Lesezeit: 3 Min
Aufsichtsbehörde und Strafen im Datenschutz
Der Datenschutz wurde mit der Einführung der Datenschutzgrundverordnung (DS-GVO) im Jahr 2018 weiterentwickelt und stellt den Verantwortlichen immer wieder vor neue Herausforderungen. Die DS-GVO regelt den Datenschutz in Europa und wird durch die Gesetze im jeweiligen Land ergänzt.
In Deutschland regelt daher unter anderem das Bundesdatenschutzgesetz neben der DS-GVO die Umsetzung und Einhaltung des Datenschutzes. Die Einhaltung der Vorgaben wird durch die jeweilige Aufsichtsbehörde überprüft.
BLOG-TIPP: DS-GVO UND BDSG: BUSSGELDER IM DATENSCHUTZ
Wer kontrolliert die Umsetzung des Datenschutzes in Deutschland?
Seitdem die Vorgaben im Datenschutz eingeführt wurden, haben wir in unserem Blog immer wieder darüber berichtet, welche Strafen im Datenschutz gegen Unternehmen ausgesprochen wurden. Dabei war immer wieder von den sogenannten Aufsichtsbehörden die Rede, welche die Umsetzung des Datenschutzes kontrollieren.
Es gibt in Deutschland einen Bundesbeauftragten für Datenschutz, welcher die Umsetzung von BDSG und DS-GVO überwacht und durchsetzt. Außerdem besteht seine Aufgabe darin, die Öffentlichkeit für den Umgang mit personenbezogenen Daten zu sensibilisieren. Er zeigt dabei auf, welche Risiken es gibt und welche Vorschriften, Rechte usw. vorhanden sind.
Wer ist für die Kontrolle im Datenschutz in NRW zuständig?
Neben dem Bundesbeauftragten für den Datenschutz, gibt es in jedem einzelnen Bundesland eine eigene Aufsichtsbehörde für den Datenschutz. Dies ist der jeweilige Landesbeauftragte für den Datenschutz – in NRW die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW).
Welche Aufsichtsbehörde für welche Organisation zuständig ist, wird durch den Hauptsitz der jeweiligen Organisation definiert. Ein Unternehmen, was also den Hauptsitz in Nordrheinwestfalen hat, wird durch die LDI NRW betreut und kontrolliert.
Was kontrolliert die Aufsichtsbehörde im Datenschutz?
Jede Aufsichtsbehörde – also jede*r Landesbeauftragte*r für den Datenschutz – kontrolliert die Einhaltung des Datenschutzes jeder Organisation, die personenbezogene Daten verarbeitet. Teilweise verfügen die unterschiedlichen Aufsichtsbehörden der Bundesländer über eigene gesetzliche Vorgaben, welche eingehalten werden müssen.
Was passiert, wenn der Datenschutz nicht eingehalten wird?
Wenn der Datenschutz nicht eingehalten wird, drohen hohe Strafen durch die Aufsichtsbehörde. Bei besonders gravierenden Verstößen gegen die gesetzlichen Vorgaben drohen Strafen bis zu 20 Millionen Euro oder im Fall eines Unternehmens bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert der höhere ist.
Die Einhaltung des Datenschutzes ist daher keine Kür, die man nebenbei umsetzen kann, sie gehört zu verpflichtenden gesetzlichen Vorgaben.
Was kontrollieren die Aufsichtsbehörden im Datenschutz?
Welche Befugnisse die Aufsichtsbehörde hat, wird in der Datenschutzgrundverordnung geregelt. Dabei erhalten sie die Möglichkeiten Datenschutzüberprüfungen durchzuführen, außerdem erhalten sie Zugang zu den entsprechenden personenbezogenen Daten und zugehörigen Informationen, Dokumentationen über den Datenschutz und so weiter. Die Aufsichtsbehörde hat außerdem Zutritt zu Räumlichkeiten und so weiter.
Anlasslose und anlassbezogene Kontrollen
Die Kontrollen durch die Aufsichtsbehörde kann anlassbezogen und anlasslos erfolgen.
Anlasslose Kontrollen erfolgen dabei meist per schriftlich zu beantwortenden Fragebogen. Diese erfolgen aus unterschiedlichen Gründen aber ohne genauen Auslöser. Anlassbezogene Kontrollen hingehen erfolgen meist aufgrund einer Beschwerde zum Beispiel durch den Betroffenen. Auch diese sind meist erst einmal schriftlich mit der Bitte um eine Stellungnahme.
Eine Vor-Ort-Prüfung erfolgt meist nur bei grundlegenden Bedenken bei der Umsetzung im Datenschutz.
Dokumentationen im Datenschutz als Vorbereitung für Prüfungen
Wichtig im Datenschutz ist, dass alle Vorgaben eingehalten werden und dies auch entsprechend dokumentiert wird. Die Einhaltung im Datenschutz und die Verarbeitung von personenbezogenen Daten muss für die Aufsichtsbehörde nachvollziehbar belegbar sein.
Grundlegende Vorgaben, die im Datenschutz eingehalten werden müssen, sind zum Beispiel:
- Einhaltung der Betroffenenrechte (Recht auf Information, Recht auf Löschung usw.)
- Führen des Verzeichnisses von Verarbeitungstätigkeiten (VVT)
- Erstellung und Umsetzung der technischen und organisatorischen Maßnahmen (TOM)
- Schriftliche Verpflichtungserklärung der Mitarbeiter zur Einhaltung der Datenschutzvorgaben im Unternehmen
- Verarbeiten Sie z.B. Gesundheitsdaten (personenbezogene Daten besonderer Kategorien), muss eine Schwellwertanalyse und eine Datenschutzfolgenabschätzung durchgeführt werden
- Auftragsdatenverarbeitung: Erstellung von AV-Verträgen
BLOG-TIPP: GRUNDLAGEN DER DS-GVO IN NRW – EINE ÜBERSICHT
Datenschutzbeauftragten berufen
Viele Verantwortliche sind gesetzlich dazu verpflichtet einen Datenschutzbeauftragten zu berufen. Dieser kann extern oder intern besetzt werden. Der (externe) Datenschutzbeauftragte soll auf die Einhaltung des Datenschutzes hinwirken und den Verantwortlichen auf mögliche Schwachstellen und Lücken im Datenschutz hinweisen. Er steht beratend zur Verfügung und kann auch Aufgaben wie Schulungen der Mitarbeiter übernehmen.
Für viele Unternehmen macht die Zusammenarbeit mit einem externen Datenschutzbeauftragten Sinn, da dieser keine unnötige Personalkapazität bindet.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.