To Do: DSGVO – Die Datenschutzbeauftragte in Niedersachsen nimmt das Engagement von 50 Unternehmen genauer unter die Lupe

In einigen Betrieben in Niedersachsen könnte es derzeit zu fiebrigem Eifer und zusätzlichen Überstunden kommen. Jedenfalls dann, wenn das Unternehmen im Zuge der Umsetzung der neuen Datenschutzverordnung nicht aktiv geworden ist und keine Änderungen in der Geschäftspraxis vorgenommen hat. Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD), Barbara Thiel, hat im Juni dieses Jahres niedersächsische Unternehmen angeschrieben, um zu prüfen, wie sie sich bisher auf die seit Mai geltende Datenschutzgrundverordnung (DSGVO) eingestellt haben.

In einer Querschnittsprüfung, die die Unternehmensbranchen übergreifen soll, wendet sich die Behörde der Landesbeauftragten postalisch an insgesamt 50 Unternehmen unterschiedlicher Größe und fordert diese auf, mehr als zehn Fragen zu datenschutzrechtlichen Themen zu beantworten.

Dabei sollen die Unternehmen nicht nur erläutern, wie sie sich auf die DSGVO in der Vergangenheit vorbereitet haben und Betroffenenrechte nun aktuell wahren , sondern auch umfassend aktiv werden und eine Übersicht ihrer dokumentierten Verfahren sowie ein Beispielverfahren als Muster zusammentragen und der Landesbeauftragten zur Verfügung stellen. Das verlangt einiges an Arbeitsaufwand.

Ein Auszug des Fragebogens, den man in voller Länge als PDF hier einsehen kann:

- Wie haben Sie sichergestellt, dass alle Ihre Geschäftsabläufe, bei denen
personenbezogene Daten verarbeitet werden, in ein Verzeichnis von
Verarbeitungstätigkeiten aufgenommen wurden? Wie stellen Sie dessen Aktualität
sicher?
- Wie stellen Sie sicher, dass Sie für die von Ihnen aktuell oder zukünftig
eingesetzten IT-Anwendungen ein dokumentiertes datenschutzkonformes Rollen- und Berechtigungskonzept haben?
- Haben Sie in Ihrem Unternehmen Verarbeitungen mit einem voraussichtlich
hohen Risiko für die Rechte und Freiheiten der Betroffenen identifiziert? Welche?
Fügen Sie bitte die jeweilige Dokumentation zur Datenschutz-Folgenabschätzung
bei.

Es wird außerdem die Qualifikation des Datenschutzbeauftragten des Unternehmens hinterfragt und eine Skizzierung der Prozesse gefordert, damit der jeweilige Betrieb sicherstellen kann, Datenschutzverstöße fristgemäß an die Aufsichtsbehörde zu melden.

Aufgedeckte Verstöße können verfolgt werden

Dabei macht die Landesbeauftragte deutlich, dass es sich bei dem Fragekatalog nicht um eine rein informelle Erhebung handelt. Wenn Verstöße gegen die DSGVO festgestellt würden, seien auch entsprechende Verfahren möglich. „Ich möchte mir zunächst einen Überblick darüber verschaffen, wie die Firmen die zweijährige Übergangszeit bis zur Geltung der DS-GVO genutzt haben“, erklärt Barbara Thiel. „Mein Hauptanliegen dabei ist es zu identifizieren, ob es bei den verantwortlichen Stellen noch Nachholbedarf gibt. Außerdem möchte ich mit dieser Prüfung das Bewusstsein für Datenschutz im Allgemeinen und die Vorschriften der DS-GVO im Speziellen stärken. Es geht zum jetzigen Zeitpunkt also nicht vorrangig darum, möglichst viele Fehler zu finden und Bußgelder zu verhängen. Stattdessen möchten wir aufklären, sensibilisieren und wertvolle Hinweise geben. Trotzdem kann es natürlich zu einem entsprechenden Verfahren kommen, wenn wir während der Prüfung Verstöße gegen die DS-GVO feststellen.“

Angeschrieben wurden zunächst 30 mittelgroße und 20 große Unternehmen aus diversen Branchen, die ihren Hauptsitz in Niedersachsen haben. „Wir werden nicht den kleinen Handwerksbetrieb oder Bäcker an der Ecke prüfen“, sagt Barbara Thiel. Es sei momentan keine umfassende Überprüfung einzelner Branchen geplant. Vielmehr werde eine Querschnittsprüfung durchgeführt.

Mai 2019 soll die Auswertung abgeschlossen sein.

Im November erwartet die Behörde alle Antworten der Unternehmen erhalten und ausgewertet zu haben. Anschließend werde man bei ausgewählten Unternehmen vor Ort vorbeischauen und nochmals gezielt nachhaken.

Ein Bericht, der die Antworten und Aktivitäten der Unternehmen zusammenfasst, soll im Mai 2019 vorliegen.

Es ist möglich, künftig bestimmte Brachen genauer zu beobachten

Bislang stellt der Fragenkatalog die größte Prüfung seit Bestehen der Aufsichtsbehörde dar. Die LfD erhofft sich von diesem Vorgehen auch Hinweise für ihre zukünftige Arbeit. Je nachdem zu welchen Ergebnissen man bei der Auswertung gelange, sei es möglich, dass künftig bestimmte Branchen intensiver als andere beobachtet würden. Außerdem möchte die Behörde herausfinden, wo noch besonders viel Nachholbedarf besteht und wen man noch besser beraten muss. Als Konsequenz daraus könne man eventuell neue Hilfen zur Orientierung für Unternehmer schaffen.

Ist Ihre Datenschutzerklärung rechtssicher?

Bei weiteren Fragen zu den Anforderungen der Datenschutzgrundverordnung steht Ihnen die IT Recht-Kanzlei gerne persönlich zur Verfügung. Die Rechtsexperten helfen Ihnen als Webseitenbetreiber, eine individuelle Datenschutzerklärung zu erstellen, die den Anforderungen der DSGVO entspricht.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.