Anzeige
Anzeige
Ratgeber
Artikel merken

Datenschutzprüfung im Rahmen der DSGVO: Was Unternehmen erwartet

Die DSGVO ist nun seit mehr als fünf Monaten in Kraft. Ganz langsam nehmen die Befürchtungen, die mit der DSGVO verbunden waren, ab. Die meisten Unternehmen haben ihr Datenschutzkonzept inzwischen zu großen Teilen an die DSGVO angepasst.

Von Alexander Ingelheim
6 Min. Lesezeit
Anzeige
Anzeige

(Foto: Shutterstock-Evlakhov Valeriy)

Und sind wir doch ehrlich, bis jetzt sind die befürchteten Katastrophen für die allermeisten Unternehmen auch nicht eingetreten. Doch was geschieht, wenn die Aufsichtsbehörden sich nun nach fünf Monaten ebenfalls gesammelt haben und Überprüfungen durchführen?

Datenschutzprüfung durch die Aufsichtsbehörde: Auf diese Fragen müssen Unternehmen sich einstellen

Anzeige
Anzeige

Die ersten Aufsichtsbehörden haben bereits Querschnittsprüfungen durchgeführt. Wir zeigen auf, was Unternehmen dabei zu erwarten haben und mit welchen Fragen sie konfrontiert werden:

1. „Wie haben Sie sich als Unternehmen auf die DSGVO vorbereitet?“

Diese Frage ist noch recht einfach zu beantworten. Entweder hat ein interner Datenschutzkoordinator an Fortbildungen und Schulungen zur DSGVO teilgenommen oder das Unternehmen arbeitet eng mit seinem Datenschutzbeauftragten oder einem Anwalt zusammen.

Anzeige
Anzeige

2. „Auf welcher Rechtsgrundlage verarbeiten Sie personenbezogene Daten?“

Für eine Antwort müssen Unternehmen den Art. 6 DSGVO betrachten. Dort werden verschiedene mögliche Rechtsgrundlagen aufgelistet. Sollten besondere Kategorien personenbezogener Daten verarbeitet werden, muss es dafür eine Rechtsgrundlage in Art. 9 DSGVO geben. Möglichkeiten, die Daten von Arbeitnehmern oder Bewerbern zu verarbeiten, finden sich in Art. 88 DSGVO verbunden mit § 26 BDSG-neu.

Anzeige
Anzeige

3. „Wie stellen Sie die Einhaltung der Betroffenenrechte (auf Information, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit) sicher?“

Alle Betroffenenrechte zu wahren und hierfür ein Konzept zu erstellen, nach dem die Anträge der Betroffenen auch fristgemäß beantwortet oder erfüllt werden, stellt die meisten Unternehmen vor große Schwierigkeiten. Zunächst muss hierfür genau bestimmbar sein, welche personenbezogenen Daten der betroffenen Personen überhaupt vorliegen und an welchen verschiedenen Orten diese gespeichert sind beziehungsweise anderweitig verarbeitet werden. Für Unternehmen bietet es sich an, eine detaillierte Liste mit allen verarbeiteten Daten zu erstellen. Im zweiten Schritt sollte dann aufgelistet werden, wie diese Daten verarbeitet werden. Das bedeutet, genau festzuhalten, welche Daten mit welchen Programmen und Arbeitsmitteln verarbeitet werden und wo diese gespeichert sind.

Zusätzlich sollte dargestellt werden können, wie die Daten in das Unternehmen gelangt sind und wohin das Unternehmen diese unter Umständen weitergibt. Ein kleiner Ausschnitt dieser Aufstellung könnte folgendermaßen aussehen: „Personaldaten werden im Ordner Personal im Laufwerk T gespeichert. Verarbeitet werden die Personaldaten mit den Programmen der Datev eG und der Personio GmbH. Weitergegeben werden Personaldaten an den Steuerberater des Unternehmens.“

Anzeige
Anzeige

4. „Wie stellen Sie sicher, dass Ihre technischen und organisatorischen Maßnahmen beziehungsweise die Ihrer Dienstleister ein (dem Verarbeitungsrisiko) angemessenes Schutzniveau gewährleisten?“

