Checkliste: Wenn die Datenschutzbehörde klingelt

Bestimmungen im Datenschutzgesetz (DSG)

Nach § 22 Abs 2 DSG hat die DSB das Recht, Räume, in denen Datenverarbeitungen vorgenommen werden, zu betreten, Datenverarbeitungsanlagen in Betrieb zu setzen, die zu überprüfenden Verarbeitungen durchzuführen sowie Kopien von Datenträgern im unbedingt erforderlichen Ausmaß herzustellen. Da in der Bestimmung keine Frist für die Verständigung vorgesehen ist, könnte diese auch äußerst kurzfristig, ja sogar am selben Tag kurz davor erfolgen. Wird die Einschau verweigert, besteht das Risiko der Verhängung einer Verwaltungsstrafe bis 50.000 Euro nach § 62 Abs 1 Z 5 DSG. 

Kontaktaufnahme

•  Halten Sie eine Liste mit Namen und Kontaktdaten der intern zu verständigenden Personen bereit (Krisenteam, Vorstand, Geschäftsführung, interne:r Datenschutzkoordinator:in, Kommunikationsabteilung).
•  Halten Sie eine Liste mit Namen und Kontaktdaten Ihrer extern auf Datenschutzrecht spezialisierten Rechtsanwält:innen/Unternehmensberater:innen/Beauftragten/IT-Berater:innen bereit.
•  Legen Sie fest, wer die internen und externen Kontakte informiert.

Zu Beginn der Überprüfung

• Lassen Sie sich einen Ausweis zeigen.
• Lesen Sie eine allfällige schriftliche Aufforderung aufmerksam durch und klären Sie eventuelle Unklarheiten zum Inhalt.
• Klären Sie, ob ein konkreter Verdacht oder eine Beschwerde gegen Ihre Organisation vorliegt.
• Stellen Sie klar, wer was gegenüber der DSB kommunizieren soll und darf.
• Beantragen Sie Akteneinsicht in den Verfahrensakt, sofern die Frist vor der Überprüfung dafür ausreicht.
• Ersuchen Sie um Klarstellung, welche spezifischen Datenverarbeitungen überprüft werden sollen.
• Unterlassen Sie im Vorfeld und während der Überprüfung Handlungen, die problematisch sein könnten (Vernichtung von Dokumenten, Löschen von Medien).
• Stellen Sie sicher, dass die Vertreter:innen der Datenschutzbehörde von einem Mitarbeitenden Ihrer Organisation begleitet werden, der alle Aktivitäten protokolliert.
• Richten Sie eine interne Anlaufstelle für alle an der Vor-Ort-Überprüfung beteiligten Mitarbeitenden ein.
• Bleiben Sie höflich, aber unverbindlich. Achten Sie darauf, sich nicht selbst zu belasten und machen Sie keine Aussagen ohne Beisein Ihrer Rechtsvertretung.
• Stellen Sie für die Überprüfung idealerweise einen leeren Raum ohne Geschäftsunterlagen zur Verfügung.
• Stellen Sie einen Mitarbeitenden bereit, der für die IT-/EDV-Anlage zuständig ist und Administratorenrechte hat. Auch dieser sollte nur im Beisein der Rechtsvertretung agieren.

Befugnisse der DSB nach § 22 DSG

Lassen Sie sich von Ihrer Rechtsvertretung beraten, ob der DSB eine Einschau freiwillig gewährt werden soll. Die Einschaukompetenzen, deren Verweigerung nach § 62 Abs 1 Z 5 DSG mit bis zu 50.000 Euro zu bestrafen sind, umfassen: 

• Betreten der Räumlichkeiten Ihrer Organisation
• Inbetriebnahme von Datenverarbeitungsanlagen
• Datenverarbeitungen in Gang setzen und durchführen 
• Anfertigen von Kopien von Datenträgern, sofern unbedingt erforderlich

Befugnisse der DSB gemäß DSGVO

Über die Einschauhandlungen des § 22 DSG hinaus kann die Nichtmitwirkung in einem Verfahren der Datenschutzbehörde nach Art 31 iVm Art 58 Abs 1 lit a und e DSGVO mit bis zu 10 Millionen Euro oder zwei Prozent des Umsatzes bestraft werden (§ 83 Abs 4 DSGVO). Dabei handelt es sich um folgende Tatbestände des Art 58 Abs 1:

• Bereitstellung aller Informationen, die zur Aufklärung des Falles erforderlich sind
• Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung der Aufgaben der DSB erforderlich sind

Kopien von Unterlagen und Daten:

• Stellen Sie sicher, dass die Anfertigung von Kopien nur unter Aufsicht eines Mitarbeitenden Ihrer Organisation erfolgt.
• Das Anfertigen der Kopien ist auf das unbedingt erforderliche Maß zu beschränken.
• Sind Sie der Ansicht, dass die Vertreter:innen der DSB Kopien in einem extensiven Ausmaß anfertigen oder die Geschäftsgeheimnisse bzw. die Rechte Dritter verletzen, verweigern Sie diese oder verlangen Sie eine Versiegelung der Kopien.
• Dokumentieren Sie alle von den Vertreter:innen der DSB angefertigten Kopien.

Befragungen/Auskunftserteilung:

• Die Vertreter:innen der DSB können vor Ort alle für die Kontrolltätigkeit erforderlichen Auskünfte und Erläuterungen verlangen. Befragungen sollten lediglich im Beisein der Rechtsabteilung oder der externen Rechtsvertretung stattfinden.
• Beantworten Sie nur Fragen, die im Zusammenhang mit den überprüften Datenverarbeitungen stehen.
• Beantworten Sie nur Fragen, zu denen Sie konkret Auskunft geben können.
• Fragen Sie bei Unsicherheiten nach oder verweisen Sie auf Mitarbeitende, die darüber besser informiert sind.
• Es besteht keine Verpflichtung, sich selbst zu belasten, soweit die Pflicht des Art 31 und 33 DSGVO dabei eingehalten wird.
• Bitten Sie bei komplexen Fragen um die Möglichkeit einer späteren schriftlichen Beantwortung.
• Achten Sie auf korrekte Protokollierung Ihrer Aussagen.
• Bitten Sie um eine Kopie der Protokollierung Ihrer Aussagen.

Nach der Vor-Ort-Überprüfung

Lesen Sie ein etwaiges Protokoll der Datenschutzbehörde genau durch.

Weisen Sie bei Bedarf auf Ungenauigkeiten hin und machen Sie Ergänzungen geltend.

Fertigen Sie eine eigene interne Zusammenstellung der relevanten Ereignisse/Vorfälle und der mit der Behörde zu klärenden offenen Punkte an.

Sorgen Sie dafür, dass Mitarbeitende, die mit den Vertreter:innen der DSB direkten Kontakt hatten, ein Gedächtnisprotokoll für die Rechtsabteilung/externe Rechtsberateung erstellen.

Gekürzter und bearbeiteter Auszug des Fachbeitrags „Checkliste bei Vor-Ort-Überprüfung durch die DSB“ aus der Zeitschrift „Datenschutz konkret“. Weitere Informationen und Tipps zum Thema finden Sie im vollständigen Text der Ausgabe Dako 2/2024.