Obwohl die deutschen Unternehmen in den vergangenen Monaten viel Zeit und Geld in die Umsetzung der DSGVO gesteckt haben, zeigt sich fast fünf Monate nach in Krafttreten der DSGVO, dass bei weitem noch nicht alle Unternehmen mit der Umsetzung fertig sind.
So sehen sich mehr als ein Drittel deutscher Unternehmen mit ihren internen Prozessen nach wie vor nicht DSGVO konform und bestätigen einen noch bestehenden Umsetzungsbedarf. Erschwert wird dies zusätzlich, da im Zusammenhang mit der DSGVO nach wie vor zahlreiche offene Fragestellungen bestehen. Bei vielen Vorgaben ist nicht klar, was genau sie bedeuten und selbst die Datenschutzaufsichtsbehörden können sich bei bestimmten Regelungen kaum auf eine einheitliche Auslegung einigen. Darüber hinaus beklagen viele Unternehmen den deutlichen Mangel an Datenschutzexperten.
Betroffene nehmen ihre neuen Rechte wahr
Anhand der deutlich gestiegenen Eingänge von Beschwerden bei den Aufsichtsbehörden ist andererseits erkennbar, das Bürgerinnen und Bürger ihre neuen Rechte nach der DSGVO wahrnehmen. Die Bundesdatenschutzbeauftragte Andrea Voßhoff erklärte, dass seit dem 25. Mai bis Mitte August insgesamt 1.020 Beschwerden und 1.453 Allgemeine Anfragen seitens Bürgerinnen und Bürger gestellt wurden. Darüber hinaus wurden 4.254 potentielle Datenschutzverstöße gemeldet.
Eine erste Bilanz zur DSGVO gibt es auch seitens der Berliner Beauftragten für den Datenschutz. Danach wurden allein in den Monaten Mai bis Juli 1.380 Datenschutzbeschwerden von Bürgerinnen und Bürgern eingereicht. Im gleichen Vorjahreszeitraum hatte die Berliner Behörde nur 344 Beschwerden zu bearbeiten. Auch die Zahl der Meldungen von Datenpannen ist in Berlin signifikant angestiegen. So wurden in den Monaten Mai bis Juli insgesamt 111 Datenpannen gemeldet gegenüber 12 Meldungen im Vorjahr.
Beratungspraxis – Bestimmte Prüfungen laufen bereits
Aus unserer Beratungspraxis zeigt sich, dass es seitens der Aufsichtsbehörden noch keine Prüfungswellen gibt. Trotzdem ist zu beobachten, dass sich die Aufsichtsbehörden personell aufrüsten und „in Stellung“ bringen. Mit bereits 262 europaweit anhängigen Fällen, haben zudem auch die europäischen Datenschutzaufsichtsbehörden ihre gemeinsame koordinierende Tätigkeit aufgenommen.
Konkret prüft z.B. die Landesbeauftragte für den Datenschutz Niedersachsen (LfD), Barbara Thiel, bereits seit Ende Juni 2018, wie gut sich die niedersächsischen Unternehmen bisher auf die DSGVO eingestellt haben. In einer branchenübergreifenden Querschnittsprüfung hat die Behörde Fragebögen an Unternehmen unterschiedlicher Größe verschickt, die darin Fragen zu zehn Bereichen des Datenschutzes beantworten sollen. Die Fragen habe es insich:
Bußgelder sind nicht das Ziel, aber möglich
Die Aufsichtsbehörde betont zwar, dass es ihr vorrangig nicht darum geht, möglichst viele Fehler zu finden und Bußgelder zu verhängen. Vielmehr sollen die Unternehmen noch mehr für eine stringente Umsetzung der DSGVO sensibilisiert werden.
Dennoch begnügt sich die Aufsichtsbehörde in ihrem Fragebogen aber nicht mit einfachen Aussagen. Vielmehr müssen die geprüften Unternehmen ihren Antworten Muster und Belege beilegen, damit die tatsächliche Umsetzung des Datenschutzes effektiv geprüft werden kann. Außerdem ist durchaus geplant anschließend bei ausgewählten Unternehmen Vor-Ort-Termine wahrzunehmen. So schließt die Landesbeauftragte, Barbara Thiel, auch nicht aus, dass es „trotzdem zu einem entsprechenden Verfahren kommen kann, wenn während der Prüfung Verstöße gegen die DSGVO festgestellt werden“.
