· Fachbeitrag · Datenschutz
Umsetzung DSGVO: Aufsichtsbehörden überprüfen den aktuellen Stand bei KMU per Fragebogen
| Fragebögen werden zur beliebten Maßnahme, um die Umsetzung der DSGVO in Unternehmen zu überprüfen. So verschickt das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) seit November 2018 einen Bogen mit 20 Fragen an kleinere und mittlere Unternehmen (KMU). Mitte Dezember 2018 hat sich der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) der Aktion mit einem eigenen Fragebogen angeschlossen. Doch was sind das für Fragen? |
Hintergrund
Die Datenschutzaufsichtsbehörden der Bundesländer prüfen bereits seit Jahren, wie Unternehmen den Datenschutz nach dem BDSG umsetzen. Mit der DSGVO dürften diese Prüfungen häufiger und detaillierter werden. Wie das BayLDA auf seiner Website mitteilt, werden regelmäßig Datenschutzprüfungen durchgeführt. Dabei unterscheidet die bayerische Aufsichtsbehörde:
- Anlassbezogene Prüfungen erfolgen meist aufgrund von Beschwerden oder konkreten Hinweisen auf mögliche Datenschutzverstöße.
- Anlasslose Prüfungen erfolgen branchenunabhängig in allen Regionen Bayerns. Diese Prüfungen werden meist als „fokussierte Prüfungen“ bei einzelnen Unternehmen vor Ort, als Prüfungen im Wege eines schriftlichen Verfahrens oder als Onlineprüfung über das Internet durchgeführt.
Die Aufsichtsbehörden fordern die Unternehmen dabei auf, den Fragebogen binnen einer bestimmten Frist zu beantworten. Dabei fiel auf, dass der TLfDI eine Frist von nur einer Woche gab. Nach § 31 ThürVwVfG ist das möglich. Unternehmen können hier eine Fristverlängerung beantragen.
Inhalt der Fragebögen
Die drei- bis vierseitigen Fragebögen beinhalten Fragen
- zum Datenschutzbeauftragten und Vorliegen eines Verzeichnisses der Verarbeitungstätigkeiten,
- ob es Löschkonzepte und Security-Maßnahmen (also TOMs) gibt,
- zu denErlaubnistatbeständen nach Art. 6 DSGVO, ob Beschäftigte im Umgang mit dem Datenschutz sensibilisiert wurden,
- zu den Betroffenenrechten nach Art. 15 ‒ 22 DSGVO und den Informationspflichten nach Art. 13 und 14 DSGVO und
- zu Prozessen, wie man auf Datenpannen reagiert und zu Auftragsverarbeitungsverträgen.
Antwortmöglichkeiten können angekreuzt werden. Kurz gesagt, es wird (fast) die komplette „Grundausstattung“ der DSGVO-Klaviatur abgefragt.
Weiterführende Hinweise
- Der Fragebogen aus Thüringen ist hier abrufbar: www.iww.de/s2316
- Der Fragebogen der BayLDA ist hier abrufbar: www.iww.de/s2317