10 Fragen, die Sie der Datenschutzbehörde beantworten müssen

Infos zum Kontakt mit der Datenschutzbehörde

Ein Besuch durch eine Datenschutzbehörde ist unangenehmer als man denkt. Können die unten stehenden Fragen nicht zweifelsfrei beantwortet werden und liegen die entsprechenden Dokumente nicht vor, dann endet das im schlimmsten Fall in einem hohen Bußgeld, welches bis zu 4% des Jahresumsatz oder bis zu 20 Millionen Euro betragen kann.

Datenschutz ist Chefsache!

Ein Finger zeigt auf einem dunklen Computermonitor auf einen Datensatz, der grün leuchtet.
Sind Sie sicher?

Diese 10 Fragen sollten Sie beantworten können wenn Sie in Kontakt mit der Datenschutzbehörde kommen:

1.  Anforderungen

a. Haben Sie sich als Geschäftsleitung schon mit den neuen Anforderungen der DS-GVO und des BDSG (neu) befasst? Kennen Sie insbesondere die neuen Regelungen

  • zur Rechenschaftspflicht über die Einhaltung der Grundsätze der Datenverarbeitung (Art. 5 Absatz 2 DS-GVO)?  
  • zu den Informationspflichten gegenüber den Betroffenen, deren Daten Sie verarbeiten (Art. 12 – 14 DS-GVO)?
  • zu den Rechten der Betroffenen auf Datenübertragbarkeit (Art. 20 DS-GVO) ?
  • zur technischen und organisatorischen Sicherheit der Datenverarbeitung Art. 32 DS-GVO?   zur Datenschutz-Folgenabschätzung (Art. 35 DS-GVO)? zur Meldung von Datenschutzverstößen (Art. 33 DS-GVO)?

b. Wer ist in Ihrem Unternehmen neben der Geschäftsleitung für Datenschutzthemen zuständig? Haben Sie einen Datenschutzbeauftragten bestellt (Art. 37 DS-GVO, § 38 BDSG neu)?

c. Wurden Ihre Beschäftigen über die neuen Datenschutzregelungen informiert und/oder geschult?

2. Bestandsaufnahme

a. Haben Sie alle Ihre Geschäftsabläufe, bei denen personenbezogene Daten verarbeitet werden, in ein Verzeichnis von Verarbeitungstätigkeiten aufgenommen (Art. 30 DS-GVO)2? Denken Sie hierbei insbesondere an die

  • Verarbeitung von Kundendaten
  • Verarbeitung von Beschäftigtendaten
  • Verarbeitung von Daten von Kindern
  • Verarbeitung von Daten für Dritte als Auftragsverarbeiter

b. Wird dieses Verzeichnis regelmäßig aktualisiert? Wer ist hierfür in Ihrem Unternehmen zuständig?

3. Zulässigkeit der Verarbeitung

Auch nach neuem Recht benötigen Sie für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage. Dies kann eine gesetzliche Regelung oder eine Einwilligung der Betroffenen sein.

a. Haben Sie für alle Verarbeitungen (s.o. Nr. 2) eine Rechtsgrundlage nach der neuen Rechtslage (Art. 6 bis 11 DS-GVO sowie § 26 BDSG neu)?

b. Haben Sie dies dokumentiert? 

4. Betroffenenrechte und Informationspflichten

a. Die Betroffenen sind über die Verarbeitung ihrer Daten zu informieren. Dies hat insbesondere in einer transparenten, leicht zugänglichen Form sowie in einer klaren und einfachen Sprache zu erfolgen (Art. 12 DS-GVO).

Wie stellen Sie diese datenschutzkonforme Information der Betroffenen über alle in Art. 13 und 14 DS-GVO genannten Punkte sicher?
Besonders wichtig sind in diesem Zusammenhang folgende Informationen:

•     Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
•     Zwecke und Rechtsgrundlage(n) für die Verarbeitung personenbezogener Daten
•     Dauer der Speicherung, ggf. Kriterien für die Festlegung der Speicherdauer
•     Hinweis auf Betroffenenrechte
•     Bei Datenverarbeitung auf Basis von Einwilligungen:
•     Hinweis auf Recht zum Widerruf der Einwilligung
•     Recht auf Beschwerde bei der Aufsichtsbehörde
•     Herkunft der Daten

b. Wie stellen Sie die weiteren Betroffenenrechte sicher (Art. 15-22 DS-GVO)?
Denken Sie dabei insbesondere an folgende Rechte:

