Vor-Ort-Kontrolle der Aufsichtsbehörde: Wie vorbereiten?

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, Barbara Thiel, hat am 02.06.2022 im Innenausschuss des Niedersächsischen Landtags ihren Tätigkeitsbericht für 2021 vorgestellt. Darin berichtet sie über die Nachkontrollen, die im Jahr 2021 abgeschlossen werden konnten, nachdem diese bereits anlässlich der Querschnittsprüfung von Wirtschaftsunternehmen aus dem Jahre 2018 initiiert worden waren (Abschnitt 6.1.).

Hilfreich sind die Hinweise der LfD Niedersachsen, wie sich Verantwortliche auf Vor-Ort-Kontrollen vorbereiten sollten:

Es ist insbesondere ratsam,

• die vorhandene Datenschutzdokumentation zu sichten, Lücken zu identifizieren und zu füllen;

• zu prüfen, ob die Dokumente aktuell sind oder ob sich seit der Erstellung der Dokumente Veränderungen ergeben haben, die noch nicht berücksichtigt wurden;

• die Dokumentation so zu ordnen, dass während der Vor-Ort-Kontrolle Unterlagen auf Anfrage unmittelbar vorgelegt werden können;

• die eigene Dokumentation auf Widersprüche zu prüfen;

• Abweichungen von den einschlägigen Veröffentlichungen meiner Behörde, der Datenschutzkonferenz und des Europäischen Datenschutzausschusses zu prüfen;

• den Datenschutzbeauftragten des Unternehmens bei der Vorbereitung eng einzubinden;

• ggf. einen externen Datenschutzberater einen unbefangenen Blick auf die Umsetzung des Datenschutzrechts im Unternehmen werfen zu lassen;

• die Verfügbarkeit der Verantwortlichen aus den jeweiligen Fachbereichen für den Kontrolltermin sicherzustellen, die tiefergehende Nachfragen zu einzelnen Verarbeitungstätigkeiten beantworten können;

• einen Umsetzungsplan zu erstellen, welcher der Aufsichtsbehörde vorgelegt werden kann, falls bis zur Vor-Ort-Kontrolle nicht alle Dokumente erstellt oder technisch-organisatorischen Maßnahmen implementiert werden konnten.

Wie anschließend das weitere Verfahren verlaufe und ob es zu einem Bußgeld und/oder aufsichtsbehördlichen Maßnahmen komme, sei immer eine Frage des Einzelfalls und hänge von den in der Vor-Ort-Kontrolle gemachten Feststellungen ab.

Stelle ich bei einer Vor-Ort-Kontrolle fest, dass das Unternehmen ein umfassendes Datenschutz-Management implementiert hat, ist es im Nachgang oft nicht erforderlich von den aufsichtsbehördlichen Befugnissen aus Art. 58 Abs. 2 DS-GVO Gebrauch zu machen oder es ist ausreichend, eine Verwarnung auszusprechen, so die LfD. Vereinzelte, nicht besonders schwerwiegende Mängel könnten dann nach der Kontrolle behoben und der Behörde nachgewiesen werden. Sei hingegen nicht absehbar, wann und wie Mängel abgestellt werden sollen oder werden gravierende Mängel festgestellt, ließen sich aufsichtsbehördliche Maßnahmen nur noch schwer vermeiden.

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen

(Foto: Suphachai – stock.adobe.com)

Letztes Update:06.06.22

  • Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Seminar

    940.10 € Mehr erfahren
  • Datenschutzverletzungen richtig behandeln

    Datenschutzverletzungen richtig behandeln

    Seminar

    678.60 € Mehr erfahren
  • Aktuelle Prüfpraxis der Datenschutzaufsichtsbehörden

    Aktuelle Prüfpraxis der Datenschutzaufsichtsbehörden

    Seminar

    812.00 € Mehr erfahren
  • Recht auf Löschen

    Orientierungshilfe „Das Recht auf Löschung nach der DS-GVO“

    Die Datenschutz-Grundverordnung (DS-GVO) als gesetzliche Regelung zur Verarbeitung personenbezogener Daten hat den Datenschutz nachhaltig verändert und geprägt. Sie verpflichtet jedes Unternehmen – unabhängig von seiner Größe – zur Implementierung eines Datenschutzmanagementsystems (DSMS). Jeder Verantwortliche hat deswegen eine Datenschutzorganisation vorzuweisen, die in der Lage ist, die Einhaltung datenschutzrechtlicher Pflichten zu gewährleisten. Eine der maßgeblichen Anforderungen ist

    Mehr erfahren
  • GPS-Tracking

    Zwecke für GPS-Tracking im Beschäftigungsverhältnis

    GPS-Tracking im Beschäftigtenverhältnis kann datenschutzrechtlich zulässig sein, soweit die Interessen des Arbeitgebers und das Persönlichkeitsrecht der Beschäftigten in einen angemessenen Ausgleich gebracht werden und es auf das erforderliche Maß beschränkt ist. In seinem 50. Tätigkeitsbericht geht der Hessische Datenschutzbeauftragte auf mögliche Zwecke eines GPS-Trackings ein und schildert anhand eines von der Behörde geprüften Falles, welches

    Mehr erfahren
  • Mitarbeiterexzess Datenbankabfrage

    Datenschutzverstöße durch „Mitarbeiterexzess“

    Regel: Unternehmen haften für Datenschutzverstöße ihrer BeschäftigtenNach Auffassung der Datenschutzkonferenz (DSK) als Gremium der deutschen Datenschutzaufsichtsbehörden sollen Unternehmen im Rahmen von Art. 83 DS-GVO für Datenschutzverstöße eines jeden Beschäftigten haften, wenn der Mitarbeiter nicht im Exzess (für eigene Zwecke) gehandelt hat. Dabei sei nicht erforderlich, dass für die Handlung ein gesetzlicher Vertreter oder eine Leitungsperson verantwortlich ist.

    Mehr erfahren