Der Fragenkatalog zur DSGVO
Der Fragebogen der Aufsichtsbehörde beschränkt sich auf grundsätzliche Vorgaben und ent-hält Punkte, die im Prinzip jedes Unternehmen als Datenschutzmanagementsystem nach der DSGVO mindestens implementiert haben sollte. So werden z.B. mittels der gestellten Fragen folgende Themen näher beleuchtet:
- Wie haben Sie sich als Unternehmen auf die DSGVO vorbereitet?
- Wie wird sichergestellt, dass alle Ihre Geschäftsabläufe, bei denen personenbezogene Daten verarbeitet werden, in ein Verzeichnis von Verarbeitungstätigkeiten aufgenommen wurden?
- Wie stellen Sie dessen Aktualität sicher? Hier ist eine Übersicht der dokumentierten Verfahren sowie ein Beispielverfahren als Muster ist beizufügen.
- Auf welcher Rechtsgrundlagen werden personenbezogene Daten verarbeitet? Ein Muster für eine Einwilligung wird gefordert.
- Wie werden die Betroffenenreichte sichergestellt? Die Prozesse sind zu skizzieren und ein Muster beigelegt werden.
- Inwieweit gewährleisten die technischen und organisatorischen Maßnahmen des Verantwortlichen bzw. seiner Dienstleister ein angemessenes Schutzniveau.
- Inwieweit sind sie an den jeweiligen Stand der Technik angepasst?
- Wie wird sichergestellt, dass für eingesetzte IT-Anwendungen ein dokumentiertes datenschutzkonformes Rollen- und Berechtigungskonzept vorliegt?
- Wie werden die Grundsätze „Privacy by Design“ und „Privacy by Default“ berücksichtigt?
- Wie stellen Sie sicher, dass Verarbeitungen mit einem voraussichtlich hohen Risiko für die Rechte und Freiheiten der Betroffenen erkannt und für diese eine Datenschutz-Folgenabschätzung durchgeführt wird?
- Wurden Verarbeitungen mit einem voraussichtlich hohen Risiko für die Rechte und Freiheiten der Betroffenen identifiziert? Wenn ja, welche?
- Wurden bestehende Verträge mit Auftragsverarbeiter an die neuen Regelungen der DSGVO angepasst? Hier muss ein Beispielvertrag beigefügt werden.
- Ist ein Datenschutzbeauftragter in die Organisation eingebunden?
- Wie wird dessen Fachkunde nachgewiesen?
- Der Prozess zur Meldung von Datenschutzvorfällen ist zu skizzieren.
- Wie wird Dokumentation und Einhaltung der vorgenannten Punkte nachgewiesen?
Es ist nicht auszuschließen, dass das Versenden von derartigen Fragebögen auch bei anderen Aufsichtsbehörden Schule macht.
Die Aufgabe lautet daher weiterhin: Gut vorbereitet sein
Die aktuellen Aktivitäten der Aufsichtsbehörden zeigen, dass die DSGVO noch lange nicht zu den „Akten“ gelegt werden kann. Im Gegenteil. Es besteht zwar kein Grund zur Panik. Dennoch sollte Unternehmen bewusst sein, dass keine Pause bei der Umsetzung der DSGVO eingelegt werden kann, da es weiterhin viele Aufgaben für Unternehmen im Zusammenhang mit der DSGVO gibt.
Wichtig ist, noch bestehende Lücken in der Umsetzung der DSGVO zügig zu schließen und notwendige Meldungen durchzuführen. Um im Fall der Fälle richtig reagieren zu können, sei es bei einer Datenpanne, einer Prüfungsanfrage durch die Aufsichtsbehörde oder schlimmstenfalls im Fall einer Abmahnung, bedarf es einer guten Vorbereitung.
Auch solche Prozesse müssen angelegt, beschrieben und dokumentiert sowie operativ umgesetzt sein.
Zwar ist die befürchtete Abmahnwelle in Deutschland bisher nicht eingetroffen, allerdings bedeutet das nicht, dass das auch so bleibt. Es empfiehlt sich daher als Verantwortlicher darauf zu achten, dass die DSGVO insgesamt erfüllt wird und somit erst gar keine Angriffsfläche für Abmahnungen geboten wird.
Gerne helfen wir Ihnen dabei mit unserer Expertise und Erfahrung im Bereich der DSGVO.
Rauschhofer Social