Plan für sektorale Kontrollen – Wie bereitet man sich auf eine Kontrolle durch den Präsidenten des Amtes für den Schutz personenbezogener Daten vor?
Der Präsident des Amtes für den Schutz personenbezogener Daten hat eine Mitteilung über den Plan der sektoralen Kontrollen für 2024 veröffentlicht. Zusätzlich zur jährlichen Kontrolle der Stellen, die personenbezogene Daten im Schengener Informationssystem und im Visa-Informationssystem verarbeiten, wurde beschlossen, für 2024 zwei Kontrollbereiche zu bestimmen.
Web-Anwendungen
In diesem Jahr hat der Präsident des Amtes für den Schutz personenbezogener Daten beschlossen, die Kontrollen über die Art und Weise der Sicherung und Weitergabe personenbezogener Daten, die im Zusammenhang mit der Nutzung von Webanwendungen verarbeitet werden, fortzusetzen. Aufgrund des breiten Anwendungsbereichs von Webanwendungen können sich die Kontrollen beispielsweise auf Einrichtungen erstrecken, die personenbezogene Daten in Kommunikations- und Videokonferenzanwendungen, Datenverwaltungs- und -speicheranwendungen oder CRM-Systemen, die für das Kundenbeziehungsmanagement verwendet werden, verarbeiten.
Die Prüfung der Aufsichtsbehörde im Bereich der Webanwendungen kann solche Bereiche betreffen, wie die z.B.:
- die Berücksichtigung des Grundsatzes privacy by design und privacy by default (Art. 25 DSGVO),
- die Anwendung geeigneter technischer und organisatorischer Maßnahmen auf der Grundlage der durchgeführten Risikoanalyse (Art. 32 DSGVO),
- die Rechtsgrundlage für die Weitergabe personenbezogener Daten im Zusammenhang mit der Nutzung der Anwendung (Art. 6 und 9 DSGVO).
Die Nutzung von Webanwendungen ist für viele Organisationen ein Kernbestandteil der täglichen Geschäftstätigkeit. Unternehmer sollten die Durchführung von Audits der DSGVO-Konformität von Webanwendungen in Betracht ziehen, um einer möglichen Prüfung durch die Behörde zuvorzukommen.
Informationspflichten laut Art. 13 und 14 DSGVO
Als zweiten Prüfbereich hat der Präsident des Amtes für den Schutz personenbezogener Daten die Korrektheit der Einhaltung der Informationspflicht gemäß Artikel 13-14 DSGVO angegeben. In diesem Fall ist das Verzeichnis der Einrichtungen, die einer Prüfung unterzogen werden können, noch umfangreicher. Obwohl seit dem Beginn der Anwendung von DSGVO fast sechs Jahre vergangen sind, ist es immer noch nicht die Regel, dass die Datenverwalter diese Verpflichtungen ordnungsgemäß erfüllen. Schwierigkeiten bereitet es ihnen, den betroffenen Personen die erforderlichen Informationen sachgerecht zu übermitteln, den Inhalt der Informationsklauseln in einfacher Sprache zu formulieren sowie den mehrstufigen Ansatz bei der Erfüllung der Verpflichtungen aus Art. 13-14 DSGVO richtig anzuwenden.
Es ist empfehlenswert, die Ankündigung der Kontrolle des Präsidenten des Amtes für den Schutz personenbezogener Daten in diesem Bereich für einen umfassenden Überblick über den Inhalt der verwendeten Informationsklauseln zu nutzen, sowohl im Kundenbereich, im Unternehmensbereich als auch gegenüber den Mitarbeitern des Datenverwalters.