Kanzlei Lachenmann Onlinerecht IT-Recht

Datenschutzprüfung der Aufsicht: Erfüllen Sie die Anforderungen?

Hohe Anforderungen bei einer Datenschutzprüfung der Aufsichtsbehörde! Anhand des Katalogs der Berliner Behörde sollten Sie kritisch prüfen, ob Sie alle diese Anforderungen erfüllen würden. Bußgelder drohen derzeit vielen Unternehmen, da die Voraussetzungen hoch sind. Ich vermute, dass kaum ein Unternehmen die Anforderungen der Aufsichtsbehörde bei einer Datenschutzprüfung einhält – hohe Bußgelder drohen!

Folgende Mindestvoraussetzungen nennt die Berliner Aufsichtsbehörde für eine Datenschutzprüfung:

  • Fehlendes oder mangelhaftes Verfahrensverzeichnis
  • Fehlende oder mangelhafte Verträge über die Auftragsdatenverarbeitung
  • Fehlende Unabhängigkeit oder Fachkunde der oder des Datenschutzbeauftragten
  • Fehlendes Lösch- und Sperrkonzept
  • Missachtung der Auskunftsrechte von Betroffenen
  • Fehlende oder mangelhafte Verpflichtung auf das Datengeheimnis

Überprüfen Sie kritisch Ihr Unternehmen, ob Sie diese Anforderungen erfüllen. Aus Erfahrung meiner Beratungspraxis, werden die Punkte in kaum einem Unternehmen eingehalten, eine Datenschutzprüfung, die jederzeit unangemeldet vorkommen kann, würde diese vor Probleme stellen.

Bewertung der einzelnen Punkte, die bei einer Datenschutzprüfung der Aufsicht überprüft werden:

  • Das Verfahrensverzeichnis sollte der Auskunftspunkt der Datenschutzkonformität für jedes Unternehmen sein. Dies ist das erste, was die Aufsichtsbehörde prüft, da das Vorhandensein vorausgesetzt wird. Die Erstellung kann Wochen in Anspruch nehmen. Jedes Unternehmen sollte von Anfang an solches Verfahrensverzeichnis pflegen!
  • Verträge zur Auftragsdatenverarbeitung: Sind meiner Erfahrung nach nur in wenigen Unternehmen vorhanden, da schlichtweg nicht daran gedacht wird. Es empfiehlt sich die anwaltliche Überprüfung der Notwendigkeit solcher Verträge. Grundsätzlich ist dies immer dann der Fall, wenn personenbezogene Daten Dritter (z.B. von Kunden oder Arbeitnehmern) weitergegeben werden.
  • Fehlende Sachkunde des Datenschutzbeauftragten: Setzt voraus, dass ein Unternehmen überhaupt einen solchen bestellt hat! Selbst diese Grundlage, erfüllen viele Unternehmen nicht. Handeln Sie, und bestellen einen solchen! Ein externer Datenschutzbeauftragter ist nicht teuer und schützt vor Bußgeldern bis 50.000,- €.
  • Fehlendes Lösch- und Sperrkonzept: Auch dies ist meiner Erfahrung nach nur selten vorhanden, da man sich darüber keine Gedanken macht. Diese Umsetzung ist nicht einfach, da Konflikte mit Aufbewahrungspflichten bestehen. Nötig ist die fachkundige Beratung.
  • Missachtung der Auskunftsrechte: Sie müssen sicherstellen, dass Sie einem Kunden Auskunft erteilen können, welche Daten Sie über ihn gespeichert haben. Dazu sind Sie verpflichtet, auch wenn dies nur selten angefragt wird. Zeigen Sie der Aufsichtsbehörde, wie Sie dies handhaben. Eine Systematisierung kann durch eine externe Beratung leicht umgesetzt werden.
  • Fehlende Verpflichtung auf das Datengeheimnis: Lassen Sie jeden Ihrer Arbeitnehmer eine solche Verpflichtung unterschreiben? Wenn nicht, sollten sie dies dringend nachholen! Ein solches zu formulieren, das Sie allen Mitarbeitern vorliegen können, ist nicht teuer.

Wenn sie bei einem dieser Punkte fürchten, Beratungsbedarf zu haben, sprechen Sie mich an. Ich berate zum Datenschutzrecht, insbesondere im Vertragsrecht, und kooperiere mit einem externen Datenschutzbeauftragten. Der Bericht der Berliner Aufsichtsbehörde zeigt, dass diese Punkte ernst genommen werden und zu hohen Bußgeldern führen können. Prävention ist nötig, um Probleme bei einer Datenschutzprüfung zu vermeiden.

Ein abschrenkendes Beispiel bietet Unister, die allein aufgrund des fehlenden Verfahrensverzeichnisses ein Gerichtsverfahren am Hals hatten. Die Historie ist sehr instruktiv! In diesem Blog werde ich in den kommenden Wochen mich den einzelnen Punkte widmen, die bei einer Datenschutzprüfung der Aufsichtsbehörde überprüft werden und diese näher erläutern.

Quelle: Tätigkeitsbericht 2012 des Berliner Beauftragten für Datenschutz (mit Pressemitteilung und Volltext).

/li

Dieser Beitrag wurde in Blog, Compliance, Datenschutzrecht veröffentlicht. Ein Lesezeichen auf das Permalink. setzen. Sowohl Kommentare als auch Trackbacks sind geschlossen.