DSGVO: Datenschutzkontrollen durch die Datenschutzbehörden

(4 Bewertungen, 5.00 von 5)

Die DSGVO trat am 25. Mai 2018 in Kraft: Nach einem knappen Jahr führen die Datenschutzbeauftragten der Länder nun vermehrt Datenschutzkontrollen durch. Doch wozu dienen Datenschutzkontrollen? Drohen Ihnen als Unternehmen nun Bußgelder? Wie reagieren Sie auf ein entsprechendes Schreiben oder einen Besuch der Datenschutzbehörden?

 

Inhaltsverzeichnis

  1. Datenschutzkontrollen: Datenschutzbehörden prüfen verstärkt
  2. DSGVO: Erste Kontrollen und wie sie aussehen
  3. DSGVO Kontrollinstanz: Drohen jetzt Bußgelder?
  4. Wie sieht ein Datenschutz-Prüfbogen aus?
  5. Querschnittprüfung: Sind kleine Unternehmen ausgenommen?
  6. Sind die Prüfungen irgendwann beendet?
  7. Welche Unternehmen betreffen die Datenschutzkontrollen?
  8. Checkliste

1. Datenschutzkontrollen: Datenschutzbehörden prüfen verstärkt

Knapp ein halbes Jahr nach Inkrafttreten der DSGVO kehrt keine Ruhe ein. Die Datenschutzbeauftragten der Länder kontrollieren wieder verstärkt und prüfen, ob Unternehmen die Vorgaben der DSGVO einhalten. Barbara Thiel, Landesbeauftrage für den Datenschutz Niedersachsen, gab bereits im Juli bekannt, dass ihre Aufsichtsbehörde erste Unternehmen überprüft. Sie verschaffe sich einen Überblick über die gegenwärtige Situation in Niedersachsen. Seit November 2018 laufen nun auch Datenschutzkontrollen durch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA). Der Stand der flächendeckenden Datenschutzkontrollen in Bayern sehen Sie hier ein:

https://www.lda.bayern.de/de/kontrollen.html

Derzeit sieht der Status folgendermaßen aus (zuletzt aufgerufen am 18.12.2018):

LDA Bayern Kontrollen
Die aktuellen Prüfungen fokussieren sich überwiegend auf die folgenden Bereiche:

  • Onlineshops und deren Betrieb
  • Arztpraxen und ihre Schutzmaßnahmen vor Verschlüsselungstrojanern
  • Großkonzerne sowie mittelständische Konzerne und ihre Rechenschaftspflicht
  • Bewerbungsverfahren und die Umsetzung von Informationspflichten
  • Umsetzung der DSGVO bei kleinen und mittelständischen Unternehmen

Die Datenschutzbehörden sehen sehr oft Ihr Verfahrensverzeichnis ein. Halten Sie dieses auf einem neuen Stand.

2. DSGVO: Erste Kontrollen und wie sie aussehen

Datenschutzbeauftragte der Länder sind Aufsichtsbehörden: Sie sind dafür zuständig, die Einhaltung datenschutzrechtlicher Vorgaben zu kontrollieren. Sie prüfen gezielt, ob Unternehmen, Vereine, Verbände und Freiberufler die DSGVO auch tatsächlich umsetzen. Dazu bedienen sie sich folgender Methoden:

  • Vor-Ort-Kontrollen einzelner Betriebe
  • Versand von Fragebögen
  • automatisierte Online-Audits

Die Datenschutzbehörden besuchen überwiegend größere Unternehmen, die besonders risikobehaftet sind. Kleine und mittlere Unternehmen kontrollieren sie nur am Rande, um sie nicht finanziell und personell zu überfordern. Findet eine Datenschutzkontrolle in Ihrem Unternehmen statt, beantworten Sie die Fragen der Aufsichtsbehörde wahrheitsgetreu. Die Behördenmitarbeiter führen die Datenschutzkontrolle zunächst über Fragebögen durch. Sie prüfen über stichprobenartige DSGVO Vor-Ort-Kontrollen den Wahrheitsgehalt Ihrer Angaben. Die Datenschutz-Kontrollmaßnahmen stellen sicher, dass Sie personenbezogene Daten in der Praxis auch tatsächlich schützen.

