Kriterienkatalog für behördliche Prüfungen nach DSGVO veröffentlicht

Was kommt auf Unternehmen zu?

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat einen Kriterienkatalog für Querschnittsprüfungen in der Wirtschaft veröffentlicht. Hintergrund dieser Veröffentlichung war eine Überprüfung in 50 großen und mittelgroßen Unternehmen. Mit dem nun veröffentlichten Kriterienkatalog möchte die LfD Niedersachsen im Hinblick auf den bevorstehenden Abschluss der Überprüfung in transparenter Weise die als einheitlichen Bewertungsmaßstab angesetzten Bewertungskriterien offenlegen. Grundlage sind hierbei 200 Einzelkriterien aus zehn Fragenkomplexen.

Die zehn Fragenkomplexe gliedern sich in:

  • Vorbereitung auf die DSGVO
  • Verzeichnis von Verarbeitungstätigkeiten (VVT)
  • Zulässigkeit der Verarbeitung
  • Betroffenenrechte
  • Technischer Datenschutz
  • Datenschutz-Folgenabschätzung
  • Auftragsverarbeitung
  • Datenschutzbeauftragter
  • Meldepflichten
  • Dokumentation

In vielen Punkten, wie zum Beispiel den Informationspflichten gegenüber Betroffenen nach Art. 13 und 14 DSGVO oder den Inhalten des Verarbeitungsverzeichnisses, bieten die aufgestellten Bewertungskriterien keine besondere Überraschungen, da sie im Wesentlichen den ohnehin in den gesetzlichen Normen definierten Forderungskatalog abprüfen.

In einigen anderen Punkten stellen sich die aufgestellten Bewertungsmaßstäbe als verhältnismäßig hoch und bisweilen auch etwas intransparent dar. So wird bezüglich der technischen Maßnahmen für die Verarbeitungssicherheit nach Art. 32 DSGVO die Leitfrage zur Bewertung gestellt, ob der befragte Verantwortliche den Begriff „Stand der Technik“ richtig verstanden hat. Was genau das „richtige Verständnis“ des Begriffs darstellt, wird aber leider nicht kommuniziert.

Auch die konkreten Anforderungen an die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) stellen sich im Hinblick auf die erwartete Methodik äußerst klar dar. Es wird demnach bewertet, nach welcher Methodik eine Risikobestimmung durchgeführt wird: dem WP 248 der Artikel-29-Datenschutzgruppe, dem DSK-Kurzpapier Nr. 18 zum Risiko oder einer eigenen Methodik sowie der Folgefrage, ob die Methodik geeignet ist, hochriskante Verfahren zu identifizieren. Weiterhin wird abgefragt, welche DSFA beispielhaft ausgewertet wurde (sofern eine solche existiert).

Zusammenfassend lässt sich positiv anerkennen, dass die LfD Niedersachsen sich bemüht, in transparenter Weise offenzulegen, wie eine einheitliche und objektive Bewertung im Zuge der Überprüfungen stattfinden soll. Allerdings zeigen die in dem zwölfseitigen Dokument aufgestellten Bewertungsfragen, dass die Anforderungen für Unternehmen hoch sind und insbesondere kleine und mittlere Unternehmen sich dem Risiko ausgesetzt sehen, ohne eine weitergehende datenschutzrechtliche Vorbereitung und Beratung schnell Antworten auf die Fragen der Behörde zu geben, die möglicherweise nicht in die Richtung der behördlichen Erwartung laufen.

Klar ist auch, dass Unternehmen die Dokumentations- und Rechenschaftspflicht der DSVGO ernst nehmen müssen. Denn die Erstellung der erforderlichen und hier von der Aufsichtsbehörde zum Teil auch abgefragten DSGVO-Dokumentation, dauert erfahrungsgemäß nicht nur wenige Tage oder Wochen. Unternehmen müssen daher, auch für solche Fragebogenaktionen, intern vorbereitet sein.

[September 2019]