Etwas mehr als zwei Monate ist es her, dass die DS-GVO wirksam geworden ist. Die Unsicherheiten hinsichtlich der verordnungskonformen Umsetzung der Vorgaben der DS-GVO sind größtenteils geblieben. Insofern ist es interessant, zu erfahren, wie Prüfungen der Aufsichtsbehörden aussehen können.
Einen ersten diesbezüglichen Hinweis auf die Prüfungspraxis hat kürzlich die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) gegeben. Das LfD hat nämlich an 50 Unternehmen unterschiedlicher Größe einen Fragebogen versandt, den die Unternehmen zu beantwortet zurückzusenden haben.
Drohen bereits Bußgelder?
Laut der Aufsichtsbehörde ist es nicht das vorrangige Ziel der Aktion, „möglichst viele Fehler zu finden und Bußgelder zu verhängen“. Vielmehr soll durch den Fragebogen aufgeklärt und sensibilisiert werden (Pressemitteilung des LfD). Die Ergebnisse sollen genutzt werden um den Unternehmen „wertvolle Hinweise“ geben zu können. Allerdings teilt die Behörde auf Ihrem Internetauftritt auch mit, dass es natürlich zu einem entsprechenden Verfahren kommen kann, wenn während der Prüfung Verstöße gegen die DS-GVO festgestellt werden.
Insofern erscheint es so, dass sich direkt die erste Frage des Fragebogens inhaltlich irgendwo zwischen Fangfrage und Unsinnigkeit bewegt. Und zwar soll hier, sofern noch nicht alle Maßnahmen vollständig umgesetzt wurden, der jeweilige Umsetzungsstatus erläutert werden.
Diese Formulierung hat insofern den Anschein eine Fangfrage zu sein, da der Verantwortliche, je genauer er seine Defizite „erläutert“, eine umso bessere Vorlage und Begründung für die Verhängung eines Bußgeldes gibt. Unsinnig oder zumindest nicht zielführend ist die Frage insoweit, als die Gefahr besteht, dass jeder Verantwortliche, um sich nicht selbst zu belasten und um die Gefahr von Bußgelder zu minimieren, eine 100-prozentige Umsetzung angeben wird. Die zurückgemeldeten Informationen werden der Behörde als eventuell wenig Aufschluss darüber geben, wie weit die Umsetzung der DS-GVO tatsächlich bereits fortgeschritten ist oder in welchen Themenbereichen noch besonderer Beratungsbedarf besteht.
Was sind die abgefragten Schwerpunkte?
Die im Fragebogen enthaltenen Fragen decken die typischen Schwerpunkte der DS-GVO ab. Insbesondere wird Wert auf diejenigen Themen gelegt, bei denen es signifikante Änderungen zur bisherigen gesetzlichen Regelung vor dem 25.05.2018 gegeben hat und die daher in den Unternehmen zu einem Umsetzungsbedarf geführt haben. Hierbei handelt es sich insbesondere:
- das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DS-GVO),
- Sicherstellung der Betroffenenrechte,
- Einsatz angemessener technischen und organisatorischen Maßnahmen,
- Durchführung der Datenschutz-Folgenabschätzung (Art. 35 DS-GVO),
- Auftragsverarbeitung (Art. 28 DS-GVO),
- Benennung und Fachkunde des Datenschutzbeauftragten
- Sicherstellung der Erfüllung der Meldepflichten (Art. 33 DS-GVO),
- Erfüllung der Dokumentations- und Nachweispflichten
Welche Unternehmen wurden befragt?
Welche Unternehmen genau befragt wurden, hat die Behörde nicht veröffentlicht. Es wird aber mitgeteilt, dass es sich zunächst um 20 große und 30 mittelgroße Unternehmen aus verschiedenen Branchen handelt. Bis November 2018 sollen die Antworten ausgewertet werden und bei ausgewählten Unternehmen sollen anschließend Vor-Ort-Termine stattfinden. Der Abschlussbericht soll dann im Mai 2019 vorliegen.
Fazit
Wer sich rechtzeitig mit der Umsetzung der Vorgaben der DS-GVO befasst hat, wird keine größeren Probleme bei der Beantwortung der Fragen haben. Gerade im Hinblick auf die drohenden Bußgelder ist es sicher zu empfehlen, noch fehlende Maßnahmen kurzfristig umzusetzen und den Fragebogen dann erst nach Umsetzung an die Behörden zu senden. Fristen zur Beantwortung sollten selbstverständlich eingehalten werden. Unternehmen, die durch uns als Datenschutzbeauftragte betreut werden, haben bereits Anfang 2017 umfangreiche Handlungsempfehlungen erhalten, in denen alle Punkte des jetzt versandten Fragebogens enthalten waren. Gemeinsam wurden die Vorgaben der DS-GVO in verschiedenen Projekten umgesetzt.
Haben Sie noch Umsetzungsbedarf hinsichtlich der Vorgaben der DS-GVO? Gerne unterstützen wie Sie bei allen Maßnahmen, die notwendig sind um die DS-GVO verordnungskonform umzusetzen.