Thomas Kranig, der Präsident der Bayerischen Datenschutzbehörde wies darauf hin, dass nach wie vor gravierende Mängel bei der Umsetzung der DSGVO bestehen:

„Wir haben dieses Jahr einen sehr hohen Aufwand betrieben, um Verantwortliche aus allen Branchen – vom kleinen Handwerkerbetrieb, dem Verein, dem mittelständischen Betrieb bis hin zum milliardenschweren DAX-Konzern – umfassend zu den Neuerungen der DSGVO zu beraten. Die Fehlinformationen, die leider immer noch kursieren, verunsichern viele bayerische Unternehmen. Wir erhalten noch regelmäßig absurde Anfragen und individuelle Interpretationen zum neuen Datenschutzrecht, die weit weg von dem sind, was wirklich gemacht werden muss. Unser Ziel ist es daher, nun durch aktive Prüfungen aufzuzeigen, was tatsächlich Prüfmaßstab ist und von den Verantwortlichen erwartet wird. Damit der Verwaltungsaufwand für unsere Behörde in Zeiten, in denen wir nach wie vor mit unzähligen Beschwerden und Meldungen über Datenschutzverletzungen überschüttet werden, überschaubar bleibt, beziehen wir im Rahmen der genannten Prüfungen derzeit nur relativ wenige Verantwortliche ein, veröffentlichen aber gleichzeitig die Prüfschreiben und dazugehörigen Informationsblätter, damit auch alle anderen Unternehmen nachvollziehen können, was wir tatsächlich abfragen und dann selbst prüfen können, ob sie die Anforderungen erfüllen.“

3. DSGVO Kontrollinstanz: Drohen jetzt Bußgelder?

datenschutz13

Die DSGVO Kontrollbehörde sucht sich Ihren Betrieb aus? Sollten Sie die Vorgaben der DSGVO noch nicht umsetzen, drohen Ihnen nun Bußgelder. Allerdings sieht der Datenschutzbeauftragte des jeweiligen Landes zumeist davon ab.

Möglich ist dies aber dennoch: Ob die Behörde ein Bußgeld verhängt, bemisst sich nach der Schwere des Verstoßes und danach, ob Sie aktive Maßnahmen ergreifen, um die Rechtsverletzungen abzustellen.

Fordert die Datenschutzbehörde Sie dazu auf, ein rechtswidriges Verhalten abzustellen, kommen Sie dem schnellstmöglich nach. Beauftragen Sie einen Rechtsanwalt mit einem Datenschutz-Check. So sichern Sie sich gegen Bußgelder ab und kommen erst überhaupt nicht in eine missliche Lage. Rechnen Sie damit, dass die Datenschutzbehörden zukünftig nicht mehr so milde vorgehen wie bisher. Je länger die EU-DSGVO in Kraft ist, desto eher erwarten die Behörden, dass Sie effektive Maßnahmen ergreifen.

Tipp: Jetzt die Datenschutz-Experten der Kanzlei Siebert Goldberg LLP für einen Datenschutz-Check anfragen!

Sören Siebert
Sören SiebertRechtsanwalt

4. Wie sieht ein Datenschutz-Prüfbogen aus?

Die Datenschutzbehörden versenden Prüfbögen. Darin fragen sie ab, ob das Unternehmen die Vorschriften der DSGVO einhält. Ein solcher Prüfbogen enthält die folgenden Fragen:

  1. Wie haben Sie sich auf die EU-DSGVO vorbereitet?
  2. Wie stellen Sie sicher, dass die Verarbeitung personenbezogener Daten in ein Verarbeitungstätigkeitsverzeichnis aufgenommen wird?
  3. Auf welcher Rechtsgrundlage verarbeiten Sie personenbezogene Daten?
  4. Wie stellen Sie sicher, dass Sie die Rechte der Betroffenen wahren?
  5. Gewährleisten Sie durch technische und organisatorische Maßnahmen ein angemessenes Schutzniveau?
  6. Wie prüfen Sie Verarbeitungen mit einem hohen Risiko für die Rechte und Freiheiten der Betroffenen? Führen Sie eine Datenschutz-Folgeabschätzung durch? Identifizierten Sie bereits risikobehaftete Verarbeitungen?
  7. Passten Sie Verträge mit Auftragsverarbeitern an die DSGVO an?
  8. Haben Sie einen Datenschutzbeauftragten in Ihrem Unternehmen?
  9. Wie gehen Sie mit Datenschutzvorfällen um?
  10. Können Sie die Einhaltung der Punkte 1. bis 9. nachweisen?

