INFORMATIONEN

Was müssen Sie über DSGVO-Kontrollen wissen?

DSGVO-Kontrollen – Wer führt sie durch?

Die Aufsichtsbehörde führt die DSGVO-Untersuchungen durch ihr Überwachungspersonal durch.

Wie kann ich von der Aufsichtsbehörde untersucht werden?

Die Aufsichtsbehörde kann beschließen, die Konformität der Verarbeitung Ihrer personenbezogenen Daten auf zwei Arten zu überprüfen:

  • eine Beschwerde wurde eingereicht;
  • Mit anderen Worten: Wenn eine natürliche Person, die mit dem Umgang mit ihren Daten unzufrieden ist, eine Beschwerde gegen Sie einreicht, wird die Aufsichtsbehörde versuchen, eine Untersuchung durchzuführen, wenn sie feststellt, dass die Beschwerde begründet ist. Deshalb ist es so wichtig, dass wir die Rechte der Betroffenen respektieren.

  • Die Aufsichtsbehörde wurde von Amts wegen informiert.
  • Insbesondere kann die Aufsichtsbehörde, auch wenn keine Beschwerde vorliegt, Ihr Unternehmen untersuchen, wenn sie Daten und Informationen (Artikel 5 des Beschlusses) aus Quellen wie diesen gesammelt hat:

    – bei der Aufsichtsbehörde eingegangener Schriftverkehr;

    – Massenmedien;

    – Zugriff auf das Internet-Netzwerk;

    Die Aufsichtsbehörde kann zum Beispiel auf Ihre Website zugreifen und feststellen, dass Sie keine verbindlichen Vorgaben durchgesetzt haben, wie die Information der Nutzer über Cookies, eine Marketingvereinbarung oder die Information der Besucher über die Verarbeitung personenbezogener Daten. Dies kann zu einer Untersuchung der Datenschutz-Grundverordnung führen.

    So verhängte die Aufsichtsbehörde Geldbußen gegen verschiedene Unternehmen, die in den Vorjahren Websites betrieben und keine Verfahren zur Umsetzung der DSGVO eingeführt hatten. Die meisten Bußgelder wurden Schätzungen zufolge für die Nichteinhaltung der Informationspflicht verhängt, die auch am einfachsten zu überprüfen ist.

    -Auffinden von Dokumenten, die im Anschluss an andere Untersuchungen im Rahmen der DSGVO oder anderer Formulare der Aufsichtsbehörde erstellt wurden.

    Wenn die Aufsichtsbehörde beispielsweise Macht über einen Handelspartner ausübt, ist es wahrscheinlich, dass sie auch Sie auf diese Weise beeinflussen wird.

    Tätigkeiten in Abstimmung mit öffentlich-rechtlichen oder privatrechtlichen Einrichtungen oder mit ausländischen Aufsichtsbehörden

    -andere Quellen.

    Die anderen Quellen sind in dem Urteil nicht aufgeführt, was bedeutet, dass es der Aufsichtsbehörde freisteht, Informationen von überall her zu sammeln.

    Wie wird die Untersuchung durchgeführt?

    Gemäß der Entscheidung können Untersuchungen durchgeführt werden:

    -auf dem Feld;

    Der Beschluss sieht u.a. vor, dass die Inspektoren der Aufsichtsbehörde:

  • Umzug zum Hauptsitz/Domizil/Büro oder anderen Standorten;
  • legt die Kontrollkarte vor;
  • stellt die Ziele der Untersuchung vor;
  • prüft die Aspekte, die mit dem Zweck der Untersuchung zusammenhängen;
  • zeigt jedes Dokument, Gerät, Mittel oder Datenträger;
  • Abholung von Dokumenten in einer vom kontrollierten Unternehmen beglaubigten Kopie oder von relevanten Aufzeichnungen, die sich auf den Gegenstand der Kontrolle beziehen, und deren Beifügung
  • zum Bericht über die Feststellung/Sanktionierung;
  • Erstellung des Ergebnisberichts / Sanktionierung;
  • Umgang mit einer Kopie des Protokolls der Feststellung/Sanktionierung.
  • Welche Verpflichtungen habe ich im Falle einer DSGVO-Kontrolle?

