Datenschutzkontrollen

Drohen Unternehmen Bußgelder durch DSGVO-Datenschutzkontrollen der Behörden?

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(8 Bewertungen, 5.00 von 5)

Das Wichtigste in Kürze

  • Die Aufsichtsbehörden der Bundesländer führen Datenschutzkontrollen in Unternehmen durch.
  • Die Kontrollen finden vor Ort, schriftlich oder online statt.
  • Halten Sie sich nicht an die DSGVO drohen Ihnen Bußgelder, die unter anderem durch die Datenschutzbeauftragten auferlegt werden.

Worum geht's?

Damit die Grundsätze der Datenschutzgrundverordnung (DSGVO) hinreichend umgesetzt werden, führen Datenschutzbehörden sogenannte Datenschutzkontrollen durch. Aber wozu dienen sie genau? Sind nur große Unternehmen von den Vorgaben der DSGVO betroffen oder müssen auch kleine und mittlere Unternehmen mit einer Datenschutzkontrolle rechnen? Dann drohen Bußgelder? Wir bringen Licht ins Dunkel.

1. Wie wird der Datenschutz kontrolliert und wer kümmert sich darum?

Die Kontrolle der Umsetzung der DSGVO und des Datenschutzes obliegt den Aufgaben der Datenschutzbeauftragten (DSB) der Länder. Die sogenannten Datenschutzkontrollen werden durch die einzelnen Bundesländer umgesetzt und finden stetig statt.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) gibt dazu preis, dass Datenschutzkontrollen anlassbezogen oder anlasslos sind. Eine anlassbezogene Datenschutzkontrolle wird aufgrund von Beschwerden oder Hinweisen auf Datenschutzverstöße durchgeführt. Anlasslose Untersuchungen erfolgen wahllos und brachenunabhängig nach Ermessen der Behörde.

Dabei finden die Prüfungen entweder schriftlich, als Onlineprüfung oder vor Ort statt. Das BayLDA hat dazu eine Tabelle mit den aktuellen Kontrollen auf Ihrer Website aufgelistet.

Die aktuellen Prüfungen fokussieren sich überwiegend auf die folgenden Bereiche:

  • Online-Shops und deren Betrieb
  • Arztpraxen und ihre Schutzmaßnahmen vor Verschlüsselungstrojanern
  • Großkonzerne sowie mittelständische Konzerne und ihre Rechenschaftspflicht
  • Bewerbungsverfahren und die Umsetzung von Informationspflichten
  • Umsetzung der DSGVO bei kleinen und mittelständischen Unternehmen

Achtung!

Die Datenschutzbehörden sehen sehr oft Ihr Verarbeitungsverzeichnis ein. Halten Sie dieses auf einem aktuellen Stand.

Welche Datenschutzbehörde für Ihr Bundesland zuständig ist, finden Sie auf der Webseite der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Hier können Sie je nach Bundesland und Zuständigkeit die Adressen, Telefonnummer, E-Mail-Adressen und Homepages der zuständigen Aufsichtsbehörden einsehen.

2. Datenschutzkontrolle: So kann sie aussehen

Die Aufsichtsbehörden der Länder bestehen aus Datenschutzbeauftragten. Diese sind dafür zuständig, die Einhaltung datenschutzrechtlicher Vorgaben zu kontrollieren. Sie prüfen gezielt, ob Unternehmen, Vereine, Verbände und Freiberufler die DSGVO auch tatsächlich umsetzen. Dazu bedienen sie sich folgender Methoden:

  • Vor-Ort-Kontrollen einzelner Betriebe
  • Versand von Fragebögen
  • automatisierte Online-Audits

Die Datenschutzbehörden besuchen überwiegend größere Unternehmen, die besonders risikobehaftet sind. Kleine und mittlere Unternehmen kontrollieren sie nur am Rande, um sie nicht finanziell und personell zu überfordern. Das bedeutet allerdings nicht, dass Sie als kleines oder mittelständisches Unternehmen vor Datenschutzkontrollen geschützt sind. Sie sind – genauso wie große Unternehmen – auch zur Einhaltung der DSGVO verpflichtet.

Findet eine Datenschutzkontrolle in Ihrem Unternehmen statt, beantworten Sie die Fragen der Aufsichtsbehörde wahrheitsgetreu. Die Behördenmitarbeiter führen die Datenschutzkontrolle zunächst über Fragebögen durch. Sie prüfen über stichprobenartige DSGVO Vor-Ort-Kontrollen den Wahrheitsgehalt Ihrer Angaben. Die Datenschutz-Kontrollmaßnahmen stellen sicher, dass Sie personenbezogene Daten in der Praxis auch tatsächlich schützen.

3. DSGVO Kontrollinstanz: Drohen jetzt Bußgelder?

Die DSGVO-Kontrollbehörde sucht sich Ihren Betrieb aus? Sollten Sie die Vorgaben gemäß Datenschutzrecht noch nicht umsetzen, drohen Ihnen nun Bußgelder. Ob die Behörde ein DSGVO-Bußgeld verhängt, bemisst sich nach der Schwere des Verstoßes und danach, ob Sie aktive Maßnahmen ergreifen, um die Rechtsverletzungen abzustellen.

