Zur Zeit werden Fragebögen zur Umsetzung der DS-GVO vom Thüringer Landesdatenschutz an rund 17.000 Thüringer Firmen versendet.

Die Beantwortung der Fragebogen ist freiwillig.
Das ist aus dem Text des Anschreiben nicht wirklich erkennbar.


Sehr unglücklich ist auch der lange Download-Link mit Verweis auf eine ZIP-Datei.

Als IT-Verantwortlicher würde ich von einem Klick auf solche Links abraten.
Die ZIP-Datei enthält eine allgemeine Ausfüll-Anleitung für PDF-Formulare und das eigentliche Formular.
Den Fragebogen können Sie als PDF hier laden.

Dr. Hasse sagte dem MDR, dass er aber auch eine verpflichtende Umfrage in Erwägung zieht, wenn zu wenige Antworten kommen.

Unternehmen haben für die Antwort eine Woche Zeit. Das ist gerade jetzt in der Weihnachtszeit eine sehr kurze Zeitspanne.
Die Umfrage ist anonym.
Das finde ich sehr schade, denn damit erfüllt der Fragebogen wirklich nur statistische Zwecke und dient nicht wirklich einer Kontrolle.

Der Fragebogen besteht aus 7 Absätzen:
  1. Betrieblicher Datenschutzbeauftragter nach Art. 37 DS-GVO i. V. m. § 38 BDSG
  2. Verzeichnis von Verarbeitungstätigkeiten
  3. Erlaubnistatbestände Art. 6 DS-GVO
  4. Informationspflichten
  5. Betroffenenrechte
  6. Datenschutz-Folgenabschätzung
  7. Auftragsverarbeitung
Bis auf das Techn. Objektmanagment (TOM) und die IT-Sicherheit sind das die wesentlichen Fragen bei der Umsetzung der DS-GVO.
Ob und welche Probleme aus einer eventuell selbst belastenden Antwort entstehen, kann man bisher nur mutmaßen.
Wer bisher gar nichts oder zu wenig zur Umsetzung der DSGVO getan hat, wird sicher diesen Fragebogen nicht ausfüllen.
Aber vielleicht ist dieser Fragebogen ein Anlaß, um sich intensiver mit den Pflichten der DS-GVO zu beschäftigen.

Dieser Fragenbereich klärt, ob es die Pflicht zur Bestellung eines DSB gibt und ob ein interner oder externer DSB bestellt wurde.
Der DSB muß der Behörde gemeldet werden.
Unternehmen gehen ein großes Risiko ein, wen sie das nicht tun.
Zwei Fragen betreffen die Fortbildung des DSB.
Die DSGVO ist 2018 erschienen, die letzte Fortbildung sollte nicht viel älter sein.

Laut DSGVO Art.30 muß jede private oder öffentliche Stelle, die Personendaten verarbeitet, unabhängig von ihrer Größe den Umgang mit den Personendaten in einem Verfahrensverzeichnis dokumentieren.

3. Erlaubnistatbestände Art. 6 DS-GVO
Hier wird gefragt, ob zu jedem Verfahren ein Erlaubnistatbestand zugeordnet ist.
Die DSGVO besagt, dass jede Verarbeitung personenbezogener Daten verboten ist, es sei denn, es gibt eine Erlaubnis.
Es ist also zwingend diese Zuordnung erforderlich.
Praktisch erfolgt das im Verfahrensverzeichnis.

Informationspflicht besteht nach DSGVO Art.13 bei allen Erhebungen von personenbezogenen Daten.
Hier werden einige grundsätzliche Pflichten in Bezug auf Kunden und die Internetseite abgefragt.
Weitere Informationspflichten bestehen beispielsweise gegenüber Mitarbeitern oder bei Videoüberwachung.

Hier wird nach einem Verfahren zur Sicherstellung der Betroffenenrechte gefragt.
Zum Nachweis müssen Betroffenenanfragen dokumentiert werden.

6. Datenschutz-Folgenabschätzung
Hier wird gefragt, ob eine DSFA nach Art. 35 DSGVO durchgeführt wird.
Das dürfte nur in wenigen Fällen zutreffen.

Die Anpassung aller Verträge mit Partnern und Subunternehmern war eine der größten Aufgaben des vergangenen Jahres.
Dabei ist die Frage, ob es sich um Auftragsverarbeitung handelt, nicht immer einfach zu beantworten.
Der Vertrag zur Auftragsverarbeitung ist zwingend vorgeschrieben und seine Existenz bußgeldbewährt.

Wenn Sie Hilfe bei der Beantwortung der Fragen benötigen,
können Sie sich auch zwischen den Feiertagen an uns wenden.

Posted: 21.12.2018   /  Updated: 01.02.2019


Neuer Kommentar, Anmerkung oder Hinweis