Unternehmen | Datenschutz Datenschutzbeauftragter Passau Linz Wien Straubing Landshut Regensburg Nürnberg

Datenschutzkontrollen

Ablauf – Hintergründe – Risiken

Das Bayerische Landesamt für Datenschutzaufsicht und jede andere Datenaufsichtsbehörde in Deutschland führt oftmals sog. „anlasslose“ Datenschutzkontrollen in Unternehmen durch. Auch werden die Webseiten von Unternehmen automatisiert geprüft.

Schwerpunkt der Untersuchung ist die Erfüllung der gesetzlichen Dokumentationspflichten und Einhaltung der datenschutzrechtlichen Vorgaben sowie die Kontrolle der Einrichtung angemessener technischer und organisatorischer Maßnahmen nach Art. 32 Abs.1 DS-GVO. Für Geschäftsführer bedeutet dies, verstärkt ein Augenmerk auf die Datenschutzorganisation in ihren Büros zu werfen, um für eventuelle Besuche der Datenschutzaufsichtsbehörden gerüstet zu sein. Derartige Überprüfungen sind in allen Bundesländern möglich und bei festgestellten Verstößen gegen datenschutzrechtliche Vorschriften drohen neben unangenehmen Nachfragen durch Kunden empfindliche Bußgelder und Reputationsschäden.

Fragen Sie uns – Wir sind für Sie da, im Raum Thyrnau, Passau, in ganz Bayern und bundesweit!

Was ist Hintergrund der Untersuchung?

Einen konkreten Anlass für die Untersuchung gibt es nicht. Die DS-GVO bietet den Aufsichtsbehörden umfassende Untersuchungs- und Abhilfebefugnisse, um die datenschutzrechtlichen Vorgaben durchsetzen zu können. Betroffene datenverarbeitende Unternehmen haben der Behörde dabei unverzüglich alle erforderlichen Auskünfte zu erteilen. 

Weiterhin sind die Mitarbeiter der Behörden gemäß Art. 58 Abs. 1f DS-GVO berechtigt, Geschäftsräume zu betreten und dort vor Ort Prüfungen an den datenverarbeitenden Systemen vorzunehmen und Unterlagen einzusehen. Dies gilt grundsätzlich auch für Untersuchungen bei Anwaltskanzleien. 

(Zwar hat das KG Berlin mit Beschluss vom 20. 08.2010 entschieden, dass die Einsichtnahme in mandatsbezogene Informationen auch gegenüber der Datenschutzbehörde unter Berufung auf § 203 StGB verweigert werden kann.  Allerdings stellt es auch klar, dass dies die grundsätzliche Möglichkeit datenschutzrechtlicher Überprüfungen nicht ausschließt.)

Womit muss ich als Unternehmer nun rechnen?

Nach unseren Erfahrungen ist schwerpunktmäßiger Gegenstand der Überprüfung in Bayern die Kontrolle der technisch-organisatorischen Maßnahmen nach Art. 32 Abs.1 und die automatisierte Kontrolle des Webauftritts der Unternehmen. Hiernach sind die verantwortlichen Stellen verpflichtet, bei der Verarbeitung personenbezogener Daten bestimmte organisatorische und technische Maßnahmen einzurichten, um die bei ihnen verarbeiteten Daten vor Verlust, unberechtigtem Zugriff und Veränderung zu schützen. Je nach Art der zu schützenden Daten sind danach insbesondere Maßnahmen einzurichten zur Zutritts-, Zugangs- und Zugriffskontrolle, zur Weitergabe-, Eingabe- und Verfügbarkeitskontrolle sowie zur Gewährleistung der Auftragskontrolle bei der Einschaltung von Auftragsverarbeitern (z.B. externen Rechenzentren, IT-Dienstleister, Software-Hersteller u.ä.) und zur Einhaltung des Trennungsprinzips, um sicherzustellen, dass zu unterschiedlichen Zwecken erhobene Daten nicht gemeinsam verarbeitet werden.

Ein Fokus dieser Prüfung liegt auf dem Einsatz angemessener IT-Infrastruktur, insbesondere beim Versand und Empfang von E-Mails sowie dem Einsatz von Leasinggeräten, dem Vorhandensein von Backup-Konzepten und geeigneten Zutrittskontrollen. Existiert etwa eine Vorgabe zum dienstlichen Umgang mit privaten Endgeräten wie Mobiltelefone, Smartphones oder Tablets (Stichwort: „Bring your own device“), eine Richtlinie sowie nutzbare Technologien zum sicheren verschlüsselten Versand von E-Mails und eine sichere IT-Infrastruktur zum Versand von Daten zwischen den Standorten?

