Ist mein Unternehmen DSGVO konform?

In die Umsetzung der DSGVO haben Unternehmen viel Zeit und Geld investiert. Nachdem die erste Umsetzungshektik verflogen ist, sollten Unternehmen ihren Status quo nun einer kritischen Prüfung unterziehen. Die Aufsichtsbehörden unterstützen eine derartige kritische Selbstbetrachtung.

So hat der Landesbeauftragte für den Datenschutz Niedersachsen den „Kriterienkatalog zur Querschnittsprüfung in der Wirtschaft 2018/19“ veröffentlicht.¹ Darin wird nicht nur danach gefragt, wie sich das Unternehmen auf die DSGVO vorbereitet hat. Die Aufsichtsbehörde will auch wissen, wie das Unternehmen sicherstellt, dass alle Geschäftsabläufe, bei denen personenbezogene Daten verarbeitet werden, in ein Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden und das Verzeichnis laufend aktuell gehalten wird. Ebenso wird gefragt, wie die Rechte der Betroffenen sichergestellt werden.

Insgesamt werden in dem Fragebogen ca. 200 Einzelkriterien abgefragt. Dabei kommen auch unangenehmere Themen zur Sprache wie zum Beispiel die ergriffenen Maßnahmen zur Löschung von Daten und der sogenannte technische Datenschutz.

Hier muss das Unternehmen nicht nur nachweisen, dass technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten existieren. Dokumentiert werden muss auch, dass vorher das Verarbeitungsrisiko ermittelt wurde und die getroffenen Maßnahmen diesem Risiko entsprechen. Ebenso muss dargelegt werden, wie festgestellt wird, ob sogenannte Datenschutzfolgenabschätzungen bei bestimmten Verarbeitungen erforderlich sind oder eben nicht. Die Aufsichtsbehörde will wissen, wie die Fälle erkannt werden, die ein hohes Risiko für die Rechte und Freiheiten der Betroffenen darstellen. Die Erfahrung zeigt, dass bei diesen Themen im Unternehmen nicht alles dokumentiert ist. Außerdem werden zahlreiche Fragen zu den Verträgen mit Auftragsdatenverarbeitern gestellt.

Auch das bayerische Landesamt für Datenschutzaufsicht hat bereits mit der Prüfung der Umsetzung der DSGVO bei kleinen und mittelständischen Unternehmen begonnen. Ein entsprechender Fragenkatalog wurde ebenfalls veröffentlicht.² Welche empfindlichen Zahlungsverpflichtungen bei Nichtbeachtung der DSGVO drohen, ist nachzulesen im kürzlich erschienenen Konzept der Datenschutzaufsichtsbehörden zur Bemessung von Bußgeldern.³

Praxistipp

Prüfen Sie die Umsetzung der DSGVO in Ihrem Unternehmen anhand der veröffentlichten Fragenkataloge. Gerne unterstützen wir Sie mit der fachkundigen Analyse der vorhandenen Abläufe und Dokumentationen.

Veröffentlicht im Newsletter Süßwarenindustrie Spezial – Ausgabe 2020.

__________

^{1 lfd.niedersachsen.de/startseite/datenschutzreform/ds_gvo/kriterien-querschnittspruefung-179455.html; letzter Zugriff: 01.11.2019.}

^{2 www.lda.bayern.de/media/pruefungen/201811_kmu_fragebogen.pdf; letzter Zugriff: 01.11.2019.}

^{3 www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf; letzter Zugriff: 01.11.2019.}