Die Aufsichtsbehörden machen Ernst!

von

Privacy_Shield_ja_oder_nein

Schon wieder ein Blogpost zum Thema DS-GVO? Ja, denn es wird ernst und wir möchten Sie auf dem Laufenden halten.

Die Datenschutzgrundverordnung ist seit über 3 Jahren in Kraft und man hat manchmal das Gefühl, sie wird als zahnloser Tiger wahrgenommen. Auch bekommen wir oft das Feedback von Unternehmen, dass sich um die DS-GVO erst einmal nicht gekümmert wird, es passiert ja nichts.

Das war in der Vergangenheit tatsächlich oft der Fall. Die Aufsichtsbehörden haben sich nur um Fälle oder offensichtliche Verstöße gekümmert, die meist von betroffenen
Personen bei der Aufsichtsbehörde angezeigt wurden. Durch die Findung der eigenen Strukturen in den Aufsichtsbehörden waren die Behörden nicht sichtbar und somit wurden auch nur sehr wenige Verstöße geahndet.

Inzwischen scheint sich aber die Situation bei den Behörden geändert zu haben und es wurde nahezu überall dazu übergegangen, an zufällig ausgewählte Unternehmen einen Fragebogen zu versenden und die DS-GVO Umsetzung in Unternehmen zu prüfen. Dieser enthält Fragen zu IT-Themen und natürlich auch der Situation bzgl. Umsetzung der DS-GVO.

Konsequenzen beim Einsatz von Microsoft 365

Wir haben mehrere Kunden aus der Microsoft 365 Cloud zu ETES Groupware und ETES Fileshare migriert. In den Unternehmen werden, wie bei vielen anderen auch, verschiedene personenbezogene Daten verarbeitet. Bei zwei Kunden wurde dieser Schritt durch Nachfragen der Aufsichtsbehörden notwendig. Hier standen Strafzahlungen im Raum, sofern die Microsoft 365 Cloud weiter genutzt worden wäre. Begründet wurden diese durch die Nutzung von US Cloud-Diensten, dies ist mit dem EUGH Urteil zu Privacy-Shield nicht mehr gestattet.

 

Fragebogen in Bayern veröffentlicht

Der Landesdatenschutzbeauftagte Bayern hat seinen „Prüfkatalog Rechenschaftspflicht“ veröffentlicht.

Dieser trägt die Überschrift „nach Art. 5 Abs. 2 DS-GVO bei (Groß-)Konzernen und datengetriebenen Unternehmen“. Man könnte meinen, das betrifft nur größere Firmen. Weit gefehlt, man betrachte nur das Beispiel von oben. In der heutigen Zeit verabeiten nahezu alle Unternehmen personenbezogene Daten und sind oft auch „von den Daten getrieben“.

 

Beispiel aus dem Fragekatalog – was würden Sie antworten?

Damit Sie nicht die 6 Seiten überfliegen müssen, möchten wir Ihnen ein paar interessante Fragen vorstellen. Versuchen Sie diese für Ihr Unternehmen zu beantworten.

1. Gibt es eine Datenschutzleitlinie im Unternehmen? Wenn es eine gibt, muß diese als Kopie mitgeschickt werden.

5. Gibt es ein Konzept im Unternehmen, wer bezogen auf den Datenschutz für was zuständig ist (z.B. Schulung der Mitarbeiter, Meldung von Datenschutzverletzungen …)? Auch hier möchte die Behörde eine Kopie des Konzeptes und eine kurze Beschreibung.

Zu Basis-Anforderungen der DS-GVO gibt es z. B. die 2 folgenden Fragen:

9. Ist ein vollständiges Verarbeitungsverzeichnis vorhanden? Hier möchte die Behörde zusätzlich die Anzahl der Verarbeitungstätigkeiten wissen.

10. Beschreiben Sie bitte kurz (ca. 1 Seite) nach welcher Methode (z. B. Zweck, Mittel, Prozess, IT-System, Abstraktion, …) die einzelnen Verarbeitungstätigkeiten ermittelt werden.

44. Beschreiben Sie bitte kurz (ca. 1 Seite) wie Sie Datenschutzverletzungen, die bei Dienstleistern (auch in Drittstaaten) auftreten, erkennen, dokumentieren und aufarbeiten.

Wären Sie vorbereitet?

Was nun?

Die Umsetzung der DS-GVO ist ein längerer Prozess. Sicherlich wird es wohl nur wenige Unternehmen geben, die den Fragebogen zu 100% perfekt beantworten können. Es ist aber wie immer im Leben, wenn man vorbereitet ist, ist es nur halb so schlimm. Auch wird keine Strafe verhängt, wenn man Teile umgesetzt hat und an anderen Teilen noch arbeitet. Wichtig ist das Wissen über die Lücken.

Wenn Sie sich nach den Fragen nicht wirklich vorbereitet fühlen, unterstützen wir Sie gerne. Unter anderem bei folgenden Punkten und Fragestellungen:

  • Sie haben einen Fragebogen erhalten und benötigen fachkundige Hilfe
  • Sie möchten wissen, wo Sie bei der DS-GVO Umsetzung stehen
  • Sie benötigen einen Datenschutzbeauftragten
  • Sie benötigen Beratung um noch fehlende Anforderungen der Verordnung umzusetzen
  • Sie möchten Ihre Dokumentation und Risikoanalyse in einer Software strukturiert umsetzen

Sprechen Sie uns an – hinterlassen Sie uns doch mit dem Kontaktformular eine Nachricht.

eteslogo4
Autoren
Markus Espenhain

Unser Geschäfts­führer und Gründer ist für die Strategie und den Kontakt zu Kunden & Partnern verantwortlich. Im Blog stellt er Ihnen neue Partnerschaften und Unternehmens-News vor.

markus.espenhain
Ioannis Dimas

Datenschutz und Informationssicherheit sind seine Herzensangelegenheit. Er berät Unternehmen zu diesen Themen und kann viel dazu berichten.

ioannis.dimas
Marco Welter

 

marco_welter