Skizzieren Sie die unternehmensinternen Prozesse und versenden Sie Musterdokumente für die entsprechenden Vorgänge. Dazu verpflichtet Sie der Fragebogen. Gehen Sie auch auf die Qualifikation Ihres Datenschutzbeauftragten ein. Ihr Verfahrensverzeichnis bietet hier erste Anhaltspunkte.

5. Querschnittprüfung: Sind kleine Unternehmen ausgenommen?

Die Prüfungen der Landesdatenschutzbehörden sind sogenannte Querschnittsprüfungen. Sie beziehen sich auf Unternehmen verschiedener Branchen. Die meisten Datenschutzprüfungen betreffen 20 bis 30 Unternehmen. Die DSGVO Kontrollinstanz prüft Kleinunternehmen nicht.

6. Sind die Prüfungen irgendwann beendet?

datenschutz6

Der erste Abschlussbericht der Landesdatenschutzbehörde Bayern soll im Mai 2019 vorliegen. Die Prüfungen laufen aber weiter. Ob und wann die Landesdatenschutzbehörde Ihr Unternehmen prüft, ist nicht vorhersehbar. Erkennen die Datenschutzbehörden, dass bestimmte Branchen überproportional häufig Datenschutzverstöße begehen, führen sie dort Schwerpunktprüfungen durch. Das BayLDA kündigte bereits an, die Datenschutzkontrollen auszuweiten. Zukünftig prüft es insbesondere große und international agierende Unternehmen. Außerdem steht der Themenbereich „Löschen von Daten“, insbesondere bei SAP-Systemen, im Vordergrund.

7. Welche Unternehmen betreffen die Datenschutzkontrollen?

Die Landesdatenschutzbehörden überprüfen derzeit insbesondere Onlineshops, Arztpraxen, Großkonzerne und den Ablauf von Bewerbungsverfahren bei Unternehmen.

a) Onlineshops

Das BayLDA überprüft derzeit sehr viele Onlineshops. Dies liegt darin begründet, dass die Gefährdungslage im Internet besonders hoch ist. Verstößt ein Onlineshops gegen die Bestimmungen der DSGVO, verhängt die Landesdatenschutzbehörde gegebenenfalls Bußgelder.

b) Arztpraxen

Das BayLDA prüft auch Arztpraxen. Es gibt in Deutschland vermehrt Angriffe auf Arztpraxen durch Trojaner. Diese sperren personenbezogene Daten auf den Rechnern von Arztpraxen. Die Hacker fordern anschließend ein Lösegeld. Ohne eine schützende Infrastruktur infizieren Hackern das gesamte Netzwerk der jeweiligen Organisation.

c) Großkonzerne

Das BayLDA überprüft die Umsetzung der DSGVO in Großkonzernen. Hier ist eine Vor-Ort-Kontrolle vorprogrammiert. Die Datenschutzbehörde kann nur durch solche Kontrollen bewerten, ob das Unternehmen die DSGVO tatsächlich umsetzt. Die DSGVO sieht eine Beweislastumkehr vor: Großkonzerne sind dazu verpflichtet, die Einhaltung der DSGVO nachzuweisen. Sie unterliegen dahingehend einer Rechenschaftspflicht.

d) Bewerbungsverfahren

Das BayLDA überprüft, ob Unternehmen den Informationspflichten im Bewerbungsverfahren nachkommen. Eine erste Überprüfung fand bereits im Jahr 2015 statt. Das BayLDA fragt auch ab, ob Unternehmen den Arbeitnehmerdatenschutz beachten.

e) KMUs

Das BayLDA überprüft auch kleine und mittelständische Unternehmen (KMUs). Es fragt ab, welche technischen und organisatorischen Schutzmaßnahmen die Unternehmen ergreifen. Deren Umfang richtet sich danach, um welche Art von Unternehmen es sich handelt und wie groß dieses ist. Das BayLDA überprüft insbesondere Unternehmen, die in der Vergangenheit durch Beschwerden auffielen.

