Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung

DSGVO-Gazette #23: Ihr Status-Quo zur DSGVO-Compliance // Datenschutz-Due-Diligence

Eine Abmahnung oder eine Anfrage der Datenschutz-Aufsichtsbehörde ist für viele Unternehmerinnen und Unternehmer ein Grund, sich die Frage zu stellen, ob man datenschutzkonform aufgestellt ist. Diese ex-post-Betrachtung ist aus meiner Sicht viel zu spät. In diesem Fall ist das Unternehmen bereits im "Fadenkreuz" und der DSGVO-Verstoß ist offensichtlich. Weitere Compliance-Fälle gegen die Anforderungen der DSGVO lassen sich in dieser Defensiv-Haltung nicht mehr rechtzeitig beheben und führen zu weiteren Untersuchungen der Datenschutz-Aufsichtsbehörde.

Deswegen ist es sehr wichtig, dass Sie sich frühzeitig um die Einhaltung der DSGVO in Ihrem Unternehmen kümmern. Gerade wenn es um Verstöße geht, die von Außen direkt erkennbar und offensichtlich sind. Und das beste Werkzeug dafür ist eine

Datenschutz-Due-Diligence.

Bei einer Datenschutz-Due-Diligence wird ein Unternehmen sorgfältig auf die Einhaltung datenschutzrechtlicher Anforderungen überprüft.

Betrachtungsperspektive

Diese Due-Diligence-Prüfung kann von Innen und Außen oder nur von Außen auf das Unternehmen stattfinden. Der Unterschied dabei ist, dass die prüfende Einheit im ersten Fall über interes Wissen verfügt und im letztgenannten Fall nur die öffentlich zur Verfügung stehenden Informationen nutzt. Es ist jedoch nicht selten bei einer Datenschutz-Due-Diligence, dass öffentlich zur Verfügung stehende Informationen eigentlich nur als interne Informationen hätten vorliegen dürfen. Damit hätte die prüfende Einheit die erste Feststellung im Rahmen der Due-Diligence gesammelt.

Auftraggeber

Auftraggeber kann nur das betroffene Unternehmen sein. Anfragen, die eine datenschutzrechtliche Bewertung eines Mitbewerbers zum Inhalt haben, werden von mir nicht beantwortet.

Typische Feststellungen bei Prüfungen mit Sicht von Außen

Verstöße gegen alle Arten von datenschutzrechtlichen Anforderungen können im Rahmen einer Datenschutz-Due-Diligence mit Sicht von Außen festgestellt werden. Beispielhaft zu nennen wären da:

  • Fast immer: Keine angemessenen Hinweise zur Verarbeitung personenbezogener Daten (Verstoß gegen die Informationspflicht nach Art. 12 ff. DSGVO)
  • Gerne genommen: Eine fehlende Rechtsgrundlage bei der Einbindung externer Funktionalitäten (Verstoß gegen Verbot mit Erlaubnisvorbehalt nach Art. 6 DSGVO)
  • Häufig anzutreffen: Formfehler bei der Einholung einer Einwilligung zur Nutzung personenbezogener Daten zu Werbezwecken (Verstoß gegen Formvorschriften des Art. 7 DSGVO)
  • Auf die Feinheiten kommt es an: Betroffenenrecht in Bezug auf Beschwerderecht bei einer Aufsichtsbehörde nicht sauber formuliert (Verstoß gegen Hinweis auf Art. 77 DSGVO iVm. Art 13 DSGVO)
  • Auch das gibt es noch manchmal: Datenübermittlung wird angefordert auf unsichere Wegen (Verstoß gegen das Gebot zur Verarbeitung nach dem Stand der Technik gemäß Art. 32 DSGVO)

Typische Feststellungen bei Prüfungen mit Sicht von Innen

Bei einem vorhandenen Insider-Wissen der prüfenden Einheit ist es natürlich umso leichter, datenschutzrechtliche Schwachstellen in Form von Verstößen gegen die DSGVO zu identifizieren. In den meisten Fällen wissen die Unternehmerinnen und Unternehmer auch schon vor der Prüfung, was Ihre Stunde geschlagen hat. Getreu nach dem Motto "(Aktive) Unwissenheit schützt vor Strafe nicht" werden alle Feststellungen weiterhin absolut vertraulich behandelt. Insofern verbietet es sich auch hier, weitere Details möglicher Schwachstellen / Feststellungen Preis zu geben. Denn am Ende kann alles zu einem führen: Der Beseitigung der Schwachstellen auf Basis einer risikoorientierten Vorgehensweise.

Fokus auf die Lösung: Datenschutz-Compliance im Unternehmen

Am Ende einer Datenschutz-Due-Diligence steht nie ein "Scherbenhaufen", sondern die Lösung aller erkannten Feststellungen. Zu jeder Feststellung muss eine Handlungsanweisung vorhanden sein, wie die Feststellung behoben werden kann. Dabei ist jede Feststellung nach einem Risikograd zu bemessen: Hohes Risiko = sofortiges Handeln notwendig, niedriges Risiko = Umsetzung sollte nachrangig bearbeitet werden.

Sie haben Fragen zur Datenschutz-Due-Diligence? Melden Sie sich gerne.

Viele Grüße
Ingo Goblirsch

 

Ingo Goblirsch LL.M.

Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Aachen

Photo by John Schnobrich on Unsplash. Danke!