nachkommen. Vorhandene Musterinformationen fügen Sie bitte bei.

  1. technischer Datenschutz

a. Wie stellen Sie sicher, dass Ihre technischen und organisatorischen Maßnahmen bzw. die Ihrer Dienstleister ein dem Verarbeitungsrisiko angemessenes Schutzniveau gewährleisten

b. Wie stellen Sie sicher, dass Ihre technischen und organisatorischen Maßnahmen an den jeweiligen Stand der Technik angepasst werden?

c. Wie stellen Sie sicher, dass Sie für die von Ihnen aktuell oder zukünftig eingesetzten IT-Anwendungen ein dokumentiertes datenschutzkonformes Rollen- und Berechtigungskonzept haben

d. Wie stellen Sie sicher, dass bei der Änderung oder Neuentwicklung von Produkten oder Dienstleistungen Datenschutzanforderungen von Anfang an mit berücksichtigt werden (Privacy by Design und by Default)?

6. Datenschutz-Folgenabschätzung

a. Wie stellen Sie sicher, dass Verarbeitungen mit einem voraussichtlich hohen Risiko für die Rechte und Freiheiten der Betroffenen erkannt und für diese eine Datenschutz-Folgenabschätzung durchgeführt wird?

b. Haben Sie in Ihrem Unternehmen Verarbeitungen mit einem voraussichtlich hohen Risiko für die Rechte und Freiheiten der Betroffenen identifiziert? Welche?

Fügen Sie bitte die jeweilige Dokumentation zur Datenschutz-Folgenabschätzung bei.

  1. Auftragsverarbeitung

Haben Sie Ihre bestehenden Verträge mit Auftragsverarbeitern an die neuen Regelungen der DS-GVO angepasst? Sofern Sie Musterverträge verwenden, fügen Sie diese bitte bei, darüber hinaus fügen Sie bitte einen aktuellen Beispielvertrag mit einem Ihrer Auftragsverarbeiter bei.

  1. Datenschutzbeauftragter

Wie ist Ihr Datenschutzbeauftragter in Ihre Organisation eingebunden? Welche Fachkundenachweise hat er?

  1. Meldepflichten

Wie stellen Sie sicher, dass Ihr Unternehmen Datenschutzverstöße fristgemäß an die Aufsichtsbehörde meldet? Skizzieren Sie Ihre diesbezüglichen Prozesse.

  1. Dokumentation

Wie können Sie die Einhaltung aller vorstehend in Ziff. 2 – 9 genannten Pflichten nachweisen?

Hier können sie den Fragebogen als PDF herunterladen

Unternehmen stehen unter Handlungsdruck

Bis zum November sollen die Antworten ausgewertet und anschließend bei ausgewählten Unternehmen Vor-Ort-Termine wahrgenommen werden. Der Abschlussbericht der Querschnittsprüfung soll dann im Mai 2019 vorliegen.

Die Landesbeauftragte erhofft sich von dieser bisher größten Prüfung seit Bestehen der Aufsichtsbehörde auch Hinweise für ihre zukünftige Arbeit. So könnten sich zum Beispiel Schwerpunktprüfungen in bestimmten Branchen anschließen. Außerdem erwartet die Behörde Anhaltspunkte dafür, wo noch besonders viel Beratungs- und Aufklärungsbedarf besteht. Als Konsequenz daraus könnten beispielsweise neue Orientierungshilfen erarbeitet werden.

Die geforderten detailgenauen Angaben dürften nun zahlreiche betroffene Unternehmen unter enormen Handlungsdruck setzen. Denn für die detaillierte Aufarbeitung und Auflistung wird datenschutzrechtliches Know-how benötigt und verschlingt zudem Zeit und Arbeitskraft.

Besonders schwierig wird es für die Unternehmen, die die DSGVO und ihre Anforderungen noch nicht umgesetzt haben. Da auch eine Verfahrensübersicht angefordert wird, ist es für die Behörde leicht nachzuvollziehen, ob eine DSGVO-konforme Umsetzung zum 25. Mai erfolgt ist, oder später.

Fazit

Die Ankündigung der Prüfung und die Offenlegung der zu erwartenden Prüfpunkte werden zur erneuten Fokussierung auf die Umsetzung des Datenschutzes im Unternehmen beitragen.

