Vor Kurzem hat die Datenschutzbehörde von Liechtenstein (Datenschutzstelle) einen Fragebogen an verschiedene Unternehmen versandt und mitgeteilt, dass sie ihre Aufsichtstätigkeit in Zukunft intensivieren wird. Durch den Fragebogen will die Datenschutzstelle den Stand der Umsetzung der DSGVO abfragen und kontrollieren. Damit nicht nur die von der Datenschutzstelle angefragten Unternehmen den Stand der Umsetzung prüfen können, stellt die Behörde auf ihrer Webseite den anderen Unternehmen einen Fragebogen zur Verfügung. Mit diesem können die Unternehmen den Umsetzungsstand der DSGVO im Rahmen eines Self-Assessments eruieren und gestützt darauf gegebenenfalls auch Umsetzungsmassnahmen einleiten, bevor die Datenschutzstelle eine Untersuchung vornimmt.

Die liechtensteinische Datenschutzstelle intensiviert Aufsichtstätigkeit

Seit dem 25. Mai ist die EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Neben vielen formellen Anforderung führte sie auch ein erheblich verschärftes Bussenregime für Datenschutzverstösse von ein. Die strukturelle Organisation des Datenschutzes sowie die Dokumentation der datenschutzrechtlichen Massnahmen erfordern ein hohes Mass an Aufmerksamkeit und Sorgfalt. Insbesondere die Anforderungen an die Transparenz und Nachweisbarkeit einer rechtmässigen personenbezogenen Datenverarbeitung stellt Unternehmen vor grosse (administrative) Herausforderungen (vgl. dazu allgemein MLL-News vom 24.3.2019).

Im Juli 2018 wurde die DSGVO schliesslich in das EWR-Abkommen aufgenommen und erlangte dadurch auch in den EWR-Staaten Lichtenstein, Norwegen und Island unmittelbar Geltung (vgl. dazu MLL-News 1.9.2018). Um die Umsetzung der DSGVO nun auch in Liechtenstein sicherzustellen, hat die liechtensteinische Datenschutzstelle in einem Newsbeitrag auf ihrer Webseite angekündigt, dass sie ihre Aufsichtstätigkeit fortan intensivieren werde. In einem ersten Schritt hat sie dazu einen Fragebogen an verschiedene Unternehmen versandt, mit dem der Stand der Umsetzung der unterschiedlichen datenschutzrechtlichen Pflichten unter der DSGVO abgefragt und kontrolliert werden soll. Einen ähnlichen Fragebogen hatte im Übrigen auch schon das Bayerische Landesamt für Datenschutzaufsicht veröffentlicht.

Veröffentlichung des Fragebogens zur Selbstevaluation

Nach dem Versand der Fragebögen an ausgewählte Unternehmen, stellt die Datenschutzstelle den Fragebogen nun auch den (noch) nicht aktiv angegangenen Unternehmen zur Selbstevaluation zur Verfügung. Mit der Veröffentlichung des Fragebogens wird den Unternehmen die Möglichkeit eingeräumt, allfällige Lücken in ihrer Umsetzung der DSGVO-Anforderungen zu erkennen und gegebenenfalls zu schliessen, um bei einer Kontrolle der Datenschutzstelle vorbereitet zu sein. Aus diesem Grund kann mit dem Fragebogen ermittelt werden, ob die Grundzüge der DSGVO eingehalten werden bzw. wo noch Lücken bestehen.

Inhaltliches zum Fragebogen zur DSGVO-Umsetzung

Dem veröffentlichten Fragebogen sind insbesondere folgende Fragen zu entnehmen:

  • Auf Basis welcher Rechtsgrundlage verarbeiten Sie personenbezogene Daten?

Ohne eine entsprechenden Erlaubnistatbestand gemäss Art. 6 DSGVO ist eine Verarbeitung personenbezogener Daten rechtswidrig (sog. „Verbot mit Erlaubnisvorbehalt“; vgl. dazu allgemein MLL-News vom 31.5.2019).

  • Wie wird die Informationspflicht in Ihrem Unternehmen umgesetzt?

Der Verantwortliche hat die betroffene Person über die Erhebung von personenbezogenen Daten zu informieren und zwar im Zeitpunkt der Erhebung (Art. 13/14 DSGVO). Dabei setzt der Grundsatz der Transparenz voraus, dass die Information dem Betroffenen in präziser, leichter und gut verständlicher Sprache zugänglich gemacht wird. Aus der Information soll für die betroffene Person insbesondere ersichtlich sein, von wem und zu welchem Zweck die Daten erhoben werden. Die Datenschutzstelle zielt hier offensichtlich darauf ab, ob eine Datenschutzerklärung (auf der Webseite) besteht. Für den Fall, dass eine solche vorhanden ist, möchte die Datenschutzstelle auch den entsprechenden Link erhalten. Es muss somit davon ausgegangen werden, dass die Datenschutzerklärung, sofern sie vorhanden ist, auch daraufhin geprüft wird, ob sie den inhaltlichen Anforderungen der DSGVO entspricht (vgl. dazu Art. 13/14 DSGVO).

