Die Datenschutzbehörden von Niedersachsen und Bayern haben kürzlich angekündigt: Sie werden stichprobenartig prüfen, ob Unternehmen die Compliance-Vorschriften i.Z.m. der Datenschutz-Grundverordnung (DSGVO) einhalten. Weitere Datenschutzbehörden in Deutschland könnten sich ein Beispiel nehmen und folgen.
Im Juli 2018 wandte sich die niedersächsische Datenschutzbehörde an rund 50 Unternehmen mit Hauptsitz in Niedersachsen mit einem Fragebogen. Folgende Themen standen im Fokus:
- Wie hat sich das Unternehmen auf die DSGVO vorbereitet?
- Auf welche Weise hat das Unternehmen sichergestellt, dass alle Geschäftsabläufe, bei denen personenbezogene Daten verarbeitet werden, in ein Verzeichnis von Verarbeitungstätigkeiten aufgenommen wurden? Wie hält das Unternehmen das Verzeichnis aktuell?
- Auf welchen Rechtsgrundlagen beruht die Verarbeitung personenbezogener Daten, inkl. stichprobenartiger Prüfung von Einverständniserklärungen?
- Wodurch stellt das Unternehmen sicher, dass Betroffenenrechte eingehalten werden?
- Wie stellt das Unternehmen sicher, dass die technischen und organisatorischen Maßnahmen angemessen sind und dem Stand der Technik entsprechen? Wie regelt das Unternehmen Zugriffsrechte? Wie gewährleistet das Unternehmen Privacy by Design und by Default?
- Wie führt das Unternehmen sog. „Datenschutz-Folgenabschätzungen“ (Data Protection Impact Assessments, kurz DPIAs) durch? Für welche Prozesse hat das Unternehmen bereits „Datenschutz-Folgeabschätzungen“ durchgeführt?
- Wurden Auftragsdatenverarbeitungsverträge aktualisiert? Gibt es Musterverträge?
- Wie ist der Datenschutzbeauftragte in das Unternehmen eingebunden und welches Fachwissen hat er?
- Wie sieht das Verfahren für die Meldung von Sicherheitsverletzungen aus?
- Wie kann das Unternehmen nachweisen, dass es die vorgenannten Punkte einhält?
Datenschutzbehörde: Unterstützung und Hilfestellung für Unternehmen
Die Datenschutzbehörde in Niedersachsen erwartet detaillierte Stellungnahmen zusammen mit Beispielsdokumenten. Unspezifische Antworten werden daher nicht ausreichen. Außerdem kann die Datenschutzbehörde nach Auswertung der Antworten Vor-Ort-Termine für eine tiefergehende Prüfung durchführen.
Der Abschlussbericht dieser Querschnittsprüfung wird im Mai 2019 veröffentlicht. Die Datenschutzbehörde will dadurch vor allem Bereiche für weitere Prüfungen ermitteln und auch Bereiche, bei denen weiterer Beratungs- und Aufklärungsbedarf besteht.
Prüfung der bayerischen Datenschutzbehörde
Im September 2018 kündigte die bayerische Datenschutzbehörde folgende einleitende Prüfungsaktivitäten an:
- die Prüfung der – zunächst – drei größten Unternehmen in Bayern (Prüfung ohne spezifischen Fokus)
- eine Cybersecurity Prüfung von acht Arztpraxen
- die Prüfung von rund 25 Unternehmen in Sachen Compliance, inkl. Transparenzanforderungen für Bewerber
- eine Cybersecurity Prüfung von ca. 15 Unternehmen hinsichtlich Patch Management für Online Services
- eine Prüfung von ca. 10 Auftragsverarbeitern in Bezug auf Sicherheitslücken
- weitere Prüfungen werden folgen.
Behörde veröffentlicht Fragebögen online
Ähnlich wie die Datenschutzbehörde Niedersachsen wird die bayerische Datenschutzbehörde ihre Initiative mit einem Fragebogen starten, den die Unternehmen beantworten müssen. Die einzelnen Fragebögen werden, wie bereits gängige Praxis, auf der Seite der Datenschutzbehörde veröffentlicht.
Bei einer Prüfung vor Ort wird die bayerische Datenschutzbehörde dies typischerweise vier bis sechs Wochen vorher ankündigen und den erwarteten Umfang der Vor-Ort-Überprüfung bekanntgeben.
Die Datenschutzbehörde kann auch nach bestimmten Dokumenten fragen, v.a. nach Einwilligungen in die Datenverarbeitung, Vorlagen für Genehmigungen, Verpflichtungen zum Datengeheimnis seitens der Mitarbeiter, Aufzeichnungen zu Verarbeitungsvorgängen und Berechtigungskonzepten.
Weitere deutsche Datenschutzbehörden folgen bestimmt
Unternehmen sollten sich darüber im Klaren sein: Künftig können auf sie Prüfungen zukommen. Es ist zu erwarten, dass weitere Datenschutzbehörden in Deutschland dem Beispiel der beiden Behörden in Niedersachsen und Bayern folgen werden.
