Amtswegiges Prüfverfahren der Datenschutzbehörde

Die Datenschutzbehörde hat nach einem amtswegigen Prüfverfahren wegen Verletzungen von Pflichten nach der DSGVO einen rechtskräftigen Bescheid erstellt, der interessante Einblicke in die Vorgehensweise bei aufsichtsbehördlichen Ermittlungen gibt.

Ausgangspunkt des Verfahrens war die Meldung einer Datensicherheitsverletzung durch den im Gesundheitsbereich tätigen Verantwortlichen bei der Datenschutzbehörde.

Ermittlungsschwerpunkte

Die Behörde nahm die Meldung zum Anlass, vom Verantwortlichen nachfolgende Informationen bzw Unterlagen einzufordern:

  • das Verzeichnis der Verarbeitungstätigkeiten;
  • die an die Betroffenen auszuhändigenden Datenschutzerklärungen;
  • Bekanntgabe, ob bzw. unter welchen Umständen Daten nicht direkt bei der betroffenen Person ermittelt werden;
  • die Gründe zu nennen, warum kein Datenschutzbeauftragter benannt wurde;
  • die von der Verantwortlichen durchgeführten Datenschutz-Folgenabschätzungen (DSFA), oder die Gründe bekannt zu geben, warum DSFA aus Sicht der Verantwortlichen unterbleiben durfte(n);
  • die Gründe zu nennen, warum (auf der Website des Verantwortlichen) ein Hinweis auf Cookies unterbleiben dürfte bzw. ein Opt-Out nicht vorzusehen war;
  • soweit keine DSFA vorzunehmen war, bekannt zu geben, welche Datensicherheitsmaßnahmen bestehen und welche Datenminimierungsmaßnahmen ergriffen wurden bzw. werden;
  • soweit sich dies nicht aus dem Verzeichnis ergibt, die Speicherdauer der Daten bekannt zu geben und mitzuteilen, ob eine Speicherung in Cloud-Diensten oder auf Servern im EWR oder in Drittländern stattfindet;
  • Auftragsverarbeiter und Übermittlungsempfänger bekannt zu geben;
  • die gemäß § 30 Abs. 3 DSG und die gemäß § 9 Verwaltungsstrafgesetz 1991 (VStG) bestellte Person bekannt zu geben.

Gegenstand der Datenschutzüberprüfung war, ob bzw. inwiefern die Verpflichtungen der DSGVO durch die Verantwortliche eingehalten werden. Der Maßstab der Prüfung bezog sich auf die von der Behörde vermuteten Datenschutzverletzungen und auf die Tatsachen, die durch die Überprüfung hervorkamen.

Bei der Überprüfung nutzte die Behörde ua mehrere Ermittlungsansätze ua “wurden (Beweise) aufgenommen durch die Eingaben der Verantwortlichen samt Beilagen sowie aufgrund des Amtswissens der Behörde und amtswegigen Recherchen auf der Webseite (sic!) der Verantwortlichen.

Im Ergebnis wurde dem Verantwortlichen aufgetragen, die beanstandeten Pflichtverletzungen innerhalb einer achtwöchigen Frist bei sonstiger Exekution zu beheben.

Quelle: GZ: DSB-D213.692/0001-DSB/2018 vom 16.11.2018

Anmerkungen

  • Im konkreten Fall hat die Behörde das Prüfverfahren vor allem deshalb eingeleitet, weil “in den Meldungen der Verletzung der Datensicherheit jeweils lediglich ein „Datenschutz-Koordinator“ benannt wurde”. Das könnte ein Hinweis darauf sein, dass die Behörde, die immer wieder geübte Praxis, anstelle eines Datenschutzbeauftragten einen Datenschutz-Koordinator zu benennen, durchaus kritisch sieht und zum Anlass nimmt, ein Prüfverfahren einzuleiten.
  • Im Zuge des Prüfverfahren stellte die Behörde zudem fest, dass der Verantwortliche mit einem eingesetzten Online-Formular betroffene Personen zu einer gesetzwidrigen Einwilligung verpflichtete.
  • Ein Verweis auf Cookies auf der Impressum-Seite, ein Hinweis-Text zum Datenschutz und ein Cookie-Hinweis-Banner auf der Startseite von der Behörde bei der Verwendung von Cookies auf der Website als ausreichend angesehen wird.
  • Die Erfüllung der Nachweis- und Rechenschaftspflichten des Verantwortlichen überprüfte die Behörde durch das Verlangen auf Vorlage nachfolgender Dokumentationen: Verarbeitungsverzeichnis, Datenschutzerklärungen, Dokumentation der Datensicherheitsmaßnahmen, Datenschutzfolgenabschätzungen und Auftragsverarbeitungen.
  • Die gesetzte Frist von 8 Wochen zur Beseitigung der beanstandeten Pflichtverletzungen ist ambitioniert.

Was tun bei einem Datenschutzvorfall?

Bei einem Hinweis auf eine mögliche Datenschutzverletzung ist der Vorfall unverzüglich zu dokumentieren und bei einem Risiko für die Rechte und Freiheiten von Personen der Datenschutzbehörde zu melden.

Als Unterstützung für die Dokumentation stellen wir Ihnen gerne unser Tool zur Meldung einer Datensicherheitsverletzung zur Verfügung.