Dies hilft – in Kombination mit einem Löschkonzept -, einen Überblick darüber zu haben, wie lange man welche Daten vom Gesetz her zu speichern hat. Verlangt ein Betroffener Auskunft über die Verarbeitung seiner Daten, kann ein Verantwortlicher das Verzeichnis von Verarbeitungstätigkeiten zur Beantwortung zu Hilfe ziehen. Falls die Datenschutzbehörde nachfragt, hat ein Verantwortlicher dies vorzulegen – es sei denn, er kann entsprechend belegen, dass er nicht zur Führung dessen verpflichtet ist. Er kann es auch so gestalten, dass es als allgemeine Übersicht dient, während es dennoch den Vorschriften der DSGVO entspricht. Eventuell hilft das Verzeichnis von Verarbeitungstätigkeiten sogar, einen Datenschutzvorfall oder zumindest ein hohes Bußgeld zu vermeiden. Tritt solch ein Vorfall doch ein und die Behörde fragt nach, kann ein Unternehmen mit dem Verzeichnis von Verarbeitungstätigkeiten nachweisen, dass es sich aktiv mit dem Datenschutz beschäftigt und versucht, genau solche Vorfälle abzuwehren.
So kann er beispielsweise auf ein erhöhtes Risiko für die Rechte und Freiheiten für Betroffene bei der Verarbeitung aufmerksam machen. Fazit Im Endeffekt ist die Scheu vor dem Verzeichnis von Verarbeitungstätigkeiten unbegründet. Ja, es ist eine Fleißaufgabe, dennoch überwiegt, abgesehen von der gesetzlichen Pflicht und der Sanktionsdrohung, auch der Nutzen durch die Überprüfung der eigenen Prozesse mit der Möglichkeit einer Geschäftsprozessoptimierung und der Sicherheit der Datenverarbeitung. Es demonstriert schließlich auch, dass ein Verantwortlicher sich mit dem Datenschutz im Unternehmen näher beschäftigt hat. Sie haben nicht die Expertise oder die Ressourcen zur Erstellung des Verarbeitungsverzeichnisses und benötigen Unterstützung? Treten Sie mit uns in Kontakt, sodass wir Ihnen weiterhelfen können.
Wenn dies schon für die Kfz-Werkstatt und die Bäckerei gilt, so muss dies erst recht von größeren Unternehmen ernst genommen werden. Im Rahmen eines Datenschutz-Audits kann viel zu leicht festgestellt werden, dass ältere Daten bislang nicht systematisch gelöscht wurden, als das man dieses Risiko eingehen könnte. Für größere Unternehmen, die bislang kein Löschkonzept erarbeitet haben, dürfte dies eine der letzten Warnungen sein. Datenschutz-Folgeabschätzung Interessant ist auch, dass keinem der kleineren Unternehmen eine Datenschutz-Folgeabschätzung zugemutet wird. Das BayLDA argumentiert hier schlichtweg damit, dass pauschal kein hohes Risiko bei der Datenverarbeitung besteht. Dies gilt auch, obwohl jedes der beschriebenen Unternehmen über Angestellte verfügt und insofern besondere Kategorien von personenbezogenen Daten nach Art. 9 DSGVO verarbeitet. Selbst ein beschriebener Produktionsbetrieb mit 40 Mitarbeitern, der eine Videoüberwachung betreibt, muss nach der Ansicht des BayLDA insgesamt keine Datenschutz-Folgeabschätzung durchführen.
(BFH, Urteil vom 28. 09. 2011, Az. : VIII R 8/09) Letztlich ist die Rechtslage hier wohl etwas unklar. Das BayLDA hätte sich selbst und den betroffenen Unternehmen einen Gefallen getan, die Anschreiben mit einer Rechtsbehelfsbelehrung zu versehen. Dann hätte man hier klar einen Verwaltungsakt erkennen können. So bleibt das Schreiben allerdings etwas unbestimmt. Und wenn der Regelungscharakter des Schreibens nicht klar erkennbar ist, dann gehen Unklarheiten grundsätzlich zulasten der Behörde, hier dem BayLDA. Wie häufig ist es also ggf. auch eine taktisch-strategische Frage, ob hier geantwortet werden soll oder nicht. Wenn ein Unternehmen im Bereich Ransomware-Schutzmaßnahmen gut aufgestellt ist, kann man hier ggf. gut ein paar "Karma-Punkte" bei der Aufsichtsbehörde sammeln. Wenn man hier eher "blank" ist, würde ich den Fokus vielleicht eher darauf setzen, meine Lücken im Bereich der Maßnahmen zügig zu schließen, statt mich mit dem Prüfbogen zu beschäftigen bzw. diesen dann beantworten.
Du kannst Dich jederzeit von meinem Newsletter abmelden. Weitere Informationen findest Du in der Datenschutzerklärung.
"… Übermittlung Ihrer E-Mail-Adresse an Mailchimp, die Gegenstand Ihrer Beschwerde ist – datenschutzrechtlich unzulässig, weil […] nicht geprüft hatte, ob für die Übermittlung an Mailchimp zusätzlich zu den (zum Einsatz gekommenen) EU-Standarddatenschutzklauseln noch "zusätzliche Maßnahmen" im Sinne der EuGH-Entscheidung "Schrems II" (EuGH, Urt. 2020, C-311/18) notwendig sind …" Es sollten daher zumindest folgende Punkte geprüft werden: Welche personenbezogenen Daten sind betroffen und welche Gefahr besteht für diese? Welche Maßnahmen trifft der Anbieter, um die Daten zu schützen? Und welche weiteren Maßnahmen müssen ggf. noch ergriffen werden? Welche alternativen Anbieter in der EU können eingesetzt werden? Und welchen Aufwand würde eine Umstellung auf einen anderen Anbieter bedeuten? Die Behörde hat in diesem Fall die Unzulässigkeit der Datenübermittlung festgestellt, darüber hinaus jedoch keine weiteren aufsichtsbehördlichen Maßnahmen verhängt, wie etwa ein Bußgeld. Ob dies auch zukünftig so sein wird, ist fraglich.