  • Ist in Ihrem Unternehmen ein dokumentierter Prozess vorhanden, wie mit den Rechten der betroffenen Personen nach Art. 12 bis 22 DSGVO umgegangen wird?

Eines der zentralen Anliegen der DSGVO war es, die Rechte der Betroffenen zu stärken. Diese müssen insbesondere von den Betroffenen effektiv durchgesetzt werden können. Anfragen von Betroffenen bezüglich ihrer Rechte müssen in der Regel innert eines Monats beantwortet werden, wobei diese Frist in Ausnahmefällen (z.B. bei besonders komplexen Anfragen) um zwei Monate verlängert werden kann. Um diesen Anforderungen gerecht zu werden, ist die Einführung eines klaren dokumentierten Prozesses unerlässlich.

  • Stellen Sie sicher, dass bei der Änderung oder Neuentwicklung von Produkten oder Dienstleistungen Datenschutzanforderungen gemäss Art. 25 DSGVO von Anfang an mitberücksichtigt werden?

In dieser Frage geht es um die Umsetzung der Grundsätze des Privacy by Design und Privacy by Default. Der Verantwortliche ist nach der DSGVO verpflichtet den Datenschutz frühzeitig durch Technikgestaltung (sog. Privacy by Design) und datenschutzfreundliche Voreinstellungen (sog. Privacy by Default) sicherzustellen. Auch dafür sind entsprechende Change-Management-Prozesse einzuführen und dokumentiert festzuhalten.

  • Werden in Ihrem Unternehmen Datenverarbeitungen an Auftragsverarbeiter ausgelagert?

Nach der DSGVO bildet ein Auftragsverarbeitungsvertrag zwischen dem Verantwortlichen und dem Auftragnehmer die Grundlage, welche sicherstellt, dass sich die Parteien an die datenschutzrechtlichen Anforderungen halten. Die Datenschutzstelle verlangt in ihrem Fragebogen sodann auch exemplarisch eine Kopie eines solchen Vertrags.

  • Haben Sie für Ihre Unternehmen ein vollständiges Verarbeitungsverzeichnis nach Art. 30 DSGVO erstellt?

Es geht um die Frage, wie das Unternehmen bzw. der Verantwortliche oder dessen Vertreter sicherstellt, dass bei der Verarbeitung personenbezogener Daten die Verarbeitungstätigkeiten in ein Verzeichnis aufgenommen werden und dieses auch aktuell gehalten wird. Aus Sicht der Datenschutzstelle handelt es sich beim Verzeichnis um eine relativ einfache Möglichkeit zu prüfen, ob die DSGVO tatsächlich auch umgesetzt wurde oder nicht. Denn das Verarbeitungsverzeichnis bildet gewissermassen das Herzstück des DGSVO-Compliance-Frameworks.

  • Wie stellen Sie sicher, dass geeignete technische und organisatorische Massnahmen zur Sicherstellung insbesondere der Verfügbarkeit, Vertraulichkeit, Integrität und Belastbarkeit der Daten nach Art. 32 DSGVO (Sicherheit der Verarbeitung) getroffen werden?

Die DSGVO verlangt, dass bei der Verarbeitung von personenbezogenen Daten die notwendigen technischen und organisatorischen Massnahmen implementiert wurden. Die Massnahmen müssen nicht nur dem aktuellen Stand der Technik entsprechen und regelmässig überprüft und angepasst werden, sondern sie müssen auch den Risiken der betroffenen personenbezogenen Daten Rechnung tragen.

Der Fragebogen ist diesbezüglich aber zusätzlich hilfreich, da er auf gewisse Zertifizierungsmöglichkeiten, wie beispielsweise die ISP/IEC 27000-Normreihe, hinweist. Damit bringt die Datenschutzstelle zumindest zum Ausdruck, dass die Zertifizierung bei der Prüfung der Massnahmen unter Umständen ein Indiz für die Angemessenheit sein kann.

  • Wie viele Datenschutzverletzungen nach Art. 33 und 34 DSGVO sind bei Ihnen seit Geltung der DSGVO (20. Juli 2018) bekannt geworden?

