Fragebogen der Aufsichtsbehörde prüft Umsetzung der DSGVO

News

Die Landesbeauftragte für den Datenschutz Niedersachen (LfD), Frau Barbara Thiel, prüft seit Ende Juni die Umsetzung der DSGVO. Der branchenübergreifende Fragebogen wird an 50 Unternehmen unterschiedlicher Größen in Niedersachen gerichtet werden. Einzelheiten zur Querschnittsprüfung erfahren Sie hier.

Die Prüfaktion der Aufsichtsbehörde Niedersachen

Seit Ende Juni prüft die Aufsichtsbehörde in einem Fragebogen rund 20 große und 30 mittelgroße Unternehmen aus verschiedenen Branchen. Kleinere Unternehmen sind nicht betroffen.

Das Ziel wurde von Frau Thiel klar formuliert:

„Ich möchte mir zunächst einen Überblick darüber verschaffen, wie die Firmen die zweijährige Übergangszeit bis zur Geltung der DS-GVO genutzt haben.“

Es soll festgestellt werden, inwieweit noch Nachholbedarf bei den Unternehmen besteht. Das Bewusstsein für den Datenschutz soll gestärkt werden. Es ist nicht primär das Ziel, auch Bußgelder zu verhängen:

„Mein Hauptanliegen dabei ist es zu identifizieren, ob es bei den verantwortlichen Stellen noch Nachholbedarf gibt. Außerdem möchte ich mit dieser Prüfung das Bewusstsein für Datenschutz im Allgemeinen und die Vorschriften der DS-GVO im Speziellen stärken. Es geht zum jetzigen Zeitpunkt also nicht vorrangig darum, möglichst viele Fehler zu finden und Bußgelder zu verhängen. Stattdessen möchten wir aufklären, sensibilisieren und wertvolle Hinweise geben. Trotzdem kann es natürlich zu einem entsprechenden Verfahren kommen, wenn wir während der Prüfung Verstöße gegen die DS-GVO feststellen.“

Prüfung der Umsetzung durch Fragebogen

Der Fragebogen der Aufsichtsbehörde enthält die Punkte, die ein Datenschutzmanagementsystem nach der DSGVO aufweisen muss. Der Fragebogen enthält folglich nichts Neues. Die Prüfung beschränkt sich auf grundsätzliche Vorgaben, die jedes Unternehmen – gleich dem Umsetzungsstand – zumindest implementiert haben sollte.

Folgende Bereiche werden näher betrachtet:

  1. Vorbereitung auf die DS-GVO
    Wie haben Sie sich als Unternehmen auf die DS-GVO vorbereitet?
  2. Verzeichnis von Verarbeitungstätigkeiten
    Wie wird sichergestellt, dass alle Ihre Geschäftsabläufe, bei denen personenbezogene Daten verarbeitet werden, in ein Verzeichnis von Verarbeitungstätigkeiten aufgenommen wurden und diese aktuell sind? Wie stellen Sie dessen Aktualität sicher?  Eine Übersicht der dokumentierten Verfahren sowie ein Beispielverfahren als Muster ist beizulegen.
  3. Zulässigkeit der Verarbeitung
    Auf welcher Rechtsgrundlagen werden personenbezogene Daten verarbeitet? Ein Muster für eine Einwilligung ist beizulegen.
  4. Betroffenenrechte
    Wie werden die Betroffenenreichte sichergestellt? Die Prozesse sind zu skizzieren. Insbesondere soll detailliert auf die Informationspflichten eingegangen werden und auch insofern ein Muster an die Aufsichtsbehörde übersandt werden.
  5. technischer Datenschutz
    Gefragt wird auch, inwieweit die technischen und organisatorischen Maßnahmen des Verantwortlichen bzw. seiner Dienstleister ein angemessenes Schutzniveau gewährleisten und an den jeweiligen Stand der Technik angepasst sind. Es wird auch gefragt, wie sichergestellt ist, dass für eingesetzte IT-Anwendungen ein dokumentiertes datenschutzkonformes Rollen- und Berechtigungskonzept vorliegt und wie die Grundsätze „Privacy by Design“ und „Privacy by Default“ berücksichtigt werden.
  6. Datenschutz-Folgenabschätzung
    Wie stellen Sie sicher, dass Verarbeitungen mit einem voraussichtlich hohen Risiko für die Rechte und Freiheiten der Betroffenen erkannt und für diese eine Datenschutz-Folgenabschätzung durchgeführt wird? Wurden Verarbeitungen mit einem voraussichtlich hohen Risiko für die Rechte und Freiheiten der Betroffenen identifiziert? Wenn ja, welche?
  7. Auftragsverarbeitung
    Wurden bestehende Verträge mit Auftragsverarbeitern an die neuen Regelungen der DS-GVO angepasst? Auch ein Beispielvertrag ist der Antwort an die Aufsichtsbehörde beizfügen.
  8. Datenschutzbeauftragter
    Inwieweit ein Datenschutzbeauftragter in die Organisation eingebunden ist, wird ebenfalls gefragt. Dabei ist auch auf dessen Fachkundenachweise einzugehen
  9. Meldepflichten
    Der Prozess zur Meldung von Datenschutzvorfällen ist zu skizzieren.
  10. Dokumentation
    Inwieweit die Einhaltung der vorgenannten Punkte nachgewiesen werden kann, ist schließlich gegenüber der Aufsichtsbehörde zu erläutern.

Was möchte die Aufsichtsbehörde erreichen? Wo stehen Sie?

Die Aufsichtsbehörde in Niedersachsen erhofft sich durch die Prüfaktion insbesondere Hinweise für die zukünftige Arbeit, zum Beispiel für Schwerpunktprüfungen in bestimmten Branchen. Im Besonderen sollen aber auch Erkenntnisse über Beratungs- und Aufklärungsbedarf in Erfahrung gebracht werden, um etwa neue Orientierungshilfen erarbeiten zu können. Die Aufsichtsbehörde unterstreicht damit auch noch einmal Ihre Beratungsfunktion deutlich, was für die Praxis positiv ist.

Wo stehen Sie bei Ihrer Umsetzung? Was könnten Sie antworten? Wir freuen uns auf interessante Kommentare.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Grundverordnung (DSGVO)

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.