EU-DSGVO: Bayern prescht mit Datenschutzkontrollen vor

Von Mehmet Isik am 12.11.2018
Mehmet Isik
Vernetzen:

Seit Inkrafttreten der neuen EU-DSGVO wurde einerseits viel vor Abmahnwellen sowie Datenschutzkontrollen vor Ort gewarnt. Lange passierte nichts – jetzt macht das Bayerische Landesamt für Datenschutz (BayLDA) mit den Kontrollen ernst.

Bayerisches Landesamt startet mit Datenschutzprüfungen

Das BayLDA startete nach eigenen Angaben am 6. November 2018 mit Prüfungen der „Umsetzung der DS-GVO bei kleinen und mittelständischen Unternehmen (KMUs)“ bei einem guten Dutzend Unternehmen im Freistaat.

Das Inkrafttreten der Datenschutzgrundverordnung hatte auf Seite der Unternehmen für viel Unsicherheit gesorgt, beispielsweise was die Impressumspflicht angeht. Die Umsetzung der DSGVO führt nach einer Bitkom-Studie nach wie vor zu zahlreichen Problemen.

Problematisch ist dabei nicht nur der Umgang mit personenbezogenen Daten von Kunden, sondern auch Daten von Mitarbeitern, etwa bei der Verwendung privater Mobilgeräte im Unternehmen. 

Mehr zu diesem Thema erfahren Sie in unserem Whitepaper „Bring Your Own Device  und DSGVO”, das Sie hier kostenlos herunterladen können.

Neu ist bei der EU-DSGVO unter anderem, dass ihre Einhaltung vom Verantwortlichen nachgewiesen werden muss. Dies wird nun durch das Landesamt in ausgewählten Unternehmen geprüft – auch vor Ort. Bei Verstößen drohen hohe Strafen von bis zu 20 Millionen Euro oder 4 Prozent des Vorjahresumsatzes.

War es nach dere Einführung der Datenschutzgrundverordnung zunächst ruhig geblieben, werden jetzt erste Strafen verhängt. So wurde laut einem Bericht von heise ein portugiesisches Krankenhaus zu einer Geldstrafe von 400.000 Euro verurteilt, da es Patientendaten einem zu großen Personenkreis zugänglich gemacht hatte

Datenschutzkontrollen Bayern DSGVO

Zu Verhaftungen wird es im Rahmen der Datenschutzkontrollen wohl zunächst nicht kommen. Allerdings drohen empfindliche Geldstrafen

 

Datenschutzprüfungen per Fragebogen

Die Umsetzung der DSGVO soll in Bayern einerseits durch einen Fragebogen kontrolliert werden: Hier müssen Unternehmen auf einen Katalog aus 20 Fragen ausführlich eingehen und Datenschutzregelungen im Unternehmen offenlegen.

In den Prüfunterlagen befinden sich Fragen zu:

  • Datenschutzbeauftragten im Unternehmen
  • Datenschutz des Betriebsrats
  • Datenschutzkonzepte bei mehreren Niederlassungen des Unternehmens
  • Verarbeitungsverzeichnissen
  • Einwilligungserklärungen und Verhaltensregelungen
  • Löschkonzepten für Archive und Back-ups
  • IT-Sicherheitskonzepte
  • Sensibilisierung der Mitarbeiter bei der Verarbeitung personenbezogener Daten
  • Schulungsunterlagen
  • Vorgehen bei Datenschutzverletzungen

Den vollständigen Prüfungsbogen zur Umsetzung der DSGVO des BayLDA können Sie unter dem Link als PDF einsehen.

 

Datenschutzprüfungen vor Ort

Andererseits führt das Landesamt auch Kontrollen in den Unternehmen durch. Hier wird vor Ort geprüft, ob die Einhaltung der DSGVO nachgewiesen werden kann. Grundlage hierfür ist Art. 5 Abs. 2 der DSGVO .

Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Diese „Rechenschaftspflicht“ bedeutet, dass die Einhaltung der gesetzlichen Anforderungen der Aufsichtsbehörde bei einer Kontrolle dargelegt werden muss. Geplant sind momentan laut Angaben der Datenschutzaufsichtsbehörde Vor-Ort-Prüfungen bei bis zu 15 Unternehmen.

 

Datenschutzbeschwerden sind Auswahlkriterium

Bei der Auswahl der zu überprüfenden Unternehmen orientiert sich das BayLDA auch am Auftreten von Datenschutzbeschwerden. Häufen sich diese über ein Unternehmen, wird es einer gezielten Prüfung oder Datenschutzkontrolle unterzogen.

Ansonsten würden die Unternehmen zufällig ausgewählt, wie das Landesamt in seiner Übersicht der laufenden Datenschutzprüfungen angibt.

 

Als nächstes werden Dienstleister geprüft

In einem nächsten Schritt sollen besonders Datenschutzverletzungen bei (Unter-) Auftragverarbeitern geprüft werden. Hier möchte das Landesamt gegebenen Sicherheitsverletzungen durch Dienstleister (auch bei Weitergabe an Subunternehmer) nachgehen. Einen konkreten Zeitplan für diese Maßnahmen gibt es allerdings noch nicht.


DSGVO-Datenschutzkontrollen: weiterführende Links


Neuer Call-to-Action

 

Themen: Mobile Device Management, EU-DSGVO, Bring Your Own Device, Datenschutz

Phone as a Service

everphone unterstützt Unternehmen bei der intelligenten Verwaltung von Firmenhandys. Unsere Themen: Datensicherheit, Usability, Enterprise Mobility, Employer Branding, Mobile Device Management und Mobiles Arbeiten.

BYOD und DSGVO

E-Mail-Abonnement

Beliebte Beiträge