Das BayLDA begann im November 2018 damit, das Patch Management bei WordPress zu überprüfen, insbesondere das WP GDPR Compliance Plugin.

8. Checkliste

Sie bereiten Ihr Unternehmen auf die Datenschutz-Grundverordnung vor? Dann vermeiden Sie Bußgelder, die im Rahmen einer Datenschutzprüfung auf Sie zukommen könnten. In den folgenden Situationen besteht ein erhöhtes Risiko, in die Datenschutzprüfungen zu gelangen:

  • Sie sind ein KMU oder ein Großkonzern
  • Sie haben eine Personalabteilung
  • Personen beschwerten sich bei der Landesdatenschutzbehörde über Ihr Unternehmen

Die 7 wichtigsten Fragen zu den Datenschutzprüfungen der Landesdatenschutzbehörden:

1. Gibt es Datenschutzprüfungen nur in Bayern?

Nein, die Datenschutzprüfungen laufen in jedem Bundesland. Jede Datenschutzbehörde ist dazu verpflichtet, permanent zu überprüfen, ob Unternehmen die DSGVO einhalten.

2. Fallen bei einer Dienstleister Kontrolle DSGVO Bußgelder an?

Die Umsetzungsfrist der Datenschutz-Grundverordnung lief am 25. Mai 2018 ab. Bußgelder sind jederzeit möglich, unabhängig davon, ob Sie in eine Datenschutzprüfung gelangen oder nicht.

3. Muss ich die Vor-Ort-Kontrollen der Datenschutzbehörden akzeptieren?

Ja, Sie haben keine Möglichkeit, die Datenschutzbehörden zurückzuweisen.

4. Wer wird derzeit besonders beobachtet?

Derzeit prüfen die Datenschutzbehörden gezielt Arztpraxen, Onlineshops, Großkonzerne und KMUs. Sie prüfen auch, ob Unternehmen bei Bewerbungsverfahren personenbezogene Daten schützen und die Datensicherheit beachten.

5. Wie schütze ich mich vor Bußgeldern?

Beauftragen Sie einen spezialisierten Rechtsanwalt und führen Sie einen DSGVO-Check in Ihrem Unternehmen durch. Achten Sie auf die Datensicherheit im Unternehmen.

6. Sind auch kleine Unternehmen betroffen?

Die Datenschutzbehörden prüfen kleinere Unternehmen derzeit nicht. Dies dient dazu, sie nicht finanziell und personell zu überlasten.

7. Warum sollte ich mich ausgerechnet jetzt mit dem Datenschutz befassen?

Die Umsetzungsfrist der DSGVO lief am 25. Mai 2018 ab. Derzeit verwarnen die Datenschutzbehörden noch manchmal. Ihre Toleranz nimmt mit der Zeit aber immer mehr ab. Schließlich hatten Sie nun fast drei Jahre Zeit, um sich auf die DSGVO vorzubereiten und die entsprechenden Änderungen umzusetzen. Die Datenschutzkontrollen betreffen jeden: Es gibt beispielsweise eine DSGVO Kontrolle für Auftragnehmer und auch eine DSGVO Kontrolle für Auftragsverarbeiter.

Anzeige
Sagen Sie uns Ihre Meinung zum Thema.
Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Cookie-Hinweis auf Webseiten: Quatsch oder Pflicht? Viele Seitenbetreiber konfrontieren ihre Besucher mit einem Cookie-Hinweis auf der Webseite. Die meisten Nutzer sind davon aber ziemlich genervt. Brauchen Seite...
Weiterlesen...
OLG Hamm: Umsatzsteuer-ID muss ins Impressum Richter stellen erneut heraus, dass das Fehlen von USt-ID und Handelsregisterangaben keine Bagatellverstöße sind, sondern abmahnfähige Wettbewerbsverletzungen d...
Weiterlesen...
Altersprüfung in Online Shops: Ist der Verkauf von Tabak, Alkohol und E-Zigaretten erlaubt? Dürfen Online Shops und Händler bei eBay & Co. eigentlich Tabak, Alkohol E-Zigaretten und Shishas online verkaufen? Ist dafür eine Altersprüfung der Kunden ...
Weiterlesen...
Facebook & Co.: Dürfen private Nachrichten veröffentlicht werden? Das soziale Netzwerk „Facebook“ ermöglicht es seinen Nutzern, private Nachrichten an andere zu verschicken. Doch dürfen diese auch öffentlich gemacht werden? ...
Weiterlesen...
Neuer Personalausweis 2010: Biometrischer Ausweis kann ab dem 1. November beantragt werden Seit dem 1. November 2010 kann der neue biometrische Personalausweis bei dem Einwohnermeldeämtern bestellt werden. Er biete jedoch zahlreiche Funktionen und Mög...
Anzeige DSGVO
Anzeige

