Fragenkataloge der Datenschutzbehörden für Unternehmen zur Umsetzung der DSGVO – Teil 11 zur EU-DSGVO

Der (virtuelle) Schreibtisch ist mehr als voll mit Arbeit. Das liegt unter anderem daran, dass die Datenschutzgrundverordnung (DSGVO) vor der Tür steht. In knapp sechs Monaten, genau genommen am 25. Mai 2018, ist es soweit. Dies ist den treuen Lesern dieses Blogs ebenso bekannt, wie die Tatsache, dass auf Unternehmen erhebliche Arbeit zukommt, um die eigenen Geschäftsprozesse den Anforderungen der DSGVO anzupassen.

Nun verhält es sich aber auch so, dass viele Unternehmen – wenn überhaupt – gerade erst anfangen, sich näher mit dem Thema DSGVO und deren Umsetzung zu beschäftigen. Sollten Sie an dieser Stelle stehen, dann können Sie natürlich sehr gerne einen Blick in unsere Beitragsreihe „Die EU-Datenschutzgrundverordnung ist da! – Worauf müssen sich Unternehmen einstellen?„. Allerdings sind wir hier, einschließlich dieses Beitrags, bei inzwischen 10 Artikeln und das ist dann doch eine ganze Menge Stoff auf einmal und Sie fühlen sich vielleicht als würden Sie den Wald vor lauter Bäumen gar nicht mehr sehen können…

Das kann ich verstehen und so möchte ich in diesem Zusammenhang  – trotz aller Arbeit –  schnell einmal auf ein Papier der Landesdatenschutzbehörde Niedersachsen hinweisen:

Die Landesbeauftragte für den Datenschutz Niedersachsen hat am 06.11.2017 speziell für kleine und mittelständische Unternehmen einen Fragenkatalog herausgebracht, der den KMU die Vorbereitung zur Umsetzung der DSGVO erleichtern soll. Das Papier ist gerade einmal vier Seiten lang und listet dabei all die Fragen – unterteilt in 10 Themenschwerpunkten – auf, die sich Verantwortliche im Zusammenhang mit der Umsetzung der DSGVO unbedingt stellen sollten. Der Fragenkatalog findet sich entweder hier:

LfDI Niedersachsen Fragenkatalog – DSGVO 06112017

Oder wer lieber einmal direkt bei der Datenschutzbehörde Niedersachsen vorbeisehen will, der sollte hier klicken.

Ich halte den Fragenkatalog für einen guten ersten Leitfaden zur Orientierung. Allerdings… ist nicht zu verhehlen, dass es eben ein kurzer knapper Leitfaden ist, der davon ausgeht, dass Sie als Leser wissen, was etwa technisch und organisatorische Sicherheit der Datenverarbeitung im Sinne von Art. 32 DSGVO, eine Datenschutzfolgeabschätzung gemäß Art. 35 DSGVO oder aber ein Prozess von Meldepflichten nach Art. 33 DSGVO meint.

Dennoch, es bleibt dabei: Als Geschäftsführer und Verantwortlicher erhalten Sie einen guten ersten Überblick hinsichtlich der Fragen, die Sie sich im Unternehmen zu stellen haben. Weitere Informationen erhalten Sie unter anderem hier im Blog unter den vorstehenden Links.

(Und ja, natürlich stehen wir mit der Kanzlei auch bei Bedarf gerne Ihnen und Ihrem Unternehmen unterstützend bei der Umsetzung der DSGVO zur Seite.)

Ist das auch relevant, wenn mein Unternehmen nicht in Niedersachsen sitzt?

Selbstverständlich! Die DSGVO entfaltet ab dem 25. Mai 2018 EU-weit Geltung – also auch in ihrem Bundesland. Es war hier nur die LfDI Niedersachsen, die diesen Katalog herausgegeben hat. Einen ähnlichen Katalog stellt auch das Bayrische Landesamt für Datenschutzaufsicht bereit. Diesen finde ich für KMU nicht ganz so schön strukturiert, aber das ist vielleicht einfach Geschmackssache.

