Kleine und mittlere Unternehmen müssen Angaben über Ihren Datenschutz machen
In regelmäßigen Abständen überprüfen unterschiedliche Aufsichtsbehörden, ob der Datenschutz in den jeweiligen Unternehmen und Organisationen umgesetzt wird. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat Ende 2023 Datenschutzprüfungen angestoßen.
Wir möchten Ihnen anhand dieses Beispiels zeigen, welche Überprüfungen gemacht werden können und welche Fragen dabei gestellt werden.
Datenschutz muss umgesetzt werden
Wer personenbezogene Daten verarbeitet, muss die Vorgaben im Datenschutz umsetzen. Diese sind in der Datenschutzgrundverordnung (DS-GVO) und im Bundesdatenschutzgesetz (BDSG) festgelegt. Dabei müssen unterschiedlichste Dinge umgesetzt werden, dazu gehören zum Beispiel:
- Führen eines Verzeichnisses von Verarbeitungstätigkeiten (VVT)
- Implementieren von technischen und organisatorischen Maßnahmen (TOM)
- Einhaltung der Betroffenenrechte und Informationspflichten
- Durchführung von Schwellwertanalysen der Verarbeitungstätigkeiten und ggf. Datenschutzfolgenabschätzungen
- Mitarbeiterschulungen
- U. Berufen eines Datenschutzbeauftragten
Dabei ist es egal, wie groß die Organisation ist, ob es sich um ein Unternehmen, ein Verein, eine Schule, Kindergarten oder eine Kanzlei handelt. Wann immer personenbezogene Daten betroffen sind, muss die Umsetzung des Datenschutzes überprüft und die Vorgaben eingehalten werden.
Datenschutzprüfungen
Das Bayerische Landesamt für Datenschutzaufsicht hat schon in der Vergangenheit Prüfungen zum Thema Datenschutz verschickt. Aktuell wurden Ende 2023 Datenschutzprüfungen zum Thema „Schwellwertanalyse von Verarbeitungstätigkeiten“ verschickt.
Die Aufsichtsbehörde beruft sich dabei auf die Aufsicht nach Art. 58 DS-GVO. Die Organisationen, die diese Prüfungen erhalten, bekommen jeweils einen Prüfungsbogen zu den entsprechenden Themen zugeschickt mit entsprechenden Informationen dazu.
BLOG-TIPP: UMSETZUNG DER DS-GVO: BESTELLPFLICHT FÜR DEN (EXTERNEN) DATENSCHUTZBEAUFTRAGTEN
Datenschutzprüfung zum Thema Schwellwertanalyse von Verarbeitungstätigkeiten
Im offiziellen Schreiben auf der Homepage des Bayerischen Landesamt für Datenschutz begründet die Aufsichtsbehörde Ihre Prüfung:
„Im Rahmen unserer gesetzlichen Aufgaben untersuchen wir mit dieser Datenschutzprüfung zufällig ausgewählte Verantwortliche hinsichtlich Einträgen des Verzeichnisses der Verarbeitungstätigkeiten (Art. 30 DS-GVO), bei de_nen die Schwellwertanalyse (siehe Anlage A: Informationsblatt) zur Datenschutzfolgenabschätzung (Art. 35 DS_GVO) wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen ergeben hat.“ (Quelle: BayLDA)
Die Frist für die Einrichtung der Unterlagen war Ende 2023. Dieses Beispiel zeigt, wie wichtig die Einhaltung der entsprechenden Vorgaben des Datenschutzes und auch die Dokumentation der Vorgänge zum Nachweis bei den Aufsichtsbehörden ist.
Fragen zur Schwellwertanalyse
Die Schwellwertanalyse wird genutzt, um herauszufinden, ob eine Datenschutzfolgenabschätzung durchgeführt werden muss. Diese ist immer dann notwendig, wenn die Verarbeitung der personenbezogenen Daten ein hohes Risiko für den Betroffenen darstellen kann. Das ist in der Regel bei der Verarbeitung von personenbezogenen Daten besonderer Kategorien der Fall.
In der Schwellwertanalyse wird dann zum Beispiel geprüft, ob der Eintrag des VVT unter diese Art von Verarbeitung fällt. Die Fragen in der Prüfung des BayLDA werden dazu entsprechende Fragen gestellt.
Dazu geht es in den verschiedenen Prüfpunkten u.a. um die Nennung der Verarbeitungskategorien, aber auch um die Zusendung aller Einträge des VVT, bei denen eine Schwellwertanalyse zu einer Datenschutzfolgenabschätzung geführt hat.
BLOG-TIPP: DATENSCHUTZ-FOLGENABSCHÄTZUNG NACH DS-GVO
Dokumentation wichtig im Datenschutz
Diese Prüfung zeigt auch, wie wichtig die ausführliche Dokumentation der Vorgänge im Datenschutz ist. Neben der Umsetzung des Datenschutzes und einer kontinuierlichen Weiterentwicklung der Konzepte im Umgang mit personenbezogenen Daten, ist die Dokumentation auch gegenüber den Aufsichtsbehörden wichtig und verpflichtend.
Erfolgt hier eine Nachfrage, wie in dem konkreten Beispiel gezeigt, müssen die durchgeführten Maßnahmen nachgewiesen werden.
BLOG-TIPP: DS-GVO: DARF MAN KUNDENDATEN UNTERNEHMENSÜBERGREIFEND VERWENDEN?
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.