Das LDA ist die Datenschutz-Aufsichtsbehörde für Unternehmen in Bayern. Die Behörde hat im September 2018 angefangen, Datenschutzkontrollen bei Unternehmen durchzuführen. Diese Datenschutzprüfungen sind teilweise anlassbezogen, finden aber auch anlasslos statt. Anlassbezogene Prüfungen erfolgen meistens aufgrund einer Beschwerde oder bei konkreten Hinweisen auf mögliche Datenschutzverstöße durch Dritte. Anlasslose Prüfungen erfolgen nach pflichtgemäßem Ermessen der Behörde. Das LDA hat dabei schon im Sommer angekündigt, ab September 2018 bestimmte Branchen und bestimmte Arten von Datenverarbeitungen genauer unter die Lupe zu nehmen.
Wie wird vorgegangen?
Das Bayerische Landesamt für Datenschutzaufsicht versendet an die Unternehmen einen Fragenkatalog und fordert dazu auf, die gestellten Fragen innerhalb einer Frist zu beantworten.
Die DSGVO schreibt dem datenschutzrechlich Verantwortlichen vor, dass er die Einhaltung der datenschutzrechtlichen Vorgaben nachweisen muss. Das ganze nennt sich „Rechenschaftspflicht“ und führt dazu, dass man solche Nachweise den Behörden gegenüber jederzeit vorlegen können muss.
Außerdem verfügen die Datenschutzbehörden über bestimmte Untersuchungsbefugnisse, die es ihr gestatten, den Verantwortlichen anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind und darüber hinaus Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen. Auf dieser Basis werden die Fragebögen an die Unternehmen versendet.
Welche Fragen werden gestellt?
Die Fragen des LDA sind online abrufbar. Machen Sie doch einmal den Selbsttest. Welche dieser Fragen können Sie mit gutem Gewissen und zur Zufriedenheit der Behörde beantworten:
- Ist ein Datenschutzbeauftragter bestellt und der Aufsichtsbehörde gemeldet?
[*]Welche Aufgaben hat Ihr Datenschutzbeauftragter?
[*]Sind, falls Sie einen Datenschutzbeauftragten haben, die letzten (zwei) Audits des Datenschutzbeauftragten vorhanden und besitzen diese eine einheitliche Prüfmethodik?
[*]Gibt es bei Ihnen einen Betriebsrat?
[*]Sind, sofern mehrere Standorte vorhanden sind, die anderen Niederlassungen in ein einheitliches Datenschutzkonzept eingebunden?
[*]Gibt es ein Konzept im Unternehmen, wer bezogen auf den Datenschutz für was zuständig ist (z.B. Schulung der Mitarbeiter, Meldung von Datenschutzverletzungen,…)?
[*]Ist ein vollständiges Verarbeitungsverzeichnis vorhanden?
[*]Gibt es bei Ihnen Verarbeitungen, die Sie auf die Rechtsgrundlage „Interessenabwägung“ nach Art. 6 Abs. 1 f DS-GVO stützen? Wenn ja, sind dafür dokumentierte Begründungen vorhanden?
[*]Gibt es bei Ihnen Verarbeitungen, die Sie auf die Rechtsgrundlage „Einwilligung“ nach Art. 6 Abs. 1 a DS-GVO stützen?
[*]Existiert ein Löschkonzept (z.B. nach DIN 66398), das auch den Umgang mit Archiven und Backups regelt?
[*]Werden geeignete Security-Maßnahmen zur Sicherstellung der Verfügbarkeit, Vertraulichkeit und Integrität nach Art. 32 DS-GVO getroffen?
[*]Sind die Beschäftigten zur weisungsgebundenen Verarbeitung personenbezogener Daten in ihrem Arbeitsbereich sensibilisiert und verpflichtet (Art. 29 DS-GVO)?
[*]Gibt es bei Ihnen Verarbeitungstätigkeiten, für die eine gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO gegeben ist?
[*]Ist ein dokumentierter Prozess vorhanden, wie mit Auskunftsansprüchen nach Art. 15 DS-GVO umgegangen wird?
[*]Wurden die Webseite(n) seit dem 25. Mai 2018 derart überarbeitet, dass auf ihnen über die Datenverarbeitung (der Webseite) ausreichend gemäß Art. 13 DS-GVO informiert wird?
[*]Ist ein Verfahren vorhanden, mit dem die Antwortzeiten auf Fristeinhaltung bezüglich der Betroffenenrechte gemäß Art. 14 bis 22 sicherstellt werden?
[*]Ist ein Verfahren vorhanden, mit dem auf Anfragen der Datenschutzaufsichtsbehörden bezüglich dort eingegangener Datenschutzbeschwerden reagiert wird?
[*]Sind Schulungsunterlagen vorhanden, mit denen die Personen, die an den Prozessen zur Sicherstellung der Betroffenenrechte mitarbeiten, sachgerecht informiert werden?
[*]Wie viele Datenschutzverletzungen nach Art. 33/34 DS-GVO sind bei Ihnen bekannt geworden?
[*]Gibt es einen (dokumentierten) Prozess, um Datenschutzverletzungen innerhalb 72 Stunden (auch an Wochen- enden/Feiertagen) bei der zuständigen Aufsichtsbehörde zu melden?
Was ist zu tun?
Wenn Sie bei einer oder mehrerer der Fragen ins Stocken geraten oder einfach nicht ausreichend antworten können, dann ist Ihre DSGVO-Umsetzung unzureichend.
Melden Sie sich jederzeit bei uns unter info@schutt-waetke.de und wir können Sie dabei unterstützen.
Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht
Schutt, Waetke Rechtsanwälte & Fachanwälte – IT-Recht, Veranstaltungsrecht, Urheberrecht
Wir sind hoch spezialisiert auf die Bereiche Veranstaltung & Event, IT & Internet und Urheber & Medien.
Wir vertreten bundesweit Mandanten aus allen Branchen, insbesondere aber aus der Event-, IT- und Medienbranche.
Timo Schutt – Fachanwalt für IT-Recht, Dozent
Thomas Waetke – Fachanwalt für Urheber- und Medienrecht, Dozent & Buchautor
http://www.schutt-waetke.de/kontakt/impressum/
Schutt, Waetke – Rechtsanwälte
Kriegsstraße 37
76133 Karlsruhe
Telefon: +49 (721) 1205-00
Telefax: +49 (721) 1205-05
http://www.schutt-waetke.de
Rechtsanwalt und Fachanwalt für IT-Recht
Telefon: +49 (721) 1205-00
Fax: +49 (721) 1205-05
E-Mail: info@schutt-waetke.de