Prüfung durch die Datenschutzbehörde – was nun?
Es kann jederzeit vorkommen, dass die Datenschutzaufsichtsbehörde eine anlassbezogene oder auch anlasslose Datenschutzprüfung in den Unternehmen durchführt. Dann flattert unerwartet ein Fragenkatalog ins Haus, mit Fragen zum aktuellen Datenschutzmanagement im Unternehmen.
Der Fragebogen scheint zunächst in seinem Umfang überschaubar, aber bei genauerem Hinsehen, stellt man sehr schnell fest: die Fragen haben es in sich. Wenn man dann kein etabliertes Datenschutzmanagement vorzuweisen hat, kommt man sehr schnell ins Schwitzen. Einen solchen Beispiel-Fragebogen der Bayerischen Datenschutzaufsichtsbehörde (BayLDa) finden Sie als Orientierungshilfe hier.
Fragen im Überblick
Die Datenschutzaufsichtsbehörde möchte detailliert wissen, wie es in Ihrem Unternehmen um die Umsetzung der DSGVO steht. Bleiben wir beim Beispiel aus Bayern, stellt die Behörde Fragen zur
- Struktur und Verantwortlichkeit im Unternehmen und hier zur Datenschutzleitlinie, Datenschutzzielen, Ihrem Datenschutzbeauftragten
- Übersicht der Verarbeitungen und wie Ihre Verarbeitungstätigkeiten dokumentiert sind
- Einbindung Externer – Übersicht der Auftragsverarbeiter samt entsprechender Verträge (Auftragsverarbeitungsvertrag)
- Sehr detaillierte Informationen zur Transparenz, Informationspflichten und Sicherstellung der Betroffenenrechte
- Verantwortlichkeit, Umgang mit Risiken – dazu gehören auch Einwilligungen inkl. entsprechender Nachweise sowie Checklisten zur Auswahl von technischen und organisatorischen Maßnahmen durch eine risikoorientierte Betrachtungsweise auf Basis von Art, des Umfangs, der Um-stände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten
- Datenschutzverletzungen und hier die Frage, ob sichergestellt ist, dass die Meldung von Verletzungen innerhalb von 72 Stunden an die Aufsichtsbehörde möglich ist
Wenn Sie erst beim Eintreffen des Fragebogens die ein oder anderen Punkte erstmalig auf den Schirm bekommen, stehen Sie vor einem ernsthaften Problem.
So halten Sie der Prüfung durch die Datenschutzbehörde Stand
Wie strukturelles Datenschutzmanagement konkret auszusehen hat, darüber gibt weder die DSGVO noch die Aufsichtsbehörde Aufschluss. Fest steht, dass Unternehmen und deren Verantwortliche der umfassenden Nachweispflicht, die eine strukturelle Organisation und Umsetzung des Datenschutzgesetzes belegt (Art. 5, Art. 24 & Art. 30 DSGVO), unterliegen.
Nicht erst seit dem Wirksamwerden der DSGVO am 25.05.2018 liegt es allein beim jeweiligen Verantwortlichen, alle nötigen Dokumente, Prozesse und Verzeichnisse in eine sinnvolle strukturierte Form des Datenschutzmanagements zu gießen.
Viele Unternehmen bedienen sich der Einfachheit halber einem wilden Gefüge aus Excel-Tabellen, Word- und PDF-Dokumenten, was selten einem übersichtlichem und selten tatsächlich datenschutzkonformen Gesamtkonzept folgt. Das hat oft zur Folge, dass man nicht nur den Überblick, sondern auch die Kontrolle verliert.
Datenschutzverstöße sind hier vorprogrammiert – und das kann schlimmstenfalls recht teuer werden, wenn Sie unvorbereitet (anlassbezogen oder anlasslos) von der Datenschutzaufsichtsbehörde überprüft werden.
Optimieren und digitalisieren Sie im Handumdrehen Ihren Datenschutz!
DSM-Online jetzt 14 Tage kostenlos & unverbindlich testen.
Systematisches Datenschutzmanagement hilft Unternehmen im Falle einer Prüfung der Datenschutzaufsichtsbehörde
Ein gut aufgestelltes, funktionierendes Datenschutzmanagement beinhaltet vor allem die Organisation und Handhabung aller rechtlichen, prozessualen, organisatorischen und technischen Datenschutzmaßnahmen und bildet das Bindeglied zwischen rechtlichen Anforderungen und der organisatorischen Umsetzung.
Dazu empfiehlt sich die Implementierung eines funktionellen Datenschutzmanagementsystems auf der Grundlage einer softwaregestützten Lösung. Darin lassen sich viele wiederholende Vorgänge automatisieren und die gesamte notwendige datenschutzkonforme Dokumentation an einem „digitalen Ort“ abbilden. Offene Aufgaben im Datenschutz sind für den Verantwortlichen klar ersichtlich, Lücken können einfach geschlossen werden. Das spart Zeit, Geld und nicht selten Nerven. Flattert ein Fragebogen der Datenschutzbehörde herein, ist es oft nicht mehr als ein Knopfdruck für die Beantwortung der Fragen.