Der eRecht24 Newsletter

Immer bestens informiert

Bleiben Sie mit unseren kostenlosen Updates zum Internetrecht auf dem neuesten Stand. Infos, Urteile, Checklisten, Sonderangebote.

Prüfen Sie, ob Ihre Widerrufsbelehrung aktuell ist.

Geben Sie die URL Ihrer Widerrufsbelehrung ein.
Beispiel Shop: http://www.shopxyz.de/widerruf.html
Beispiel eBay: http://www.ebay.de/usr/EBAYUSER

loading...
Jetzt Premium-Mitglied werden

Ab Heute gestalten Sie Ihre Website ohne Angst vor Abmahnwellen und ohne teuren Anwalt abmahnsicher.

Alle Videos, Live-Webinare, E-Books, Tools und zahlreiche Rabatte.

Jetzt Mitglied werden

Mehr Informationen zu eRecht24 Premium

Impressum-Generator

Keine Chance für Abmahner

Erstellen Sie kostenlos ein rechtssicheres Impressum für Ihre Website.

Jetzt Kostenlos Impressum generieren

Rechtsberatung vom Anwalt

Haben Sie ein konkretes rechtliches Problem? Dann wenden Sie sich bitte einen Anwalt. Auf unseren Seiten finden Sie zahlreiche allgemeine Informationen zum Internetrecht. Fundierte Rechtsberatung im Einzelfall kann allerdings nur ein spezialisierter Rechtsanwalt leisten.

Inhalte kostenlos übernehmen

Der eRecht24 Newsticker

kostenfreie aktuelle Inhalte zum Internetrecht

Individuell für Ihre Website angepasst!

 

SSL-Zertifikate

Steigern Sie das Vertrauen Ihrer Kunden. Für Betreiber von Onlineshops und kommerziellen Webseiten unabdingbar:

SSL-Verschlüsselung, SSL-Zertifikate und Trust-Logos

Rechnungen online erstellen

Erstellen Sie Ihre Rechnungen gemäß den Anforderungen des Finanzamts doch einfach online!

Mit easybill bequem ordnungsgemäße Rechnungen schreiben inkl. digitaler Signatur und Datenexport zum Steuerberater. Anforderungen an korrekte Rechnungen mit Mustern und Beispielen.

IT-Recht endlich verständlich

Autor Sören SiebertSören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.

Er berät Unternehmer, Shops und Seitenbetreiber in allen Fragen des Rechts der neuen Medien.
www.kanzlei-siebert.de

Als Betreiber von eRecht24 ist er seit mehr als 15 Jahren auch als Internet-Unternehmer tätig. Deshalb finden Sie auf eRecht24 Tipps und Tricks eines spezialisierten Rechtsanwalts, aber verständlich und praxisnah erklärt.

SSL-Zertifikate, Code-Signing, S/MIMEOrdnungsgemäße Rechnungen einfach online erstellen!Suchmaschienoptimierung & OnlinemarketingRechtsschutzversicherungRechtliche OnlineShop-PrüfungFairness im Handel
Anzeige
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Videos und E-Books, Musterverträge und Erstberatung, Tools und Live-Webinare.

Mehr Informationen

dsgvo teaser

DSGVO Schnellstarter-Paket

Das Datenschutzrecht ändert sich ab Mai 2018 vollständig. Sind Sie bereit für die DSGVO? Mit unserem Schnellstarter-Paket sichern Sie Ihre Webseite ab.

Jetzt absichern

webinar teaser

Online Schulung mit Rechtsanwalt Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese schnell, einfach und ohne teuren Anwalt vermeiden. So haben Abmahner bei Ihnen keine Chance!

Mehr Details
Support