Die Prüfung ist ernst zu nehmen und die Gefahr von ersten Bußgeldverfahren steht ohne Zweifel im Raum. Auch ist die Ankündigung in einem äußerst knapp bemessenen Zeitraum gesetzt, womit die von einer Prüfung betroffenen Unternehmen ohne fachlich kompetente Hilfe nicht mehr effektiv nachbessern können.

Daher erachten wir es als sinnvoll und erforderlich, sich bei der Beantwortung von Behördenanfragen zum Datenschutz rechtlichen Rat einzuholen, statt voreilig und überstürzt zu antworten.

Sie benötigen Hilfe? Unser Expertenteam unterstützt Sie gerne

Unser erfahrenes Expertenteam um Rechtsanwalt Christian Solmecke, Rechtsanwalt Hubertus Jencquel und Rechtsanwalt Björn Schneider unterstützt sie dabei und steht Ihnen gerne Rede und Antwort.

Rufen Sie uns unter der Rufnummer 0221 / 9688 8120 41 (kostenfreie Erstberatung bundesweit) an, schreiben uns eine E-Mail an info@wbs-law.de oder nutzen unser unten stehendes Kontaktformular.

Über unser Leistungsspektrum im Datenschutz informieren wir Sie umfassend unter: Datenschutzrecht

tsp


Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (6 Bewertungen, Durchschnitt: 5,00 von 5)

RSSKommentare (2)

Kommentar schreiben

  1. Leser sagt:

    Allein, wenn man sich schon die Fragen durchliest. Das sind so unkonkret und wohl bewusst schwammig formuliert, dass man geneigt ist, keine davon ohne Rechtsanwalt zu beantworten. Scheinbar wissen die Geldeintreiber der Datenschutzbehörde selbst nicht genau, was sie abfragen sollen.

    Frage ist, ob man denn überhaupt verpflichtet ist, hier anlasslos und ins Blaue hinein gestellte „Befragungen“ zu beantworten.

  2. Jörg Preuß sagt:

    Wer war im Wilden Westen so unbelliebt wie ein Kaktus am Nacktbadestrand?? Richtig, der Kopfgeldjäger. Heute nennt man sie wohl „Abmahnanwälte DSGVO“ oder so. Und wenn ich da so an kleine oder mittlere Sportvereine denke … die ehrenamtlichen Desperados stehen mit zitternden Knien oder grenzenlos datenschutzresistent ihrer Meinung nach schutzlos vor der Sintflut namens DSGVO … Und wenn man sich jetzt auch noch die Fragebogenaktion der Aufsichtsbehörde in Niedersachsen anschaut … das erinnert mich dann schon an die Volkszählung 1983 … also da, wo der Datenschutz aus der Wiege ehoben wurde … dieses mal nur anders, oder so. Also pro Datenschutz, oder was? Und das Ergebnis? Irgendwie kann keiner mehr das Wort „Datenschutz“ hören … in vielen Unternehmen liegen die Nerven blank. Und jeder fragt sich, ob das alles dem Datenschutz an sich dient? Spannende Frage, allein wenn man daran denkt, dass z.B. keiner mehr weiß, wie er im Bermudadteieck moderne Welt und Technik (z.B. Internet), Kundenerwartung (Quick and dirty) und Datenschutz mit Bildern im Internet umzugehen hat (Anm.: Hallo deutscher Gesetzgeber, aufwachen!) … Hier muss viel schief gegangen sein, wenn ausgerechnet diejenigen, deren Rechte gestärkt wurden, das Wort Datenschutz als gesetzlich verordnetes Brechmittel warnehmen Warum wurden z.B. Dachverbände scheinbar nicht rechtzeitig in der Art einbezogen, dass im Vorwege Problemlösungen (zum Beispiel sachgerechte Muster) erarbeite werden konnten? Und hoffentlich treffen diese neuen Verbraucherrechte nun auch die Datenkraken, die eigentlich gezämt werden sollten … kriegen die auch Fragebögen zugestellt? … Bleibt nur zu hoffen, dass sich alles zum Positiven wandelt … ich bin Datenschutzbeauftragter und bin deshalb derzeit ein potentielles AGG Opfer im Betrieb … nein, ich habe keine Krankheit, wenngleich Datenschutz durchaus ansteckend sein sollte. … Ach ja, jetzt muss ich ja noch die Datenschutzbestimmungen lesen, sonst ist jedes Absenden dieser Posse ja … was das wieder dauert… oh man…

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.