Als Verantwortlicher oder Auftragsverarbeiter ist man in der Regel daran interessiert, eine Kontrolle durch die Datenschutzaufsicht zu vermeiden oder wenigstens möglichst reibungslos zu bewältigen. Eine aktuelle Veröffentlichung der Datenschutzsaufsicht des Fürstentums Liechtenstein gibt nun unter anderem Einblick in mögliche Prüfanlässe und die im Rahmen von Überprüfungen verlangten Dokumente.
Das Dokument der Datenschutzstelle Liechtenstein trägt den etwas sperrigen Titel “Verfahrensbeschreibung für Datenschutzüberprüfungen” (PDF) und stammt vom 19. Juni 2020. Gleich zu Beginn des Dokuments erläutert die Aufsichtsbehörde, die in Liechtenstein sowohl für private als auch für öffentliche Stellen zuständig ist, den Rechtsrahmen für Datenschutzüberprüfungen nach der DSGVO und mögliche Prüfanlässe.
Anlässe für Prüfungen
Anlass für eine Prüfung können demnach insbesondere Beschwerden oder Hinweise sein. Darüber hinaus führt die Datenschutzstelle aber auch präventive oder anlasslose Untersuchungen von Amts wegen durch. Ausschlaggebender Faktor für die Auswahl einer verantwortlichen Stelle ist nach der Datenschutzstelle Liechtenstein vor allem das durch eine Datenverarbeitung entstehende Risiko. Die Datenschutzstelle berücksichtigt dabei insbesondere die folgenden Quellen und Kriterien:
- Internetauftritt der datenverarbeitenden Stelle
- Tätigkeitsberichte, Jahresberichte oder andere öffentlich zugängliche Informationen, die eine datenverarbeitende Stelle veröffentlicht hat
- Vergangene Kontakte mit der jeweiligen Stelle, die ein wenig ausgeprägtes Verständnis für den Datenschutz erkennen ließen
- Einführung neuartiger Datenverarbeitungen, wobei bestimmte öffentliche Bedenken dahingehend bestehen, dass die Privatsphäre gefährdet sein könnte
- Umfang und die Art der zu verarbeitenden personenbezogenen Daten
- Anzahl, Art sowie Inhalt von Beschwerden gegenüber einer bestimmten Kategorie datenverarbeitender Stellen
- Ergebnisse vergangener Datenschutzüberprüfungen
- Medienberichte
Anlass für eine Überprüfung können ferner auch die Bitte eines Verantwortlichen oder Auftragsverarbeiters um eine Überprüfung sowie ein gesetzlicher Prüfauftrag oder eine koordinierte gemeinsame Untersuchung mit anderen europäischen Aufsichtsbehörden sein.
Der Ablauf einer Prüfung
Die Datenschutzüberprüfung selbst wird von der Datenschutzstelle in sechs Schritte untergliedert, wobei explizit Wiederholungen einzelner oder mehrerer Schritte sowie Sprünge zwischen den Schritten vorgesehen werden. Der Ablauf einer Überprüfung durch die Datenschutzaufsicht Liechtenstein erfolgt demnach in den folgenden Schritten:
- Kontaktaufnahme und Ankündigung
- Dokumentenprüfung
- Vor-Ort-Prüfung (optional)
- Prüfbericht
- Wahrnehmung der Abhilfebefugnisse und Verfügung
- Anschlussprüfung (Follow-up)
Besonders interessant: die Dokumentenprüfung
Im Rahmen der detaillierten Darstellung der genannten Schritte, die sich im Dokument der Aufsichtsbehörde anschließt, ist für Verantwortliche vor allem der zweite Schritt, die sog. Dokumentenprüfung, von Interesse. Bei dieser holt die Aufsichtsbehörde nicht nur Informationen und Stellungnahmen des Verantwortlichen oder Auftragsverarbeiters über einen Fragenkatalog ein, sondern verlangt auch die Vorlage zahlreicher Dokumente, die entweder elektronisch oder auf Papier zur Verfügung gestellt werden sollen. Zu übersenden hat der Verantwortliche demnach:
- Verzeichnis der Verarbeitungstätigkeiten (Art. 30 Abs. 4 DSGVO)
- Informationen an die betroffenen Personen (Art. 13 und 14 DSGVO)
- Muster von Einwilligungserklärungen (Art. 7 DSGVO)
- Informationen zu Datenschutzschulungen der Mitarbeiter
- Verträge mit Auftragsverarbeitern (Art. 28 Abs. 3 DSGVO) oder andere aktuelle Verträge mit Dienstleistungserbringern, die mit personenbezogenen Daten in Berührung kommen (z. B. Hard- und Softwarelieferanten, Application Service Provider), wobei die jeweiligen Datenschutzbestimmungen hervorzuheben sind
- Dokumentation von Datenschutzverletzungen (Art. 33 Abs. 5 DSGVO)
- Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)
Werden im Rahmen der Überprüfung auch die technischen und organisatorischen Maßnahmen zum Datenschutz geprüft, hat der Verantwortliche oder Auftragsverarbeiter darüber hinaus regelmäßig folgende weitere Dokumente zur Verfügung zu stellen:
- Organigramm der datenverarbeitenden Organisationseinheiten
- Datenschutzpolitik, IT-Sicherheitsstrategie und Notfallplanung
- Revisions- oder Prüfberichte anderer Stellen, insbesondere im Zusammenhang mit dem Prüfungsumfang bezüglich der Informationstechnologie im Allgemeinen
- Basisdokumentation der IT-Infrastruktur, wie insbesondere die verwendete Soft- und Hardware
- Konzept der Zugriffsberechtigungen, insbesondere eine Darstellung der Rechte von Administratoren, externen Mitarbeitern und Dienstleistenden oder anderen (externen) Stellen
- Weisungen an die Benutzerinnen und Benutzer für die Verwendung der Informatikmittel
- Geheimhaltungserklärungen oder andere sachverhaltsrelevante Weisungen
- Regelungen betreffend die Aufbewahrungsdauer und Löschung personenbezogener Daten (Löschkonzept)
Fazit und Empfehlung
Die “Verfahrensbeschreibung für Datenschutzüberprüfungen” der Datenschutzstelle Liechtenstein gewährt einen interessanten Einblick in die Arbeitsweise von Datenschutzaufsichtsbehörden bei ihrer Prüftätigkeit. Von besonderem Interesse für Verantwortliche oder Auftragsverarbeiter sind neben den möglichen Anlässen für eine Prüfung vor allem auch die im Rahmen der Überprüfung von der Aufsichtsbehörde verlangten Dokumente. Verantwortliche oder Auftragsverarbeiter können aus dem Dokument zunächst lernen, dass die Vermeidung von Beschwerden und Hinweisen zu möglichen Datenschutzverletzungen das Risiko für eine Überprüfung durch die Datenschutzaufsicht minimiert. Eine Reduzierung des Überprüfungsrisikos ist in gewissem Umfang sogar bei präventiven oder anlasslosen Untersuchungen möglich, soweit die Auswahlkriterien beeinflusst werden können. Um möglichst gut auf etwaige Überprüfungen vorbereitet zu sein und diese reibungslos abzuwickeln, können Verantwortliche oder Auftragsverarbeiter darüber hinaus die im Rahmen der Dokumentenprüfung von der Aufsichtsbehörde verlangten Dokumente so vorhalten, dass die Aufsichtsbehörde keinen Anlass zu einer vertieften Prüfung hat.
zurück