Fordert die Datenschutzbehörde Sie dazu auf, ein rechtswidriges Verhalten abzustellen, kommen Sie dem schnellstmöglich nach. Beauftragen Sie einen Rechtsanwalt mit einem Datenschutzaudit. So sichern Sie sich gegen Bußgelder ab und kommen erst überhaupt nicht in eine missliche Lage. Je länger die EU-DSGVO in Kraft ist, desto eher erwarten die Behörden, dass Sie effektive Maßnahmen ergreifen.

Sie sind sich nicht sicher, ob Sie alle datenschutzrechtlichen Regelungen hinreichend umgesetzt haben?  Machen Sie sich keine Sorgen und lehnen Sie sich zurück. Unsere Anwälte der Kanzlei Siebert Lexow führen in Ihrem Unternehmen einen DSGVO-Audit durch und klären Sie über mögliche Datenschutzlücken auf.

DSGVO-Audit beantragen

Sören Siebert
Sören SiebertRechtsanwalt

4. Checkliste: So sieht ein Datenschutz-Prüfbogen aus

Die Datenschutzbehörden versenden Prüfbögen. Darin fragen sie ab, ob das Unternehmen die Vorschriften der DSGVO einhält.
Ein solcher Prüfbogen enthält die folgenden Fragen:
  • Wie haben Sie sich auf die EU-DSGVO vorbereitet?
  • Wie stellen Sie sicher, dass die Verarbeitung personenbezogener Daten in ein Verarbeitungstätigkeitsverzeichnis aufgenommen wird?
  • Auf welcher Rechtsgrundlage verarbeiten Sie personenbezogene Daten?
  • Wie stellen Sie sicher, dass Sie die Rechte der Betroffenen wahren?
  • Gewährleisten Sie durch technische und organisatorische Maßnahmen ein angemessenes Schutzniveau?
  • Wie prüfen Sie Verarbeitungen mit einem hohen Risiko für die Rechte und Freiheiten der Betroffenen? Führen Sie eine Datenschutz-Folgeabschätzung durch? Identifizierten Sie bereits risikobehaftete Verarbeitungen?
  • Passten Sie AV-Verträge mit Auftragsverarbeitern an die DSGVO an?
  • Haben Sie einen Datenschutzbeauftragten in Ihrem Unternehmen? Wie ist er in die Organisation eingebunden und welche Fachkundenachweise hat der Datenschutzbeauftragte?
  • Wie gehen Sie mit Datenschutzvorfällen um? Wie stellen Sie sicher, dass Verstöße fristgemäß gemeldet werden?
  • Können Sie die Einhaltung der Punkte 1. bis 9. nachweisen?

 

Skizzieren Sie die unternehmensinternen Prozesse und versenden Sie Musterdokumente für die entsprechenden Vorgänge. Dazu verpflichtet Sie der Fragebogen. Gehen Sie auch auf die Qualifikation Ihres DSB ein. Ihr Verabreitungsverzeichnis bietet hier erste Anhaltspunkte.

5. Sind die Prüfungen irgendwann beendet?

Die Datenschutzkontrollen finden fortlaufend statt. Dazu sind die Aufsichtsbehörden gemäß der DSGVO verpflichtet. Ob und wann die Landesdatenschutzbehörde Ihr Unternehmen prüft, ist nicht vorhersehbar. Erkennen die Datenschutzbehörden, dass bestimmte Branchen überproportional häufig Datenschutzverstöße begehen, führen sie dort Schwerpunktprüfungen durch.

6. Welche Unternehmen betreffen die Datenschutzkontrollen?

Die Landesdatenschutzbehörden überprüfen derzeit insbesondere Onlineshops, Arztpraxen, Großkonzerne und den Ablauf von Bewerbungsverfahren bei Unternehmen. Folgende Unternehmen und Bereiche sind von den Datenschutzkontrollen betroffen:

  • Online-Shops: Die Gefährdungslage im Internet ist besonders hoch. Verstößt ein Online-Shop gegen die Bestimmungen der DSGVO, verhängt die Landesdatenschutzbehörde gegebenenfalls Bußgelder.
  • Arztpraxen: Es gibt in Deutschland vermehrt Angriffe auf Arztpraxen durch Trojaner. Diese sperren personenbezogene Daten auf den Rechnern von Arztpraxen. Die Hacker fordern anschließend ein Lösegeld. Ohne eine schützende Infrastruktur infizieren Hackern das gesamte Netzwerk der jeweiligen Organisation.
  • Großkonzerne: Hier ist eine Vor-Ort-Kontrolle vorprogrammiert. Die Aufsichtsbehörde kann nur durch solche Kontrollen bewerten, ob das Unternehmen die DSGVO tatsächlich umsetzt. Die DSGVO sieht eine Beweislastumkehr vor: Großkonzerne sind dazu verpflichtet, die Einhaltung der DSGVO nachzuweisen. Sie unterliegen dahingehend einer Rechenschaftspflicht.
  • Bewerbungsverfahren: Das BayLDA überprüft, ob Unternehmen den Informationspflichten im Bewerbungsverfahren nachkommen. Eine erste Überprüfung fand bereits im Jahr 2015 statt. Das BayLDA fragt auch ab, ob Unternehmen den Arbeitnehmerdatenschutz beachten.
  • Kleine und mittelständische Unternehmen (KMUs): Abfrage von technischen und organisatorischen Schutzmaßnahmen. Deren Umfang richtet sich danach, um welche Art von Unternehmen es sich handelt und wie groß dieses ist. Das BayLDA überprüft insbesondere Unternehmen, die in der Vergangenheit durch Beschwerden auffielen.