So finden Sie ein passendes Datenschutzmanagementsystem
Mittlerweile gibt es einige Anbieter solcher Datenschutz-Software, die sich teilweise sehr in ihrer Bedienung, Strukturierung und Aufbereitung von Dokumenten unterscheiden. Bevor man als Verantwortlicher in einem Unternehmen einfach zur nächstgelegenen Lösung greift, sollte man sich im Klaren sein, worauf es bei einer Datenschutzmanagement-Software ankommt und was eine solche Software standardmäßig enthalten sollte, um sich langfristig gut im Datenschutz aufzustellen.
Auch die Größe des Unternehmens spielt bei der Auswahl eine große Rolle. Zahlreiche Anbieter bieten Funktionen, die für kleinere in etwa die ein oder andere Lösung unnötig komplex und kompliziert machen. Für kleine und mittlere Unternehmen empfiehlt sich beispielsweise die Datenschutzsoftware DSM-Online.
Von elementarer Bedeutung ist in jedem Fall eine klare und einheitliche Struktur, die sofort einen Überblick ermöglicht und eine Orientierungshilfe bei den einzelnen Arbeits- und Prozessschritte liefert. In DSM-Online verschafft das „Dashboard“ diese schnelle Übersicht über den Stand und Fortschritt Ihres Datenschutzmanagements.
Was sollte ein Datenschutzmanagementsystem können?
Das Grundgerüst einer Datenschutzsoftware sollte einem sinnvollen Aufbau folgen („Unternehmensstammdaten“, „Organisation“, „Betroffenenrechte“ etc.), aus dem die Software dann ihre Logik für die einzelnen Prozesse ziehen kann. Ein gutes Beispiel sind hier die Technischen und Organisatorischen Maßnahmen (TOMs), die laut Art. 32 Abs. 1 DSGVO bestimmte Maßgaben, wie die Sicherstellung von Vertraulichkeit der Datenverarbeitungssysteme oder deren regelmäßige Überprüfung, erfüllen müssen. Eine gute Datenschutzsoftware übernimmt die Aufgabe der Überprüfung durch eine automatische datumsbasierte Erinnerungsfunktion.
Neben den TOMs stellt das Verzeichnis der Verarbeitungstätigkeiten (VVT) ein weiteres Kernstück des Datenschutzmanagements dar (gem. Art. 30 DSGVO). Da die Verwaltungsprozesse je nach Art und Größe des Unternehmens variieren, sich aber auch innerhalb eines Unternehmens von Zeit zu Zeit ändern können, muss auch hier eine regelmäßige Evaluierung durch den Verantwortlichen erfolgen. Dazu bietet eine Software im besten Falle auch eine Erinnerungsfunktion.
Daneben muss eine Datenschutzsoftware auch die Bearbeitung und Dokumentation des Verarbeitungsverzeichnisses aktiv unterstützen. Sollte eine Überprüfung durch die Behörde erfolgen, ist es ein großer Vorteil, wenn man das aktuelle VVT aus dem Softwaretool exportieren und der Behörde zur Verfügung stellen kann. DSM-Online hat diese Funktion mit einem PDF-Export gelöst, womit das gesamte VVT in geeigneter Form aus dem System extrahiert werden kann.
Eine Software unterstützt auch im eingetretenen Fall einer Datenpanne, indem das Tool nicht nur durch die Dokumentation des Datenlecks führt, sondern auch gleichzeitig die Meldung an die zuständige Aufsichtsbehörde oder den Landesbeauftragten erstellt, die sogleich verschickt werden kann.
Fazit – So übersteht Ihr Unternehmen die Prüfung durch die Datenschutzbehörde
Zusammenfassend lässt sich sagen, dass wiederkehrende Überprüfungen und evtl. Anpassungen der vorhandenen Dokumentationen schnell und einfach mithilfe einer Datenschutz-Software erledigt werden können. Bei der Auswahl eines entsprechenden Tools sollte besonders darauf geachtet werden, dass ein schnelles Extrahieren relevanter Dokumente jederzeit möglich sein. Da der Datenschutz und sein Management mit sehr viel bürokratischem Aufwand einhergehen, enthält ein effektives Softwaretool standardmäßig bereits die häufigsten und gebräuchlisten Prozesse, die den individuellen Vorgängen in einem Unternehmen nur noch angepasst werden müssen. So überstehen Sie nicht nur die anlassbezogene oder anlasslose Überprüfung durch die Datenschutzaufsicht oder den Landesbeauftragten, Sie sparen sich auch eine Menge Arbeit und stellen den Datenschutz Ihrer Kunden, Angestellten, Lieferanten und Partner auf ein hohes Niveau – das schafft Vertrauen und festigt die Bindung!
Datenschutz mit logischer, intuitiver und übersichtlicher Struktur, vordefinierten Datenschutzmodulen (TOMs, VVT, Betroffenenrechte, Löschfristen etc.), Erinnerungsfunktion und Export relevanter Dokumente – das ist Datenschutzmanagement mit System.
Sie können DSM-Online vollumfassend mit all seinen Funktionen 14 Tage kostenlos und unverbindlich testen. Nach Ablauf der Testphase wird Ihr Account nicht automatisch verlängert – Sie können sich also problemlos von den Vorteilen unserer Datenschutzsoftware überzeugen.
DSM-Online jetzt 14 Tage kostenlos & unverbindlich testen.
Optimieren Sie im Handumdrehen Ihren Datenschutz!