Um das notwendige Schutzniveau bestimmen zu können, müssen die verschiedenen Datenverarbeitungen im Unternehmen genauer betrachtet und das hinter dieser Verarbeitung stehende Risiko bewertet werden. Zudem müssen Kenntnisse über mögliche Maßnahmen bestehen. Es existieren bereits vielfältige und anerkannte organisatorische und auch technische Maßnahmen. Die verschiedenen Datenverarbeitungen des Unternehmens sind aus dem zu führenden Verarbeitungsverzeichnis ersichtlich. Zu jeder Verarbeitungstätigkeit sollte eine Risikobewertung durchgeführt werden. Die technischen und organisatorischen Maßnahmen sind nicht einzeln im Gesetz aufgezählt. Das würde den Rahmen der DSGVO sprengen.

Für die Aufstellung der technischen und organisatorischen Maßnahmen bietet es sich an, eng mit seinem Datenschutzbeauftragten zusammenzuarbeiten, da er die gängigen Maßnahmen kennen sollte. Alternativ gibt es Handbücher zur DSGVO, die auch technische und organisatorische Maßnahmen beschreiben. In Bezug auf die IT-Sicherheit sind auf der Website des Bundesamtes für Sicherheit in der Informationstechnik sehr umfangreiche Informationen zu finden. Eine Maßnahme, die für fast alle Unternehmen wichtig wäre und die von fast allen Unternehmen nicht richtig gehandhabt wird, ist die Verschlüsselung von E-Mails. Die Transportverschlüsselung stellt nach dem derzeitigen Stand der Technik das absolute Mindestmaß dar. Sobald jedoch sensible Daten per E-Mail weitergegeben werden, muss entweder eine Ende-zu-Ende-Verschlüsselung verwendet werden oder die sensiblen Daten sollten sich in einem separat verschlüsselten Anhang der E-Mail befinden. Das Passwort für den Anhang muss dann natürlich auf einem anderen Kommunikationskanal mitgeteilt werden.

5. „Wie stellen Sie sicher, dass Verarbeitungen mit einem voraussichtlich hohen Risiko für die Rechte und Freiheiten der Betroffenen erkannt und für diese eine Datenschutz-Folgenabschätzung durchgeführt wird?“

Es ist existieren keine leicht verständlichen Regeln für die Durchführung einer korrekten datenschutzrechtlichen Risikobewertung. Deshalb ist es für viele Unternehmer schwierig, hierfür einen geeigneten Prozess aufzubauen. Aus diesem Grund wird diese Frage häufig schwer zu beantworten sein. Zudem sind die Grenzen der Datenschutz-Folgenabschätzung noch nicht klar abgesteckt.

Anzeige
Anzeige

6. „Haben Sie Ihre bestehenden Verträge mit Auftragsverarbeitern an die neuen Regelungen der DSGVO angepasst?“

Das ist natürlich eine wichtige Frage. Jedoch stellt es in der Regel keine all zu große Herausforderung dar, die Auftragsverarbeitungsverträge an die DSGVO anzupassen. Auftragsdatenverarbeitungsverträge nach dem BDSG-alt waren den Anforderungen der DSGVO bereits sehr nahe. In Art. 28 Abs. 3 Satz 2 Buchstabe a) bis h) DSGVO sind die zwingend zu regelnden Inhalte eines Auftragsverarbeitungsvertrages nun jedoch leicht abgeändert dargestellt. Es sollte daher vor allem darauf geachtet werden, dass der Auftragsverarbeitungsvertrag diese Regelungen des Art. 28 DSGVO enthält. Zudem haben sich mit der DSGVO viele Begrifflichkeiten geändert, sodass diese im Auftragsverarbeitungsvertrag angepasst werden sollten, um Unklarheiten zu vermeiden.

7. „Wie ist Ihr Datenschutzbeauftragter in Ihre Organisation eingebunden?“

Der Datenschutzbeauftragte hat nach der DSGVO eine beratende, unterstützende und überprüfende Funktion. Diese sollte er natürlich auch in deinem Unternehmen haben. Das bedeutet, dass es vor allem ungünstig ist, Mitarbeiter oder Bekannte als Datenschutzbeauftragten „auf dem Papier“ einzusetzen, ohne, dass sie die Funktion tatsächlich ausfüllen oder das notwendige Fachwissen besitzen. Dies kann dazu führen, dass dein Unternehmen im Ergebnis auf Datenschutzprüfungen sehr schlecht vorbereitet ist.