LDI NRW betont Mitteilungspflicht hinsichtlich Datenschutzbeauftragten

Zu guter Letzt möchte ich noch darauf hinweisen, dass die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW just noch einmal die ab Mai 2018 bestehende Meldepflicht bezüglich der Kontaktdaten des Datenschutzbeauftragten betont hat. Das LDI erklärt, dass die Möglichkeit einer Online-Meldung geplant ist.

Meine Mandanten wie die geneigte Leserschaft wissen, dass ich nun nicht so recht zur Schwarzmalerei neige. Aber mein erster Gedanke bei der Betonung der Meldepflicht sechs Monate vor der Geltung der DSGVO war: Ach, ja. Es ist dann für die Behörde auch recht einfach im Juni die Stichproben genau bei den Unternehmen anzusetzen, die „noch nicht mal“ die Daten des Datenschutzbeauftragen gemeldet haben.

Dieser, mein Gedankengang, muss nicht stimmen. Aber natürlich ist es wahrscheinlich, dass ein Unternehmen, das noch nicht mal der Meldepflicht (die natürlich der DSGVO, Art. 37 Abs. 7,  entspringt und damit nicht nur für Unternehmen in NRW gilt!) nachkommt, es mit einem Verzeichnis der Verarbeitungstätigkeiten und allen übrigen Pflichten auch nicht so genau nimmt…

Wie dem auch sei, ich kann Ihnen, auch wenn ich Ihnen schon auf den Keks gehen sollte, nur das Folgende raten:

Nehmen Sie die DSGVO und deren Auswirkungen auf das Unternehmen ernst. Auch wenn Ihnen Datenschutz kein Spaß bringt und/oder Sie den Datenschutz für übertrieben oder für eine Innovationsbremse halten, es nützt nichts, die DSGVO kommt am 25. Mai 2018 – und Sie gilt auch für Ihr Unternehmen.

In diesem Sinne,

fangen Sie an. Vielleicht mit dem Fragenkatalog des LfDI Niedersachsen.

6 Gedanken zu „Fragenkataloge der Datenschutzbehörden für Unternehmen zur Umsetzung der DSGVO – Teil 11 zur EU-DSGVO

  1. Ulrich Heister

    Hallo Nina,

    vielen Dank für Deine Ausführungen. Sie sind sehr hilfreich.

    Ich habe eine Frage: Sind von der DSGVO auch Einzel- bzw. Kleinstunternehmer betroffen? Gibt es Ausnahmen?

    Mit herzlichem Gruß
    Ulrich Heister

    Antworten
    1. Nina Diercks Beitragsautor

      Hallo Ulrich,

      dem Grunde nach schon. Das heißt auch ein Kleinunternehmen muss natürlich sorgsam mit den seinen z.B. Kundendaten umgehen. Allerdings muss ein Unternehmen, dass weniger als 10 Mitarbeiter hat z.B. kein Verfahrensverzeichnis führen und keinen Datenschutzbeauftragten benennen. Es sei denn… (natürlich gibt es hier wieder Ausnahmen), das Unternehmen hat maßgeblich Datenverarbeitungen zum Gegenstand wie es etwa Personalvermittlungen und Headhuntern der Fall ist. Ich hoffe, das hilft als ersten Einblick.

      Herzliche Grüße zurück,
      Nina

      Antworten
  2. udo Zimmermann

    Guten Tag Frau Diercks,
    ich bin DSB in einem großen Sicherheitsunternehmen. Im Moment werde ich immer wieder zu Thema Auftragsdatenverarbeitung „gelöchert“. Leider gibt es keine (oder ich war nicht in der Lage es zu finden) eindeutige Aussage darüber, ob Pforten-/ Empfangsdienste (Erfassung von personenbezogenen Daten von Besuchern, Mitarbeitern und Kunden sowie Zulieferer des jeweiligen Auftraggebers) der Auftragsdatenverarbeitung unterliegen. Die Daten werden nicht für eigene Zwecke genutzt, Erfassung und Speicherung erfolgt ausschließlich mit technischen Mitteln des Auftraggebers, alle MA sind arbeitsvertraglich zur Verschwiegenheit verpflichtet. Wenn die genannten Tätigkeiten so genannte Auftragsdatenverarbeitungen sind dann müsste für jeden entsprechenden Auftraggeber ein geforderter zusätzlicher Vertrag geschlossen werden ist das korrekt? Wo kann ich ganz konkret erfahren was eine Auftragdatenverarbeitung ist. Die DSGVO ist da (in meinem speziellen Fall) nicht sehr aussagekräftig. §11 BDSG war da schon etwas eindeutiger.
    Viele Grüße
    u. Zimmermann