INTERESSANT

Das BayLDA begann im November 2018 damit, das Patch Management bei WordPress zu überprüfen, insbesondere das WP GDPR Compliance Plugin. Die Datenschutzprüfung läuft weiterhin (Stand: Juni 2023).

7. Diesen Unternehmen drohen Datenschutzkontrollen

Die DSGVO gilt mittlerweile seit fünf Jahren. Wussten Sie schon, dass dennoch viele Unternehmen bis dato nicht alle Regelungen umgesetzt haben? In unserem Artikel „Die Top 7 DSGVO-Vorgaben, die Webseitenbetreiber 2023 immer noch nicht umgesetzt haben“ können Sie checken, ob Sie auch dazu gehören.

Vermeiden Sie Bußgelder, die im Rahmen einer Datenschutzprüfung auf Sie zukommen könnten. In den folgenden Situationen besteht ein erhöhtes Risiko, in die Datenschutzprüfungen zu gelangen:

  • Sie sind ein KMU oder ein Großkonzern
  • Sie haben eine Personalabteilung
  • Personen beschwerten sich bei der Landesdatenschutzbehörde über Ihr Unternehmen

8. FAQ: Die 7 wichtigsten Fragen zu den Datenschutzprüfungen der Landesdatenschutzbehörden

1. Gibt es Datenschutzprüfungen nur in Bayern?

Nein, die Datenschutzprüfungen laufen in jedem Bundesland. Jede Aufsichtsbehörde ist dazu verpflichtet, permanent zu überprüfen, ob Firmen die DSGVO einhalten.

2. Fallen bei einer Dienstleister Kontrolle DSGVO-Bußgelder an?

Die Umsetzungsfrist der Datenschutz-Grundverordnung lief am 25. Mai 2018 ab. Bußgelder sind jederzeit möglich, unabhängig davon, ob Sie in eine Datenschutzprüfung gelangen oder nicht.

3. Muss ich die Vor-Ort-Kontrollen der Datenschutzbehörden akzeptieren?

Ja, Sie haben keine Möglichkeit, die Datenschutzbehörden zurückzuweisen.

4. Wer wird derzeit besonders beobachtet?

Derzeit prüfen die Aufsichtsbehörden gezielt Arztpraxen, Onlineshops, Großkonzerne und KMUs. Sie prüfen auch, ob Unternehmen bei Bewerbungsverfahren personenbezogene Daten schützen und die Datensicherheit beachten.

5. Wie schütze ich mich vor Bußgeldern?

Beauftragen Sie einen spezialisierten Rechtsanwalt und führen Sie einen DSGVO-Audit in Ihrem Unternehmen durch. Achten Sie auf die Datensicherheit in Ihrer Firma.

6. Sind auch kleine Unternehmen betroffen?

 Ja. Auch kleinere Firmen können von einer Kontrolle der zuständigen Behörde betroffen sein.

7. Warum sollte ich mich ausgerechnet jetzt mit dem Datenschutz befassen?

Die Umsetzungsfrist der DSGVO lief am 25. Mai 2018 ab. Derzeit verwarnen die Aufsichtsbehörden noch manchmal. Ihre Toleranz nimmt mit der Zeit aber immer mehr ab. Schließlich hatten Sie nun fast drei Jahre Zeit, um sich auf die DSGVO vorzubereiten und die entsprechenden Änderungen umzusetzen. Die Datenschutzkontrollen betreffen jeden: Es gibt beispielsweise eine DSGVO Kontrolle für Auftragnehmer und auch eine DSGVO Kontrolle für Auftragsverarbeiter.

Premium Mitglied werden

eRecht24 Premium für Websitebetreiber, Agenturen & Online-Shops

  • Generatoren, AGB, Muster & Verträge
  • Cookie Consent Tool, Premium Scanner & Projekt Planer
  • Live-Webinaren und Know-How für rechtssicheres Business
Premium Mitglied werden
Caroline Schmidt
Caroline Schmidt
SEO-Redakteurin und Legal Writerin

Caroline Schmidt ist Online-Redakteurin und bei eRecht24 für Content und SEO zuständig. Als Legal Writer kümmert sie sich um die Aktualisierung bestehender Beiträge und bereitet sowohl alte als auch neue Texte verständlich auf. Nach ihrem Studium der Medienbildung konnte sie bereits erste redaktionelle Erfahrung in verschiedenen Rechtsgebieten z. B. Arbeits-, Verkehrs- und Familienrecht sammeln.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.


Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details