8. „Wie stellen Sie sicher, dass Ihr Unternehmen Datenschutzverstöße fristgemäß an die Aufsichtsbehörde meldet?“

Es ist wichtig, Notfallpläne für Datenschutzverletzungen zu erarbeiten. Dabei ist vor allem sicherzustellen, dass die Mitarbeiter entsprechend sensibilisiert sind und die Meldewege im Unternehmen kennen. Es sollte zudem dafür gesorgt werden, dass der Datenschutzbeauftragte schnellstmöglich miteinbezogen wird, um auch seinen Rat bezüglich der Melde- oder Benachrichtigungspflicht berücksichtigen zu können. Nur so kann die Einhaltung der gesetzlichen Fristen für die Meldung und die Benachrichtigung der Betroffenen im Ernstfall eingehalten werden.

Anzeige
Anzeige

9. „Wie können Sie die Einhaltung aller Pflichten nachweisen?“

Die Beantwortung dieser Frage stellt wohl die größte Herausforderung dar. Wie schaffe ich es, die Einhaltung aller meiner Pflichten aus der DSGVO nachzuweisen? In der DSGVO sind unzählige Pflichten für Unternehmen geregelt. Mit den Nachweisen dieser Pflichten könnte jedes Unternehmen ein ganzes Buch mit mehreren Hundert Seiten füllen. Die wichtigsten Pflichten sind in den vorangegangenen Fragen dargestellt worden. Der Arbeitsaufwand für die Unternehmer und die Masse der entstehenden Unterlagen sind dabei jedoch nicht zu unterschätzen. Bereits die Dokumentation der technischen und organisatorischen Maßnahmen und die Dokumentation der regelmäßigen Prüfungen dieser Maßnahmen, machen einen großen Teil dieser Unterlagen aus. Hier bietet es sich an, bei der Behörde nachzufragen, welche Nachweise sie vorliegend erhalten will.

Bevorstehende Überprüfungen

Bereits in diesem Herbst sollen durch das Bayerische Landesamt für Datenschutz (BayLDA) Datenschutzprüfungen zur Cyber-Security durchgeführt werden. Hierbei soll vor allem auch geprüft werden, inwieweit es in den Unternehmen ein Konzept zum Umgang mit Datenschutzverletzungen gibt (Notfallplan) und wie dafür gesorgt wird, dass ein Vorfall rechtzeitig gemeldet wird. Ein interessanter Punkt bei diesen Prüfungen soll auch sein, wie mit Datenschutzverletzungen umgegangen wird, die bei den Auftragsverarbeitern des Verantwortlichen geschehen. Solche Datenschutzverletzungen werden derzeit nach der Aussage der Behörde äußerst selten gemeldet. Es ist jedoch statistisch nicht möglich, dass es bei Auftragsverarbeitern oder Unter-Auftragsverarbeitern keine Vorfälle gibt, sondern nur bei den Verantwortlichen.

Zudem will das BayLDA im kommenden Jahr die generelle Umsetzung der DSGVO in Unternehmen prüfen. Hierbei werden wahrscheinlich ähnliche Fragen wie die oben angeführten gestellt werden.

Anzeige
Anzeige

Müssen Unternehmen nun Angst haben?

Diese Frage ist mit einem klaren Nein zu beantworten. Die Behörden strafen Lücken im Datenschutzkonzept derzeit noch nicht mit Bußgeldern. Selbst bei Datenschutzverletzungen handhaben sie die Bußgelder restriktiv. Die Unternehmen werden eher auf Fehler hingewiesen und aufgefordert, diese zu beheben. Wer sich als Unternehmer also seit dem 25.5.18 um die Anpassung an die Anforderungen der DSGVO bemüht hat, sollte keine allzu großen Befürchtungen haben.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Ein Kommentar
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Jan-Philip Ziebold

Ergänzender Content – ebenfalls wie ihr hier im Artikel ohne Panikmache – für alle Onliner, speziell auf das wichtigste SALE-Instrument E-Mail-Marketing bezogen: https://www.youtube.com/watch?v=aH3Sw-Rp6pQ

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige