Reuschlaw

Daten­schutz­auf­sicht Liech­ten­stein zum Ablauf einer behörd­li­chen Prüfung

Als Ver­ant­wort­li­cher oder Auf­trags­ver­ar­bei­ter ist man in der Regel dar­an inter­es­siert, eine Kon­trol­le durch die Daten­schutz­auf­sicht zu ver­mei­den oder wenigs­tens mög­lichst rei­bungs­los zu bewäl­ti­gen. Eine aktu­el­le Ver­öf­fent­li­chung der Daten­schutz­s­auf­sicht des Fürs­ten­tums Liech­ten­stein gibt nun unter ande­rem Ein­blick in mög­li­che Prüf­an­läs­se und die im Rah­men von Über­prü­fun­gen ver­lang­ten Dokumente.

Das Doku­ment der Daten­schutz­stel­le Liech­ten­stein trägt den etwas sper­ri­gen Titel “Ver­fah­rens­be­schrei­bung für Daten­schutz­über­prü­fun­gen” (PDF) und stammt vom 19. Juni 2020. Gleich zu Beginn des Doku­ments erläu­tert die Auf­sichts­be­hör­de, die in Liech­ten­stein sowohl für pri­va­te als auch für öffent­li­che Stel­len zustän­dig ist, den Rechts­rah­men für Daten­schutz­über­prü­fun­gen nach der DSGVO und mög­li­che Prüfanlässe.

Anläs­se für Prüfungen

Anlass für eine Prü­fung kön­nen dem­nach ins­be­son­de­re Beschwer­den oder Hin­wei­se sein. Dar­über hin­aus führt die Daten­schutz­stel­le aber auch prä­ven­ti­ve oder anlass­lo­se Unter­su­chun­gen von Amts wegen durch. Aus­schlag­ge­ben­der Fak­tor für die Aus­wahl einer ver­ant­wort­li­chen Stel­le ist nach der Daten­schutz­stel­le Liech­ten­stein vor allem das durch eine Daten­ver­ar­bei­tung ent­ste­hen­de Risi­ko. Die Daten­schutz­stel­le berück­sich­tigt dabei ins­be­son­de­re die fol­gen­den Quel­len und Kriterien:

  • Inter­net­auf­tritt der daten­ver­ar­bei­ten­den Stelle
  • Tätig­keits­be­rich­te, Jah­res­be­rich­te oder ande­re öffent­lich zugäng­li­che Infor­ma­tio­nen, die eine daten­ver­ar­bei­ten­de Stel­le ver­öf­fent­licht hat
  • Ver­gan­ge­ne Kon­tak­te mit der jewei­li­gen Stel­le, die ein wenig aus­ge­präg­tes Ver­ständ­nis für den Daten­schutz erken­nen ließen
  • Ein­füh­rung neu­ar­ti­ger Daten­ver­ar­bei­tun­gen, wobei bestimm­te öffent­li­che Beden­ken dahin­ge­hend bestehen, dass die Pri­vat­sphä­re gefähr­det sein könnte
  • Umfang und die Art der zu ver­ar­bei­ten­den per­so­nen­be­zo­ge­nen Daten
  • Anzahl, Art sowie Inhalt von Beschwer­den gegen­über einer bestimm­ten Kate­go­rie daten­ver­ar­bei­ten­der Stellen
  • Ergeb­nis­se ver­gan­ge­ner Datenschutzüberprüfungen
  • Medi­en­be­rich­te

Anlass für eine Über­prü­fung kön­nen fer­ner auch die Bit­te eines Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ters um eine Über­prü­fung sowie ein gesetz­li­cher Prüf­auf­trag oder eine koor­di­nier­te gemein­sa­me Unter­su­chung mit ande­ren euro­päi­schen Auf­sichts­be­hör­den sein.

Der Ablauf einer Prüfung

Die Daten­schutz­über­prü­fung selbst wird von der Daten­schutz­stel­le in sechs Schrit­te unter­glie­dert, wobei expli­zit Wie­der­ho­lun­gen ein­zel­ner oder meh­re­rer Schrit­te sowie Sprün­ge zwi­schen den Schrit­ten vor­ge­se­hen wer­den. Der Ablauf einer Über­prü­fung durch die Daten­schutz­auf­sicht Liech­ten­stein erfolgt dem­nach in den fol­gen­den Schritten:

  • Kon­takt­auf­nah­me und Ankündigung
  • Doku­men­ten­prü­fung
  • Vor-Ort-Prüfung (optio­nal)
  • Prüf­be­richt
  • Wahr­neh­mung der Abhil­fe­be­fug­nis­se und Verfügung
  • Anschluss­prü­fung (Follow-up)

Beson­ders inter­es­sant: die Dokumentenprüfung

Im Rah­men der detail­lier­ten Dar­stel­lung der genann­ten Schrit­te, die sich im Doku­ment der Auf­sichts­be­hör­de anschließt, ist für Ver­ant­wort­li­che vor allem der zwei­te Schritt, die sog. Doku­men­ten­prü­fung, von Inter­es­se. Bei die­ser holt die Auf­sichts­be­hör­de nicht nur Infor­ma­tio­nen und Stel­lung­nah­men des Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ters über einen Fra­gen­ka­ta­log ein, son­dern ver­langt auch die Vor­la­ge zahl­rei­cher Doku­men­te, die ent­we­der elek­tro­nisch oder auf Papier zur Ver­fü­gung gestellt wer­den sol­len. Zu über­sen­den hat der Ver­ant­wort­li­che demnach:

  • Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten (Art. 30 Abs. 4 DSGVO)
  • Infor­ma­tio­nen an die betrof­fe­nen Per­so­nen (Art. 13 und 14 DSGVO)
  • Mus­ter von Ein­wil­li­gungs­er­klä­run­gen (Art. 7 DSGVO)
  • Infor­ma­tio­nen zu Daten­schutz­schu­lun­gen der Mitarbeiter
  • Ver­trä­ge mit Auf­trags­ver­ar­bei­tern (Art. 28 Abs. 3 DSGVO) oder ande­re aktu­el­le Ver­trä­ge mit Dienst­leis­tungs­er­brin­gern, die mit per­so­nen­be­zo­ge­nen Daten in Berüh­rung kom­men (z. B. Hard- und Soft­ware­lie­fe­ran­ten, Appli­ca­ti­on Ser­vice Pro­vi­der), wobei die jewei­li­gen Daten­schutz­be­stim­mun­gen her­vor­zu­he­ben sind
  • Doku­men­ta­ti­on von Daten­schutz­ver­let­zun­gen (Art. 33 Abs. 5 DSGVO)
  • Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)


Wer­den im Rah­men der Über­prü­fung auch die tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zum Daten­schutz geprüft, hat der Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter dar­über hin­aus regel­mä­ßig fol­gen­de wei­te­re Doku­men­te zur Ver­fü­gung zu stellen:

  • Orga­ni­gramm der daten­ver­ar­bei­ten­den Organisationseinheiten
  • Daten­schutz­po­li­tik, IT-Sicherheitsstrategie und Notfallplanung
  • Revisions- oder Prüf­be­rich­te ande­rer Stel­len, ins­be­son­de­re im Zusam­men­hang mit dem Prü­fungs­um­fang bezüg­lich der Infor­ma­ti­ons­tech­no­lo­gie im Allgemeinen
  • Basis­do­ku­men­ta­ti­on der IT-Infrastruktur, wie ins­be­son­de­re die ver­wen­de­te Soft- und Hardware
  • Kon­zept der Zugriffs­be­rech­ti­gun­gen, ins­be­son­de­re eine Dar­stel­lung der Rech­te von Admi­nis­tra­to­ren, exter­nen Mit­ar­bei­tern und Dienst­leis­ten­den oder ande­ren (exter­nen) Stellen
  • Wei­sun­gen an die Benut­ze­rin­nen und Benut­zer für die Ver­wen­dung der Informatikmittel
  • Geheim­hal­tungs­er­klä­run­gen oder ande­re sach­ver­halts­re­le­van­te Weisungen
  • Rege­lun­gen betref­fend die Auf­be­wah­rungs­dau­er und Löschung per­so­nen­be­zo­ge­ner Daten (Lösch­kon­zept)

Fazit und Empfehlung

Die “Ver­fah­rens­be­schrei­bung für Daten­schutz­über­prü­fun­gen” der Daten­schutz­stel­le Liech­ten­stein gewährt einen inter­es­san­ten Ein­blick in die Arbeits­wei­se von Daten­schutz­auf­sichts­be­hör­den bei ihrer Prüf­tä­tig­keit. Von beson­de­rem Inter­es­se für Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter sind neben den mög­li­chen Anläs­sen für eine Prü­fung vor allem auch die im Rah­men der Über­prü­fung von der Auf­sichts­be­hör­de ver­lang­ten Doku­men­te. Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter kön­nen aus dem Doku­ment zunächst ler­nen, dass die Ver­mei­dung von Beschwer­den und Hin­wei­sen zu mög­li­chen Daten­schutz­ver­let­zun­gen das Risi­ko für eine Über­prü­fung durch die Daten­schutz­auf­sicht mini­miert. Eine Redu­zie­rung des Über­prü­fungs­ri­si­kos ist in gewis­sem Umfang sogar bei prä­ven­ti­ven oder anlass­lo­sen Unter­su­chun­gen mög­lich, soweit die Aus­wahl­kri­te­ri­en beein­flusst wer­den kön­nen. Um mög­lichst gut auf etwa­ige Über­prü­fun­gen vor­be­rei­tet zu sein und die­se rei­bungs­los abzu­wi­ckeln, kön­nen Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter dar­über hin­aus die im Rah­men der Doku­men­ten­prü­fung von der Auf­sichts­be­hör­de ver­lang­ten Doku­men­te so vor­hal­ten, dass die Auf­sichts­be­hör­de kei­nen Anlass zu einer ver­tief­ten Prü­fung hat.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.