    Antworten
    1. Nina Diercks Beitragsautor

      Guten Tag Herr Zimmermann,

      entschuldigen Sie bitte zunächst die verzögerte Antwort. Aber die Arbeitsauslastung in der Kanzlei war bzw. ist sehr hoch. Des Weiteren bitte ich um Verständnis darum, dass ich zwar viele Informationen sehr gerne kostenfrei auf dem Blog bereitstelle, aber konkrete Rechtsfragen nicht im Rahmen der Kommentierungen beantworten kann. Bitte wenden Sie sich hierzu ggf. an

      Herzlichen Dank & Viele Grüße
      Nina Diercks

      Antworten
  3. Michael Knoblach

    Hallo,

    als Betreiber eines rein privaten Forums, das ohne jede Umsatz-/Gewinnerzielungsabsicht (auch bewusst keine Affiliate-Links usw. hat), frage ich mich, wie man sich bei der Thematik halbwegs abmahnsicher aufstellen kann? Zumal einerseits vorgeblich diese neue DS-Regelungen auf „Unternehmen“ zielen, jedoch an verschiedenen Stellen (etwa bei der IHK Frankfurt a.M. – https://www.frankfurt-main.ihk.de/recht/themen/datenschutzrecht/ds-gvo_neuerungen/index.html) davon die Rede ist, dass der Geltungsbereich auch für unentgeltliche Dienstleistungen zutrifft.

    Nachdem ich selbst erst vergangenes Jahr „Opfer“ einer ungerechtfertigten Abmahnung wurde, bei der unternehmerische Tätigkeit per Anscheinsbeweis vom Abmahnenden einfach unterstellt wurde, und mich die anwaltliche Abwehr dieser Abmahnung eine Menge Geld gekostet hat, das ich, obwohl die Abmahnung ungerechtfertigt war und seitens des Abmahnenden nach dem ersten Anwaltsschreiben meinerseits nicht weiter verfolgt wurde, kaum wieder wirtschaftlich vertretbar zurückverlangen kann, frage ich mich, ob man angesichts der Gesamtdrohkulisse dieser neuen Regelungen es überhaupt in Deutschland noch riskieren kann so ein Forum, Blog o.ä. zu betreiben.

    Denn allein der Aufwand der ggf. nun betrieben werden müsste, ist kaum darstellbar für solche rein privat organisierten Foren – und das Abmahnrisiko (ob gerechtfertigt oder nicht – es entsteht jedesmal ein kaum noch kalkulierbares wirtschaftliches Risiko) besteht permanent und wird mit den vielen Fallstricken dieser neuen Rechtsnormen sicher noch zunehmen.

    Was würden Sie raten? Gibt es evtl. Ihnen bekannte öffentliche Anlaufstellen, bei denen man vorab eine halbwegs verlässliche Einschätzung bekommen kann. Oder sollte man es künftig besser einfach unterlassen so etwas privat und un-kommerziell zu betreiben, da das finanzielle Risiko einfach unkalkulierbar wird?

    Vielen Dank für eine Antwort und viele Grüße,
    Michael

    Antworten
    1. Nina Diercks Beitragsautor

      Guten Tag Herr Knoblauch,

      entschuldigen Sie bitte zunächst die verzögerte Antwort. Aber die Arbeitsauslastung in der Kanzlei war bzw. ist sehr hoch. Des Weiteren bitte ich um Verständnis darum, dass ich zwar viele Informationen sehr gerne kostenfrei auf dem Blog bereitstelle, aber konkrete Rechtsfragen wie die Ihren, nicht auf Basis dieser wenigen Informationen und nicht im Rahmen der Kommentierungen verbindlichen beantworten kann. Wenn Sie Rechtsrat wünschen, wenden Sie sich hierzu bitte ggf. an

      Herzlichen Dank
      Nina Diercks

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.