Menu
Site Selector

Wie prüfen die Aufsichtsbehörden den Datenschutz?

23Jan

Inzwischen liegen die ersten Bekanntmachungen und Checklisten vor, wie die deutschen Aufsichtsbehörden DSGVO-Prüfungen vornehmen. Diese bieten gute Anhaltspunkte dazu, welche Punkte Sie in Ihrem Unternehmen in den Fokus rücken sollten.

Eine Frage, die uns regelmäßig gestellt wird. Hier kurz ein paar Infos dazu: Die Behörden sind befugt, Datenschutzüberprüfungen durchzuführen und von den Verantwortlichen die Bereitstellung von Informationen zu fordern, die sie zu Prüfungszwecken benötigen. Von diesen Befugnissen haben die ersten Behörden der Länder Bayern, Berlin und Niedersachsen Gebrauch gemacht und es ist davon auszugehen, dass auch die übrigen Behörden 2019 ihre Prüfungen starten. In all diesen Prüfungen fanden sich grundsätzlich die gleichen Themen wieder:

Verzeichnis von Verarbeitungstätigkeiten

Hier reichten die Prüfungen von der bloßen Frage, ob ein solches Verzeichnis angelegt wurde und wie viele Prozesse das Verfahren enthält, bis zur Forderung der Herausgabe einer Übersicht über die Verfahren und eines Musterbeispiels.

Zulässigkeit der Verarbeitung

Bei der Frage nach den Rechtsgrundlagen für die Verarbeitung legen die Behörden besonderen Wert auf jene Grundlagen, die Fleiß beim Verantwortlichen voraussetzen, sprich nicht automatisch - wie beispielsweise ein Vertrag - vorliegen. Insofern wurden Muster von Einwilligungen und dokumentierte Interessenabwägungen beim berechtigten Interesse gefordert.

Betroffenenrechte

Neben den Mustern der Pflichtinformationen wird hier eine Beschreibung der Prozesse über den Umgang mit Betroffenenrechten gefordert und wie deren Einhaltung und rechtzeitige Beantwortung sichergestellt wird.

Technische und organisatorische (Sicherungs)maßnahmen (sogenannte TOMs)

Zu den technischen und organisatorischen Sicherungsmaßnahmen wird entweder eine Übersicht dieser verlangt oder die Fragen beziehen sich auf den Umgang mit den Sicherungsmaßnahmen in Bezug auf Sicherstellung deren Aktualität oder Angemessenheit. Die Aufsichtsbehörde des Landes Niedersachsen stellte auch Fragen zu einzelnen Sicherungsmaßnahmen (z.B. Berechtigungskonzept und Privacy by Design und Default).

Datenschutz-Folgenabschätzung

In Bezug auf die Datenschutz-Folgenabschätzung wollten die Behörden wissen, ob Verarbeitungen mit hohem Risiko für die Rechte und Freiheiten der Betroffenen identifiziert wurden und wenn ja, welche dies sind. Die dokumentierten Abschätzungen sind dann auch zu übermitteln.

Auftragsverarbeitung

Hier wollten die Behörden wissen, ob bereits Verträge mit Auftragsverarbeitern an die DSGVO angepasst wurden und auch die Übersendung einer Mustervereinbarung wurde gefordert.

Datenschutzbeauftragter

Neben der Frage, ob ein Datenschutzbeauftragter bestellt und der zuständigen Behörde gemeldet wurde, ist die fachliche Eignung des Datenschutzbeauftragten den Behörden wichtig.

Meldepflicht bei Datenschutzverstößen

Hier möchten die Behörden mehr über die Prozesse erfahren, die bei einer Datenpanne ausgelöst werden und sicherstellen, dass eine fristgerechte Meldung bei den Behörden und Betroffenen erfolgt.
Mit diesen Prüfungen möchten die Behörden erreichen, dass sich die Unternehmen grundlegend mit der DSGVO auseinandergesetzt haben und über ihre Dokumentation nachweisen können, dass eine Datenschutzorganisation aufgebaut wurde. Daneben haben die Aufsichtsbehörden der Länder Berlin und Bayern auch schon Prüfungen einzelner Verarbeitungsvorgänge eingeleitet. Mitte November hat die Berliner Aufsichtsbehörde etwa einen Fragebogen zu Facebook-Fanpages versendet. In Bayern wurden schon mehrere von diesen Prüfaktionen eingeleitet. So wurden dort Fragebögen zum Umgang mit den Pflichtinformationen im Bewerbungsverfahren, dem Umgang mit Ransomware in Arztpraxen, dem Einsatz von Online-Shop-Systemen etc. versendet.

Dies zeigt, dass mit einem unterschiedlichen Prüfverhalten der Behörden zu rechnen ist und Sie die stetige Verbesserung Ihres Datenschutzes nicht vernachlässigen sollten. Sollten Sie Post von einer Datenschutz-Aufsichtsbehörde erhalten, kontaktieren Sie uns bitte.