Noch gibt es wenige Fälle, in denen eine Datenschutzbehörde tatsächlich Bußgeldbescheide ausgestellt hat oder anderweitig tätig geworden ist. Durch massive Aufstockung von Personal und nach dem die Behörden die Anfrageflut vom 25.05.2018 abgearbeitet haben, ist allerdings mit einer Zunahme der Kontrollen zu rechnen. Dieser Artikel soll vier mögliche Einfallstore aufzeigen, über die Sie bzgl. der DSGVO von den Behörden kontaktiert werden könnten.
Inhalte
Weg 1: Sie sind einer Anfrage eines Kunden nach Löschung, Auskunft oder Berichtigung nicht nachgekommen
Wenn ein Kunde oder anderweitig Betroffener an Sie eine Anfrage richtet, dass z.B. seine Daten gelöscht werden sollen, sollten Sie diesem sofort antworten. Innerhalb von 30 Tagen sollten Sie ihm auch mitteilen, wie Sie weiter fortfahren (ob gelöscht werden kann oder nicht zum Beispiel). Wie Sie die Auskunft richtig erteilen erfahren sie hier.
Kommen Sie Ihren Pflichten nicht nach, kann sich der Betroffene jederzeit an die Behörde wenden. Der Bayerische Landesdatenschutzbeauftragte hat dafür ein eigenes Formular eingerichtet, andere Bundesländer haben auch bereits Verfahren zur Meldung.
Praxistipp: Richten Sie eine eigene, priorisierte E-Mail Adresse für Datenschutzanfragen ein, welche am besten direkt zur Geschäftsführung weitergeleitet wird oder zur zuständigen Person.
Weg 2: Sie haben einen eigenen Datenschutzverstoß gemeldet
Es passiert schnell: eine Mail an viele externe Empfänger in CC statt BCC versendet oder ein Mitarbeiter hat einen Virus geöffnet und damit alle Daten auf dem Unternehmensserver gelöscht. Theoretisch stellen diese Vorkommnisse eine Verletzung des Schutzes personenbezogener Daten dar, welche innerhalb von 72h Meldungspflichtig sind. Ob Sie diese nun melden müssen, hängt von verschiedenen Faktoren ab, unter anderem, wie hoch das Risiko für die Betroffenen ist.
Eine Behörde möchte dann unter Umständen klären, wie es zu dem Zwischenfall kommen konnte und Sie kontaktieren.
Praxistipp: Erstellen Sie Ihre Dokumentation und weisen Sie damit nach, dass Sie ihr bestes getan haben, um diese Vorfälle auszuschließen.
Weg 3: Vorsorgliche Kontrollen der Behörden
Es gab bereits Kontrollen von Ärzten durch den berühmten “Fragebogenaktion zum Stand der Anpassungen an die neue Datenschutz-Grundverordnung bei Ärztinnen und Ärzten in Mecklenburg-Vorpommern”. Weitere Bundesländer haben diese auch durchgeführt. Dort wird unter anderem abgefragt, ob die Dokumentationspflichten nach DSGVO eingehalten werden (Verzeichnis von Verarbeitungstätigkeiten, technische und organisatorische Maßnahmen und weitere). Es ist zu erwarten, dass diese Kontrollen zunehmen, es kann nur spekuliert werden, was passiert, wenn die Antworten auf diesen Fragebögen nicht ausreichend beantwortet werden.
Praxistipp: Erstellen Sie Ihre Dokumentation und sichern Sie sich ab.
Weg 4: Fehlende SSL Verschlüsselung
Eine fehlende SSL Verschlüsselung kann nicht nur abgemahnt werden und sogar zu Schadensersatzansprüchen führen (in einem Fall 8.500 Euro). Es kann auch ein Verstoß gegen die DSGVO darstellen und ein Bußgeld nach sich ziehen.
Der Bayerische Landesdatenschutzbeauftragte hat dafür ein eigenes Prüfverfahren entwickelt, welches z.B. Konkurrenten nutzen könnten, um diesen Verstoß zu melden. Ironischerweise erhält man den Prüfbericht per Post auf Papier zugeschickt.
Praxistipp: Verschlüsseln Sie Ihre Seite und alle Kontaktformulare. Prüfen Sie regelmäßig, ob die Verschlüsselung noch besteht. Prüfen Sie zusätzlich, ob standardmäßig auf SSL umgeleitet wird.
Fazit
Bieten Sie keine Angriffsfläche und sichern Sie sich gut extern (Webauftritt, Datenschutzprozesse) und intern ab (Dokumentation). Das bedeutet zwar nicht, dass Sie sicher sind, reduziert aber das Risiko von Bußgeldverfahren drastisch.