Es klingelt. Die Aufsichtsbehörde ist da. Und jetzt?


Mit diesem Besuch haben Sie nicht gerechnet? Oder ist er Ihnen bereits angekündigt worden? Egal. Wenn die Aufsichtsbehörde klingelt, wird wohl jeder nervös. Jedenfalls zählt Ihr Unternehmen zum Kreis derer, die eine verbeamtete Datenschutzprüfung über sich ergehen lassen müssen. Wie steht um Ihren unternehmerischen Datenschutz? Genau dies will der Behördenbesucher mit seiner Prüfung herausfinden. Was ich Ihnen auf jeden Fall empfehle: "Gaaaaaaanz tiiiieeef durchatmen, bitte!"


Die Vorbereitung der Aufsichtsbehörde begann im Juni 2018 mit einer branchenübergreifenden Querschnittsprüfung. Im Fragenkatalog, verschickt an 50 zufällig ausgewählte Unternehmen, wurden zehn Bereiche hinsichtlich des Datenniveaus nachgefragt. Schon damals stand fest: Man ließ sich nicht in die Karten schauen. Die Zahl der Vor-Ort-Prüfungen in 2018 ist jedenfalls sprunghaft angestiegen. In diesem Jahr wird es nicht anders sein.


Dabei folgen die Prüfbeamten einem roten Faden, um herauszufinden, dass in Puncto Datenschutz etwas tut, vor allem aber, wie es in Ihrem Unternehmen umgesetzt wird. Und zwar KONKRET und DETAILLIERT umgesetzt wird. Mit generalisierenden Aussagen lässt sich jedenfalls kein Staat machen. Fazit:


Datenschutzlösungen "von der Stange" sind hochgefährlich! Sie können teuer werden, sehr teuer.

Es dürfte beruhigend sein, wenn Sie bei der Prüfung auf jurischen Sachverstand bauen. Erlaubt ist durchaus die Frage, ob Sie etwas zu Trinken anbieten dürften. Nichtalkoholische Getränke zum Beispiel. Nur, bitte, kein oppulentes Buffet Ihres Lieblingsitaliener! So weit, so gut. Dann geht es ins Eingemachte, zum Beispiel mit folgenden Anforderungen:


  1. Sind Ihre Vorbereitungen auf die Umsetzung der DSGVO-Vorgaben für sämtliche Firmenbereiche abgeschlossen? Haben Sie Datenschutzschulungen durchführen lassen? Und wie sehen Maßnahmen konkret aus?

  2. Können Sie Ihre Verzeichnisse von Verarbeitungstätigkeiten nachweisen? (Die Konformität mit Art. 30 Abs. 1 DSGVO wird so überprüft)

  3. Welche Rechtsgrundlagen zur Verarbeitung personenbezogener Daten publizieren Sie? (Bedeutet die Grundlage eine Einwilligung des Betroffenen, müssen Sie dies dokumentieren können, die Plausibilität mit den Vorgaben der DSGVO muss sich ablesen lassen)

  4. Stichwort "Betroffenenrechte". Wie verfahren Sie mit diesen Rechten in Ihrem Unternehmen? (Alleine eine Checkliste der Aufsichtsbehörde ist rund drei Seiten stark!)

  5. Weiter geht es mit sogenannten TOMs, also Ihre technischen und organisatorischen Maßnahmen sowie die wichtigem Voreinstellungen. (Die TOMs sind ebenfalls zu dokumentieren, müssen konkret die Risiken der Verarbeitung personbezogener Daten spiegeln, was zwingend vorgeschrieben ist!)

  6. Ein anderes schwieriges Thema: Datenschutz-Folgeabschätzung. (Liegen sämtliche Auftragsverarbeitungsverträge gem. Art. 28 DSGVO vor? (Die Inhalte müssen unter allen Umständen DSGVO-konform sein!)

Sechs Beispiele, sechs Stolperfallen!

Waren Sie bisher noch der Meinung, mit Ihrem Datenschutz wäre schon alles gut, könnten Sie nun eines Besseren belehrt werden. Die Prüfer geben sich mit Null-Acht-Fünfzehn-Antworten definitiv nicht zufrieden. Letztlich wird Ihr gesamtes Datenschutzkonzept auf die Waage gelegt und auf DSGVo-Konformität geprüft. Im besten Fall wird die Aufsichtsbehörde im Anschluss an die Prüfung genau sagen, wo Sie Optimierungsbedarf haben und in welchem Rahmen Anpassungen durchzuführen sind. Im nicht so positiven Fall könnte die Aufsichtsbehörde auch ein Bußgeldverfahren gegen Sie einleiten. Und wie Sie darauf reagieren können/müssen, ist eine Frage, die Sie mit Ihrem Juristen und/oder mit Ihrem Datenschutzberater klären sollten.





2 Ansichten

Fuggerstraße 6

89250 Senden

Montag - Freitag:

09.00 - 13.00 Uhr

14.00 - 18.00 Uhr

0 73 07 . 93 60 40 7

0 73 07 . 93 60 40 8

Notfall: 0176 . 71 14 84 36

Copyright 2020 Contana Datenschutzservice e. K.

Diese Website stellt keine Rechtsberatung gemäß Rechtsdienstleistungsgesetz (RDG) dar, die ausnahmslos Rechtsanwätinnen bzw. Rechtsanwälten vorbehalten ist und ausgeübt werden dürfen. Die Inhalte der Website dienen vielmehr der unverbindlichen Information.

Wir übernehmen deshalb keine Gewähr auf Richtigkeit und Vollständigkeit.