    Im Rahmen der Untersuchung haben Sie vor allem folgende Pflichten:

    a) Ermöglichung der Aufnahme und Durchführung der Untersuchung durch die Inspektoren, ohne sie in irgendeiner Weise zu behindern;

    b) Sicherstellung des Zugangs des Kontrollpersonals zu allen Einrichtungen, Mitteln oder Hilfsmitteln für die Datenverarbeitung/-speicherung;

    c) dem Überwachungspersonal alle für die Untersuchung wesentlichen Informationen und Aufzeichnungen, unabhängig vom Speichermedium, einschließlich Kopien davon, zugänglich zu machen;

    d) die angeforderten Dokumente der Aufsichtsbehörde zur Verfügung zu stellen, die für die Übereinstimmung mit dem Original akkreditiert ist;

    e) die geforderten Unterlagen, Tatsachen, Aufzeichnungen und Belege vollständig vorzulegen sowie die erforderlichen Abklärungen zu treffen, ohne dass der Charakter widerlegt werden kann

    ihre Vertraulichkeit unter Einhaltung der gesetzlichen Bestimmungen;

    f) dem Überwachungspersonal die Nutzung der Audio-/Video-/Bildaufzeichnungs- und -speichergeräte zu gestatten, wenn das Überwachungsteam dies während der Überwachung für erforderlich hält.

    Welche Sanktionen kann ich erhalten?

    Die wichtigsten Sanktionen sind eine Verwarnung oder eine Geldstrafe.

    Bei der Entscheidung, ob und in welcher Höhe eine Geldbuße zu verhängen ist, ist Folgendes zu berücksichtigen:

  • die Schwere des Verstoßes;
  • ob der Verstoß absichtlich oder aus Verschulden begangen wurde;
  • die Maßnahmen, die Sie zum Abbau von Vorurteilen ergreifen;
  • Grad der Verantwortlichkeit unter Berücksichtigung der angenommenen technologischen und operativen Schritte, wie Sicherheitsprotokolle, Verfahren zur Durchsetzung von Privilegien, Datenübertragungen, Management von Sicherheitsvorfällen usw.
  • frühere Verstöße;
  • Grad der Zusammenarbeit mit der Aufsichtsbehörde;
  • die betroffenen Datenkategorien, d. h. gewöhnliche oder sensible Daten;
  • jeder andere erschwerende oder mildernde Umstand.
  • Was sollte der Bericht enthalten?

    Der Bericht, der im Anschluss an die DSGVO-Untersuchung veröffentlicht wird, muss, vorbehaltlich der Strafe der absoluten Nichtigkeit, Folgendes enthalten:

    a) das Datum und den Ort des Abschlusses des Protokolls über die Feststellung/Sanktionierung;

    b) Angaben zur Identifizierung und Rolle der Mitglieder des Kontrollteams, einschließlich der Nummer der Kontrollkarte;

    c) die Nummer und das Datum der vom Präsidenten der Aufsichtsbehörde ausgestellten Vollmachtsentscheidung und gegebenenfalls die Nummer und das Datum einer Vollmacht für die vor Ort durchgeführten und zuvor nicht schriftlich angekündigten Ermittlungen;

    d) das Objekt der Kontrolle;

    e) die Identifikationsdaten des kontrollierten Unternehmens;

    f) die Identifikationsdaten und die Funktionen der Vertreter des kontrollierten Unternehmens;

    g) die Ergebnisse der durchgeführten Überprüfungen;

    h) eine Zusammenfassung des Verstoßes unter Angabe des Datums und des Ortes des Verstoßes, der Umstände, die zur Bestimmung der Schwere des Verstoßes und gegebenenfalls des Schadens herangezogen werden können, des normativen Akts, in dem der Verstoß definiert und geahndet wird, sowie gegebenenfalls der angewandten Abhilfemaßnahmen und/oder Sanktionen;

    i) die Frist für die Ausübung des Rechtsbehelfs und das Gericht, bei dem die Beschwerde eingereicht wird, falls eine Sanktion wegen Zuwiderhandlung verhängt wird;

    j) falls Dokumente oder andere Materialien gesammelt wurden, deren Art und Beschaffenheit;

    k) Wenn die Mitglieder der kontrollierten Stelle, die an der Kontrolle beteiligt waren, es abgelehnt haben, Einwände gegen den Inhalt des Feststellungs-/Sanktionsberichts zu erheben, nachdem sie auf dieses Recht hingewiesen wurden;

    l) Angaben zur Aushändigung/Übermittlung des Protokolls über die Feststellung/Sanktionierung in Kopie an die Vertreter des kontrollierten Unternehmens;

    m) Die Gründe, warum die Mitglieder des überwachten Organs den Feststellungs-/Sanktionsbericht nicht unterschrieben haben, schlagen die Identitätsdaten des Zeugen vor, der gegebenenfalls die Gründe für die Nichtunterzeichnung des Berichts bestätigt, oder die Gründe für die Vorbereitung des Verfahrens – mündlich in Abwesenheit eines Zeugen.