Worum geht's?
Damit die Grundsätze der Datenschutzgrundverordnung (DSGVO) hinreichend umgesetzt werden, führen Datenschutzbehörden sogenannte Datenschutzkontrollen durch. Aber wozu dienen sie genau? Sind nur große Unternehmen von den Vorgaben der DSGVO betroffen oder müssen auch kleine und mittlere Unternehmen mit einer Datenschutzkontrolle rechnen? Dann drohen Bußgelder? Wir bringen Licht ins Dunkel.
1. Wie wird der Datenschutz kontrolliert und wer kümmert sich darum?
Die Kontrolle der Umsetzung der DSGVO und des Datenschutzes obliegt den Aufgaben der Datenschutzbeauftragten (DSB) der Länder. Die sogenannten Datenschutzkontrollen werden durch die einzelnen Bundesländer umgesetzt und finden stetig statt.
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) gibt dazu preis, dass Datenschutzkontrollen anlassbezogen oder anlasslos sind. Eine anlassbezogene Datenschutzkontrolle wird aufgrund von Beschwerden oder Hinweisen auf Datenschutzverstöße durchgeführt. Anlasslose Untersuchungen erfolgen wahllos und brachenunabhängig nach Ermessen der Behörde.
Dabei finden die Prüfungen entweder schriftlich, als Onlineprüfung oder vor Ort statt. Das BayLDA hat dazu eine Tabelle mit den aktuellen Kontrollen auf Ihrer Website aufgelistet.
Die aktuellen Prüfungen fokussieren sich überwiegend auf die folgenden Bereiche:
- Online-Shops und deren Betrieb
- Arztpraxen und ihre Schutzmaßnahmen vor Verschlüsselungstrojanern
- Großkonzerne sowie mittelständische Konzerne und ihre Rechenschaftspflicht
- Bewerbungsverfahren und die Umsetzung von Informationspflichten
- Umsetzung der DSGVO bei kleinen und mittelständischen Unternehmen
Achtung!
Die Datenschutzbehörden sehen sehr oft Ihr Verarbeitungsverzeichnis ein. Halten Sie dieses auf einem aktuellen Stand.
Welche Datenschutzbehörde für Ihr Bundesland zuständig ist, finden Sie auf der Webseite der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Hier können Sie je nach Bundesland und Zuständigkeit die Adressen, Telefonnummer, E-Mail-Adressen und Homepages der zuständigen Aufsichtsbehörden einsehen.
2. Datenschutzkontrolle: So kann sie aussehen
Die Aufsichtsbehörden der Länder bestehen aus Datenschutzbeauftragten. Diese sind dafür zuständig, die Einhaltung datenschutzrechtlicher Vorgaben zu kontrollieren. Sie prüfen gezielt, ob Unternehmen, Vereine, Verbände und Freiberufler die DSGVO auch tatsächlich umsetzen. Dazu bedienen sie sich folgender Methoden:
- Vor-Ort-Kontrollen einzelner Betriebe
- Versand von Fragebögen
- automatisierte Online-Audits
Die Datenschutzbehörden besuchen überwiegend größere Unternehmen, die besonders risikobehaftet sind. Kleine und mittlere Unternehmen kontrollieren sie nur am Rande, um sie nicht finanziell und personell zu überfordern. Das bedeutet allerdings nicht, dass Sie als kleines oder mittelständisches Unternehmen vor Datenschutzkontrollen geschützt sind. Sie sind – genauso wie große Unternehmen – auch zur Einhaltung der DSGVO verpflichtet.
Findet eine Datenschutzkontrolle in Ihrem Unternehmen statt, beantworten Sie die Fragen der Aufsichtsbehörde wahrheitsgetreu. Die Behördenmitarbeiter führen die Datenschutzkontrolle zunächst über Fragebögen durch. Sie prüfen über stichprobenartige DSGVO Vor-Ort-Kontrollen den Wahrheitsgehalt Ihrer Angaben. Die Datenschutz-Kontrollmaßnahmen stellen sicher, dass Sie personenbezogene Daten in der Praxis auch tatsächlich schützen.
LESEEMPFEHLUNG
Mehr zum Thema "Was müssen Unternehmen nach der DSGVO intern alles regeln?" lesen Sie in unserem Ratgeber.
3. DSGVO Kontrollinstanz: Drohen jetzt Bußgelder?
Die DSGVO-Kontrollbehörde sucht sich Ihren Betrieb aus? Sollten Sie die Vorgaben gemäß Datenschutzrecht noch nicht umsetzen, drohen Ihnen nun Bußgelder. Ob die Behörde ein DSGVO-Bußgeld verhängt, bemisst sich nach der Schwere des Verstoßes und danach, ob Sie aktive Maßnahmen ergreifen, um die Rechtsverletzungen abzustellen.
Fordert die Datenschutzbehörde Sie dazu auf, ein rechtswidriges Verhalten abzustellen, kommen Sie dem schnellstmöglich nach. Beauftragen Sie einen Rechtsanwalt mit einem Datenschutzaudit. So sichern Sie sich gegen Bußgelder ab und kommen erst überhaupt nicht in eine missliche Lage. Je länger die EU-DSGVO in Kraft ist, desto eher erwarten die Behörden, dass Sie effektive Maßnahmen ergreifen.
Sie sind sich nicht sicher, ob Sie alle datenschutzrechtlichen Regelungen hinreichend umgesetzt haben? Machen Sie sich keine Sorgen und lehnen Sie sich zurück. Unsere Anwälte der Kanzlei Siebert Lexow führen in Ihrem Unternehmen einen DSGVO-Audit durch und klären Sie über mögliche Datenschutzlücken auf.