•     Recht auf Auskunft
•     Recht auf Berichtigung
•     Recht auf fristgemäße Löschung der verarbeiteten Daten
•     Recht auf Einschränkung der Verarbeitung

5. Personenbezogene Daten von Kindern

a. Verarbeiten Sie auch personenbezogene Daten von Kindern in Bezug auf Dienste der Informationsgesellschaft ?

b. Wenn ja, haben Sie in diesen Fällen an die besonderen Anforderungen an die Einwilligung gedacht (Art. 8 DS-GVO)?

6. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

a. Setzen Sie oder Ihre Dienstleister technische und organisatorische Maßnahmen ein, die ein dem Verarbeitungsrisiko angemessenes Schutzniveau gewährleisten (Art. 32 DS-GVO)? Haben Sie Ihre diesbezügliche Schutzbedarfsklassifizierung  dokumentiert? (Schutzbedarfsklassifizierung = Bewertung des konkreten Schutzbedarfs der verarbeiteten Daten.)

b. Setzen Sie Pseudonymisierungs- oder Verschlüsselungsverfahren ein? In welchen Fällen?

c. Haben Sie für die von Ihnen eingesetzten IT-Anwendungen jeweils ein dokumentiertes Rollen- und Berechtigungskonzept?

d. Wie stellen Sie sicher, dass bei der Änderung oder Neuentwicklung von Produkten oder Dienstleistungen Datenschutzanforderungen von Anfang an mit berücksichtigt werden (Art. 25 DS-GVO)? (Dienste der Informationsgesellschaft = jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung, z.B. Online-Verkauf von Waren, Video auf Abruf, Download eines Klingeltons, Beitritt zu sozialen Netzwerken.)

7. Verträge prüfen

a. Haben Sie Ihre bestehenden Verträge mit Auftragsverarbeitern, d.h. mit Unternehmen, die in Ihrem Auftrag personenbezogene Daten verarbeiten, an die neuen Regelungen (Art. 26 – 28 DS-GVO) angepasst?

b. Dokumentieren Sie Anweisungen, die Sie Ihren Auftragsverarbeitern geben?

c. Bestehen für alle Verarbeitungen, bei denen eine Übermittlung personenbezogener Daten in ein Drittland möglich ist, entsprechende zusätzliche Garantien/Vereinbarungen ?

8. Datenschutz-Folgenabschätzung

a. Führt Ihr Unternehmen Verarbeitungen mit einem voraussichtlich hohen Risiko für die Rechte und Freiheiten der Betroffenen durch (Art. 35 DS-GVO)? Dies gilt z.B. bei einer umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten.

b. Falls ja, haben Sie für die in diesen Fällen erforderliche Datenschutz-Folgenabschätzung in Ihrem Unternehmen einen Prozess eingeführt?

c. Wer ist für diesen Prozess zuständig?

9. Meldepflichten

a. Haben Sie in Ihrem Unternehmen einen Prozess zur Meldung von Datenschutzverstößen an die Aufsichtsbehörde eingeführt (Art. 33 DS-GVO)?

•     Haben Sie dabei insbesondere auch die Einhaltung der Meldefrist von 72-Stunden beachtet?
•     Wer ist in Ihrem Unternehmen für die Meldung zuständig?

b. Falls Sie einen Datenschutzbeauftragten bestellt haben, denken Sie an die Meldung von seinen/ihren Kontaktdaten an die Aufsichtsbehörde.

10. Dokumentation

a. Können Sie die Einhaltung aller vorstehend genannten Pflichten/Anforderungen (schriftlich) nachweisen?

b.  Stellen Sie sicher, dass Ihre Dokumentation immer auf dem neuesten Stand ist?

Und? Sind Sie fit für den Besuch durch die Datenschutzbehörde?

Wenn Sie diese nicht eindeutig mit Ja beantworten können, dann lade ich Sie zu einem kostenfreien Erstgespräch ein. Nutzen Sie meine Expertise in Sachen Datenschutz und DSGVO – auch im Umgang mit der Datenschutzbehörde.

Oder nutzen Sie einfach meine Checkliste DSGVO.