Datenschutzkontrollen | Datenschutz Datenschutzbeauftragter Passau Linz Wien Straubing Landshut Regensburg Nürnberg
Datenschutzkontrollen | Datenschutz Datenschutzbeauftragter Passau Linz Wien Straubing Landshut Regensburg Nürnberg

Es kann allerdings ebenso jeder andere Aspekt in diesem Zusammenhang zum Gegenstand einer Prüfung durch die Aufsichtsbehörde werden. Wichtig ist dabei nach unserer Erfahrung vor allem, der Behörde zeigen zu können, dass das Thema Datenschutz im Unternehmen ernst genommen wird. Insoweit sollte für eine angemessene Datenschutzorganisation gesorgt werden, welche sich nicht in der bloßen Bestellung eines betrieblichen Beauftragten für den Datenschutz und einer einfachen Datenschutzrichtlinie erschöpfen darf. Vielmehr muss sichergestellt sein, dass Datenschutzkonzepte erstellt werden, welche eine Einbindung des betrieblichen Beauftragten für den Datenschutz in die Beschaffung und den Betrieb aller Systeme sicherstellen, welche personenbezogene Daten verarbeiten.

Essentiell ist zudem, dass das nach Art. 30 DS-GVO zu führende Verzeichnis von Verarbeitungstätigkeiten auf dem aktuellesten Stand gehalten wird. Dieses Verzeichnis muss eine Übersicht aller im Unternehmen eingesetzten Systeme enthalten, welche personenbezogene Daten verarbeiten. Ergänzend müssen dort für jedes System die jeweils nach Art. 32 DS-GVO eingerichteten technisch-organisatorischen Maßnahmen (sogenannte („TOMs“) aufgeführt werden. Dieses Dokument gehört regelmäßig zu den wichtigsten Unterlagen, welche eine Aufsichtsbehörde bei einer Überprüfung anfordern wird. Weiterhin sollte jedes Unternehmen über eine Anweisung zum Vorgehen bei Datenschutzvorfällen verfügen, um beispielsweise sicherzustellen, dass die Benachrichtigungspflichten nach Art.33 DS-GVO im Falle von Datenverlusten eingehalten werden können.

Was droht bei Datenschutzverstößen?

Stellt die Aufsichtsbehörde fest, dass eine verantwortliche Stelle personenbezogene Daten unbefugt erhebt, verarbeitet oder nutzt, so können gemäß Art. 83 DS-GVO Bußgelder in Höhe von bis zu EUR 20.000,000 bzw. 4% des weltweit erzielten Jahresumsatzes „des Unternehmens“ verhängt werden. Zudem kann die Behörde bei festgestellten Mängeln im Bereich der technisch-organisatorischen Maßnahmen zur Beseitigung anordnen und dabei auf die Möglichkeit der Verhängung von Zwangsgeldern zurückgreifen sowie den Einsatz einzelner Verfahren gänzlich untersagen. Dies kann empfindliche Folgen für den Geschäftsbetrieb haben.

Unternehmen sind also gut beraten, das Thema Datenschutzorganisation nicht stiefmütterlich zu behandeln, um möglichen Konsequenzen frühzeitig vorzubeugen. Sollten Sie diesbezüglich an weiteren Informationen interessiert sein, unterstützen wir Sie Beratungsunternehmen und als externe Datenschutzbeauftragte gerne mit unserer großen Erfahrung im Bereich der Complianceorganisation und IT Sicherheit. Als erste Maßnahme empfiehlt sich dabei oft die Durchführung eines Datenschutz Status Checks, um eventuelle Schwachstellen bei der Datenschutzorganisation identifizieren und beheben zu können.

Weitere Informationen finden Sie auf unserer Website oder sprechen Sie uns einfach an. Wir stehen jederzeit gerne für ein persönliches Gespräch zur Verfügung.
Oder nutzen Sie unser Kontaktformular für eine unverbindliche Anfrage:

Telefon: 08501-9395076 oder
E-Mail: info@aigner-business-solutions.com

X