Bei einer Verletzung personenbezogener Daten kann die Wirkung für die betroffene Person schwer wiegen – es kann sowohl ein physischer oder materieller, wie auch ein immaterieller Schaden entstehen. Aus diesem Grund sieht die DSGVO bei einer Datenschutzverletzung (sog. Data Breach) vor, dass der Verantwortliche die Aufsichtsbehörde innert 72 Stunden seit der Kenntnisnahme der Verletzung zu informieren hat. Besteht durch die Verletzung ein hohes Risiko, so muss die betroffene Person umgehend informiert werden. Kann die Benachrichtigung nicht innert dieser 72 Stunden erfolgen, so sollten zumindest die Verzögerungsgründe plausibel dargelegt werden.

  • Gibt es einen (dokumentierten) Prozess, um Datenschutzverletzungen innerhalb 72 Stunden bei der Datenschutzstelle zu melden?

Damit eine Datenschutzverletzung auch innert der Frist von 72 Stunden gemeldet werden kann, ist ein entsprechender dokumentierter Prozess unabdingbar.

  • Ist ein Datenschutzbeauftragter benannt und der Datenschutzstelle gemeldet?

Gemäss Art. 37 DSGVO muss ein Datenschutzbeauftragter ernannt werden, wenn die Verarbeitung von einer öffentlichen Stelle (ausgenommen Gerichte, im Rahmen ihrer justiziellen Tätigkeit) oder einer Behörde vorgenommen wird, wenn die Kerntätigkeit des Verantwortlichen in der Durchführung von Verarbeitungsvorgängen, die wegen der Art, des Umfangs oder des Zwecks eine umfangreiche regelmässige und systematische Überwachung von betroffenen Personen erfordert (z.B. bei einer Videoüberwachung) oder wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten (z.B. Gesundheitsdaten oder biometrische Daten) besteht. Selbstverständlich haben die Verantwortlichen ebenfalls die Möglichkeit einen Datenschutzbeauftragten auf freiwilliger Basis zu ernennen und diesen bei der liechtensteinischen Datenschutzstelle zu melden.

  • Stellen Sie sicher, dass Verarbeitungen mit einem voraussichtlich hohen Risiko für die Rechte und Freiheiten der Betroffenen erkannt und für diese eine Datenschutz-Folgenabschätzung durchgeführt wird?

Eine Datenschutz-Folgenabschätzung muss dann vorgenommen werden, wenn durch die Verarbeitung der personenbezogenen Daten ein hohes Risiko für die Rechte und Freiheit des Betroffenen besteht. Das Unternehmen muss sicherstellen, dass Verarbeitungen mit wahrscheinlich hohem Risiko für die Rechte und Freiheit des Betroffenen erkannt werden und aufgrund dessen eine Datenschutz-Folgenabschätzung durchgeführt wird. Falls aus dieser Folgenabschätzung hervorgeht, dass tatsächlich ein hohes Risiko besteht, hat der Verantwortliche die Aufsichtsbehörde zu informieren, insbesondere dann, wenn ersterer nicht schon selbst Massnahmen getroffen hat, um das Risiko zu mitigieren (Art. 35 DSGVO).

Viele Schweizer Unternehmen sind von der DSGVO erfasst

Viele Schweizer Unternehmen liefern nach Liechtenstein oder bieten dort Ihre Dienstleistungen an. Dies ist regelmässig bei Schweizer Onlinehändlern der Fall, weil sie vielfach auch nach Liechtenstein liefern (vgl. dazu allgemein MLL-News vom 30.7.2017). In diesem Fällen gelangt die DSGVO zur Anwendung. Gleiches gilt, wenn der Verantwortliche über eine Niederlassung in Liechtenstein verfügt. In diesem Zusammenhang liefert die liechtensteinische Datenschutzstelle den Unternehmen eine hilfreiche und angemessene Möglichkeit, den Stand der Umsetzung der DSGVO im Sinne einer Selbstevaluation zu eruieren und, soweit erforderlich, zusätzliche Massnahmen einzuleiten. Jedoch ist zu beachten, dass mit dem Fragebogen der Datenschutzstelle auch ein einfaches Mittel zur Verfügung steht, um zu evaluieren, ob sich eine vertiefte Untersuchung bei einem Unternehmen lohnen könnte. Insbesondere vor dem Hintergrund der Ankündigung zur Intensivierung der Aufsichtsbemühungen der Datenschutzstelle können Unternehmen daher hohen Bussgeldern vorbeugen, sofern sie eine Selbstevaluation durchführen, die Resultate daraus ernst nehmen und nötige Massnahmen rasch einleiten bzw. umsetzen.

Weitere Informationen: