DSGVO StrafenLesezeit: 3 Min

Kleine und mittlere Unternehmen müssen Angaben über Ihren Datenschutz machen

In regelmäßigen Abständen überprüfen unterschiedliche Aufsichtsbehörden, ob der Datenschutz in den jeweiligen Unternehmen und Organisationen umgesetzt wird. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat Ende 2023 Datenschutzprüfungen angestoßen.

Wir möchten Ihnen anhand dieses Beispiels zeigen, welche Überprüfungen gemacht werden können und welche Fragen dabei gestellt werden.

Datenschutz muss umgesetzt werden

Wer personenbezogene Daten verarbeitet, muss die Vorgaben im Datenschutz umsetzen. Diese sind in der Datenschutzgrundverordnung (DS-GVO) und im Bundesdatenschutzgesetz (BDSG) festgelegt. Dabei müssen unterschiedlichste Dinge umgesetzt werden, dazu gehören zum Beispiel:

  • Führen eines Verzeichnisses von Verarbeitungstätigkeiten (VVT)
  • Implementieren von technischen und organisatorischen Maßnahmen (TOM)
  • Einhaltung der Betroffenenrechte und Informationspflichten
  • Durchführung von Schwellwertanalysen der Verarbeitungstätigkeiten und ggf. Datenschutzfolgenabschätzungen
  • Mitarbeiterschulungen
  • U. Berufen eines Datenschutzbeauftragten

Dabei ist es egal, wie groß die Organisation ist, ob es sich um ein Unternehmen, ein Verein, eine Schule, Kindergarten oder eine Kanzlei handelt. Wann immer personenbezogene Daten betroffen sind, muss die Umsetzung des Datenschutzes überprüft und die Vorgaben eingehalten werden.

BLOG-TIPP: DATENSCHUTZ UND KLEINUNTERNEHMEN IN KÖLN, BONN, DÜSSELDORF, SIEGBURG, GUMMERSBACH UND UMGEBUNG

Datenschutzprüfungen

Das Bayerische Landesamt für Datenschutzaufsicht hat schon in der Vergangenheit Prüfungen zum Thema Datenschutz verschickt. Aktuell wurden Ende 2023 Datenschutzprüfungen zum Thema „Schwellwertanalyse von Verarbeitungstätigkeiten“ verschickt.

Die Aufsichtsbehörde beruft sich dabei auf die Aufsicht nach Art. 58 DS-GVO. Die Organisationen, die diese Prüfungen erhalten, bekommen jeweils einen Prüfungsbogen zu den entsprechenden Themen zugeschickt mit entsprechenden Informationen dazu.

BLOG-TIPP: UMSETZUNG DER DS-GVO: BESTELLPFLICHT FÜR DEN (EXTERNEN) DATENSCHUTZBEAUFTRAGTEN

Datenschutzprüfung zum Thema Schwellwertanalyse von Verarbeitungstätigkeiten

Im offiziellen Schreiben auf der Homepage des Bayerischen Landesamt für Datenschutz begründet die Aufsichtsbehörde Ihre Prüfung:

„Im Rahmen unserer gesetzlichen Aufgaben untersuchen wir mit dieser Datenschutzprüfung zufällig ausgewählte Verantwortliche hinsichtlich Einträgen des Verzeichnisses der Verarbeitungstätigkeiten (Art. 30 DS-GVO), bei de_nen die Schwellwertanalyse (siehe Anlage A: Informationsblatt) zur Datenschutzfolgenabschätzung (Art. 35 DS_GVO) wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen ergeben hat.“ (Quelle: BayLDA)

Die Frist für die Einrichtung der Unterlagen war Ende 2023. Dieses Beispiel zeigt, wie wichtig die Einhaltung der entsprechenden Vorgaben des Datenschutzes und auch die Dokumentation der Vorgänge zum Nachweis bei den Aufsichtsbehörden ist.

BLOG-TIPP: DATENSCHUTZ IN VERTRIEB UND MARKETING FÜR UNTERNEHMEN IN KÖLN, BONN, SIEGBURG UND GANZ NRW

Fragen zur Schwellwertanalyse

Die Schwellwertanalyse wird genutzt, um herauszufinden, ob eine Datenschutzfolgenabschätzung durchgeführt werden muss. Diese ist immer dann notwendig, wenn die Verarbeitung der personenbezogenen Daten ein hohes Risiko für den Betroffenen darstellen kann. Das ist in der Regel bei der Verarbeitung von personenbezogenen Daten besonderer Kategorien der Fall.

In der Schwellwertanalyse wird dann zum Beispiel geprüft, ob der Eintrag des VVT unter diese Art von Verarbeitung fällt. Die Fragen in der Prüfung des BayLDA werden dazu entsprechende Fragen gestellt.

Dazu geht es in den verschiedenen Prüfpunkten u.a. um die Nennung der Verarbeitungskategorien, aber auch um die Zusendung aller Einträge des VVT, bei denen eine Schwellwertanalyse zu einer Datenschutzfolgenabschätzung geführt hat.

BLOG-TIPP: DATENSCHUTZ-FOLGENABSCHÄTZUNG NACH DS-GVO

Dokumentation wichtig im Datenschutz

Diese Prüfung zeigt auch, wie wichtig die ausführliche Dokumentation der Vorgänge im Datenschutz ist. Neben der Umsetzung des Datenschutzes und einer kontinuierlichen Weiterentwicklung der Konzepte im Umgang mit personenbezogenen Daten, ist die Dokumentation auch gegenüber den Aufsichtsbehörden wichtig und verpflichtend.

Erfolgt hier eine Nachfrage, wie in dem konkreten Beispiel gezeigt, müssen die durchgeführten Maßnahmen nachgewiesen werden.

BLOG-TIPP: DS-GVO: DARF MAN KUNDENDATEN UNTERNEHMENSÜBERGREIFEND VERWENDEN?

Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.

Wir betreuen Mandanten in KölnDüsseldorfSiegen, Bonn, Siegburg und ganz NRWLesen Sie mehr zu unserem individuellen Angebot.

Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.

Datenschutzaufsicht in Bayern prüft DS-GVO-Umsetzung
Anfrage