4. Checkliste: So sieht ein Datenschutz-Prüfbogen aus
- Wie haben Sie sich auf die EU-DSGVO vorbereitet?
- Wie stellen Sie sicher, dass die Verarbeitung personenbezogener Daten in ein Verarbeitungstätigkeitsverzeichnis aufgenommen wird?
- Auf welcher Rechtsgrundlage verarbeiten Sie personenbezogene Daten?
- Wie stellen Sie sicher, dass Sie die Rechte der Betroffenen wahren?
- Gewährleisten Sie durch technische und organisatorische Maßnahmen ein angemessenes Schutzniveau?
- Wie prüfen Sie Verarbeitungen mit einem hohen Risiko für die Rechte und Freiheiten der Betroffenen? Führen Sie eine Datenschutz-Folgeabschätzung durch? Identifizierten Sie bereits risikobehaftete Verarbeitungen?
- Passten Sie AV-Verträge mit Auftragsverarbeitern an die DSGVO an?
- Haben Sie einen Datenschutzbeauftragten in Ihrem Unternehmen? Wie ist er in die Organisation eingebunden und welche Fachkundenachweise hat der Datenschutzbeauftragte?
- Wie gehen Sie mit Datenschutzvorfällen um? Wie stellen Sie sicher, dass Verstöße fristgemäß gemeldet werden?
- Können Sie die Einhaltung der Punkte 1. bis 9. nachweisen?
Skizzieren Sie die unternehmensinternen Prozesse und versenden Sie Musterdokumente für die entsprechenden Vorgänge. Dazu verpflichtet Sie der Fragebogen. Gehen Sie auch auf die Qualifikation Ihres DSB ein. Ihr Verabreitungsverzeichnis bietet hier erste Anhaltspunkte.
5. Sind die Prüfungen irgendwann beendet?
Die Datenschutzkontrollen finden fortlaufend statt. Dazu sind die Aufsichtsbehörden gemäß der DSGVO verpflichtet. Ob und wann die Landesdatenschutzbehörde Ihr Unternehmen prüft, ist nicht vorhersehbar. Erkennen die Datenschutzbehörden, dass bestimmte Branchen überproportional häufig Datenschutzverstöße begehen, führen sie dort Schwerpunktprüfungen durch.
6. Welche Unternehmen betreffen die Datenschutzkontrollen?
Die Landesdatenschutzbehörden überprüfen derzeit insbesondere Onlineshops, Arztpraxen, Großkonzerne und den Ablauf von Bewerbungsverfahren bei Unternehmen. Folgende Unternehmen und Bereiche sind von den Datenschutzkontrollen betroffen:
- Online-Shops: Die Gefährdungslage im Internet ist besonders hoch. Verstößt ein Online-Shop gegen die Bestimmungen der DSGVO, verhängt die Landesdatenschutzbehörde gegebenenfalls Bußgelder.
- Arztpraxen: Es gibt in Deutschland vermehrt Angriffe auf Arztpraxen durch Trojaner. Diese sperren personenbezogene Daten auf den Rechnern von Arztpraxen. Die Hacker fordern anschließend ein Lösegeld. Ohne eine schützende Infrastruktur infizieren Hackern das gesamte Netzwerk der jeweiligen Organisation.
- Großkonzerne: Hier ist eine Vor-Ort-Kontrolle vorprogrammiert. Die Aufsichtsbehörde kann nur durch solche Kontrollen bewerten, ob das Unternehmen die DSGVO tatsächlich umsetzt. Die DSGVO sieht eine Beweislastumkehr vor: Großkonzerne sind dazu verpflichtet, die Einhaltung der DSGVO nachzuweisen. Sie unterliegen dahingehend einer Rechenschaftspflicht.
- Bewerbungsverfahren: Das BayLDA überprüft, ob Unternehmen den Informationspflichten im Bewerbungsverfahren nachkommen. Eine erste Überprüfung fand bereits im Jahr 2015 statt. Das BayLDA fragt auch ab, ob Unternehmen den Arbeitnehmerdatenschutz beachten.
- Kleine und mittelständische Unternehmen (KMUs): Abfrage von technischen und organisatorischen Schutzmaßnahmen. Deren Umfang richtet sich danach, um welche Art von Unternehmen es sich handelt und wie groß dieses ist. Das BayLDA überprüft insbesondere Unternehmen, die in der Vergangenheit durch Beschwerden auffielen.
INTERESSANT
Das BayLDA begann im November 2018 damit, das Patch Management bei WordPress zu überprüfen, insbesondere das WP GDPR Compliance Plugin. Die Datenschutzprüfung läuft weiterhin (Stand: Juni 2023).
7. Diesen Unternehmen drohen Datenschutzkontrollen
Die DSGVO gilt mittlerweile seit fünf Jahren. Wussten Sie schon, dass dennoch viele Unternehmen bis dato nicht alle Regelungen umgesetzt haben? In unserem Artikel „Die Top 7 DSGVO-Vorgaben, die Webseitenbetreiber 2023 immer noch nicht umgesetzt haben“ können Sie checken, ob Sie auch dazu gehören.
Vermeiden Sie Bußgelder, die im Rahmen einer Datenschutzprüfung auf Sie zukommen könnten. In den folgenden Situationen besteht ein erhöhtes Risiko, in die Datenschutzprüfungen zu gelangen:
- Sie sind ein KMU oder ein Großkonzern
- Sie haben eine Personalabteilung
- Personen beschwerten sich bei der Landesdatenschutzbehörde über Ihr Unternehmen
8. FAQ: Die 7 wichtigsten Fragen zu den Datenschutzprüfungen der Landesdatenschutzbehörden