Vor einigen Tagen hat sich eine deutsche Datenschutzbehörde erstmalig zur Umsetzung der EU-Datenschutz-Grundverordnung (DSGVO) im Unternehmen geäußert und sogar angekündigt, nun erste Prüfungen einzuleiten.
Was ist passiert?
Der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht hat am vergangenen Donnerstag auf einer IHK-Veranstaltung einen Vortrag zur Vorbereitung auf die DSGVO gehalten. Er weist hierbei darauf hin, dass noch immer nicht eindeutig feststeht, wie genau die Anforderungen der DSGVO behördenkonform umzusetzen sind. Allerdings würden die Behörden hieran arbeiten. Sehr interessant war jedoch sein mündlicher Hinweis auf eine anlasslose Prüfung der Behörde, die in den kommenden Wochen zunächst in Bayern stattfinden wird. Es wird davon ausgegangen, dass auch die anderen Landesbehörden – z.B. Hamburg – derartige Prüfungen einleiten werden. Gegenstand der Prüfung sind etwa die Fragen „Wie werden Sie bis Mai 2018 die Anforderungen der DSGVO umsetzen?“ oder „Wie schnell sind Sie in der Lage, einem Betroffenen auf Anfrage die notwendigen Informationen bereitzustellen?“.
Warum ist das wichtig für Sie?
Es ist möglich, dass auch Ihr Unternehmen in den kommenden Wochen Post von der zuständigen Datenschutzbehörde erhält und um Auskunft zum Status der Umsetzung der DSGVO gebeten wird. Bei Nichtreaktion oder fehlerhafter Antwort dürfte die Behörde ein offizielles Verfahren einleiten, so dass durchaus Anlass für eine interne Vorbereitung besteht.
Was ist zu tun?
Bereiten Sie sich schon heute darauf vor, dass Sie bei Anfragen der Behörden die richtigen Antworten liefern. Es besteht noch Zeit zur Umsetzung der DSGVO bis zum 25.05.2018. Wenn Sie der Behörde antworten, dass Sie sich mitten im Umsetzungsprozess befinden und bis Mai 2018 die geltenden Vorgaben des BDSG beachtet werden (was natürlich zutreffen sollte), dann sind Sie schon auf gutem Weg. Bestenfalls sollten Sie vor Versendung Ihrer Antwort eine Prüfung durch einen Datenschutzexperten vornehmen lassen.
Was ist sonst noch passiert?
Der LIBE-Ausschuss des EU-Parlaments hat am Freitag mit knapper Mehrheit beschlossen, der EU-Kommission die Aussetzung des EU-US-Privacy-Shield zu empfehlen. Nach Regierungsübernahme durch Donald Trump kommt daher Bewegung in die Diskussion, ob das Schutzniveau der USA heute noch angemessen ist, nachdem etwa gerade vergangenen Donnerstag der US-Senat die Empfehlung ausgesprochen hatte, die erst im Oktober 2016 erlassenen Vorschriften zum Schutz der Privatsphäre von Internetnutzern wieder zu kippen (siehe Artikel bei Heise) und vor einigen Stunden die EU-Kommissarin Jourová der US-Regierung mit der Aufkündigung des Abkommens drohte (siehe Handelsblatt von heute 18.00 Uhr ).
Das Amtsgericht Hamburg hat am 16.03.2017 (Az. 233 Owi 12/17) ein Bußgeld des Hamburger Datenschutzbeauftragten als rechtmäßig bestätigt, das gegen die Firma Bürgel Wirtschaftsinformationen GmbH & Co. KG festgesetzt wurde, wie die Behörde am Freitag mitteilte. Das Unternehmen hatte auf die Bonitätsanfrage eines Onlineunternehmens zwar keine Auskünfte über die angefragte Person erteilt, jedoch in der Antwort einen sog. Scoringwert über die Wohnanschrift der Person übermittelt. Dies wertete die Behörde als Datenschutzverstoß und setzte das Bußgeld auf EUR 15.000,- fest.
