DSGVO Stresstest: Simulierte Prüfung durch Aufsichtsbehörde
Geschrieben von Kemal Webersohn, veröffentlicht am 19.02.2019Sofern Sie Maßnahmen zur DSGVO-Compliance umgesetzt haben, sollten Sie jetzt einen Stresstest durchführen, um versteckte Risiken zu identifizieren.
Sie haben Maßnahmen zur DSGVO-Compliance ergriffen und auch einen Datenschutzbeauftragten ernannt? Dann sollten Sie eine simulierte Prüfung durch die Aufsichtsbehörde, also einen DSGVO-Stresstest durchführen lassen. Denn Verantwortlich und Bußgeldadressat der DSGVO bleibt immer das Unternehmen und letztendlich der Geschäftsführer – nicht aber der Datenschutzbeauftragte.
Die EU-Datenschutz-Grundverordnung
Seit Mai 2018 gilt in allen Mitgliedsstaaten der Europäischen Union die EU-Datenschutz-Grundverordnung (DSGVO) und regelt die Vorschriften zur Einhaltung von Maßnahmen zum Schutz personenbezogener Daten. Ein von Ihnen benannter Datenschutzbeauftragter kann durch die Fülle der Aufgaben schnell überfordert sein. Denn bereits die wohl wichtigsten Aufgaben zur DSGVO-Compliance sind durchaus umfangreich und komplex.
Um der ordnungsgemäßen Durchführung von Maßnahmen zur DSGVO-Compliance den erforderlichen Nachdruck zu verleihen, sieht die DSGVO je Verstoß Bußgelder von 10 Millionen Euro oder 20 Millionen Euro, bzw. 2% oder 4% des erzielten weltweiten Umsatzes des vergangenen Fiskaljahres vor. Das Bußgeld richtet sich dabei immer an den für die Datenverarbeitung verantwortlichen, nicht aber an den Datenschutzbeauftragten – ganz gleich ob Sie einen internen oder einen externen Datenschutzbeauftragten benannt haben.
Simulierte Prüfung durch die Aufsichtsbehörde: DSGVO Stresstest
Vor allem bei internen Datenschutzbeauftragten ist eine simulierte Prüfung durch die Aufsichtsbehörde, also ein sog. Stresstest daher durchaus sinnvoll. Denn nicht selten üben interne Datenschutzbeauftragte ihre Tätigkeit nicht hauptamtlich aus. In den meisten Fällen haben sie nur wenige Stunden pro Woche zur Verfügung um die Bußgeldrisiken zu vermeiden oder zu minimieren. Während dieser Zeit müssen alle wesentlichen Maßnahmen verstanden, geplant, koordiniert und letztendlich implementiert werden. Anschließend muss der Verantwortliche gem. Art. 32 Abs. 1 lit. d DSGVO gewährleisten, dass ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung vorhanden ist. Ein DSGVO-Stresstest hilft daher ihrem internen Datenschutzbeauftragten um letztendlich auch solche Bußgeldrisiken zu identifizieren, die übersehen worden sind.
Aber auch wenn Sie einen externen Datenschutzbeauftragten benannt haben, sollten Sie dessen Arbeit überprüfen lassen und daher einem DSGVO-Stresstest unterziehen. Lücken in der DSGVO-Compliance müssen übrigens nicht an der zureichenden Arbeit des Datenschutzbeauftragten liegen, denn viele Aufgaben werden an interne Stellen delegiert – nicht selten gehen diese dann im täglichen Geschäft unter.
DSGVO Stresstest: Unser Vorgehen
Bei der Durchführung eines DSGVO-Stresstests empfehlen wir immer eine vertrauliche Zusammenarbeit mit einem äußert kleinen Kreis (z.B. Geschäftsführung). Ihre Mitarbeiter sowie ihr Datenschutzbeauftragter sollten vorab über den DSGVO-Stresstest nicht informiert werden. So ist gewährleistet, dass zum Zeitpunkt der Simulation der reale IST-Zustand dokumentiert und damit die richtigen Risikofelder identifiziert werden können.
Zu Beginn des DSGVO-Stresstests werden unsere Datenschutzexperten zunächst unter einem Vorwand eine Korrespondenz mit Ihre Mitarbeitern beginnen und/oder sich auf Ihrer Plattform/Online-Shop etc. anmelden um anschließend den Stresstest telefonisch und schriftlich mit einem Auskunftsersuchen gem. Art. 15 DSGVO zu beginnen und die Löschung der gespeicherten Daten gem. Art. 17 DSGVO zu verlangen. Dabei werden wir die entsprechenden Schritte und das generelle Vorgehen Ihrer Mitarbeiter und des Datenschutzbeauftragten dokumentieren.
Wenige Tage im Anschluss führen unsere Auditoren vor-Ort Datenschutz-Interviews mit den entsprechenden Bereichsleitern (z.B. Datenschutz, Marketing/Vertrieb, Personal, IT) durch, um festzustellen, welche Maßnahmen zur DSGVO-Compliance nicht eingehalten werden. Hierbei werden wir die entsprechenden Mitarbeiter auch mit den Ergebnissen unserer Simulierten Datenschutzanfrage konfrontieren, um die internen Datenschutz-Prozesse möglichst genau abbilden zu können.
DSGVO Stresstest: Unsere Ergebnisse
Unsere Erkenntnisse werden wir im Rahmen einer Vor-Ort-Präsentation einem von Ihnen bestimmten Personenkreis (Projektteilnehmer) präsentieren. Dabei nehmen wir insbesondere diejenigen Schwachstellen in der DSGVO-Compliance Ihres Unternehmens in den Fokus, von denen ein Bußgeldrisiko ausgeht. Im Rahmen der Präsentation gehen unsere Auditoren auch immer auf den Zusammenhang zwischen den realen internen Prozessen in Ihrem Unternehmen und dem entsprechenden Vorschriften der DSGVO ein. Im Anschluss zur vor-Ort-Präsentation erhalten Sie zudem einen ausführlichen Analysebericht der alle auditierten Maßnahmen und die entsprechenden Bußgeldvorschriften sowie Bußgeldhöhen abbildet.
Den identifizierten DSGVO-Schwachstellen werden wir selbstverständlich angemessene Handlungsempfehlungen gegenüberstellen. Gerne stehen wir Ihrem Datenschutzbeauftragten hierbei helfend zu Seite, z.B. mit unserem Online-Schulungscenter (www.Compliance-Center.EU) und unserer Datenschutz-Plattform zur einfachen und transparenten Koordinierung aller noch erforderlichen Maßnahmen.
Wollen Sie eine Prüfung durch die Aufsichtsbehörde Simulieren und einen DSGVO-Stresstest bei Ihnen im Unternehmen durchführen? Dann kontaktieren Sie uns – wir freuen uns darauf von Ihnen zu hören.