Home
Intern
Global
Kontakt
Marta Wiśniewska
4. Februar 2022
Auch dieses Jahr hat der Präsident der Datenschutzbehörde im Januar einen Plan der sektorspezifischen Kontrollen für 2022 veröffentlicht.
Aus dem genehmigten Plan der Kontrollen ergibt sich, dass dieses Jahr Unternehmen aus folgenden Gruppen mit einer Kontrolle seitens der Datenschutzbehörde rechnen können:
Nach Auskunft der Datenschutzbehörde ergeben sich die geplanten sektorspezifischen Kontrollen aus einer Vielzahl an Signalen (darunter Beschwerden, Anfragen und Meldungen von Verletzungen des Schutzes personenbezogener Daten), die auf die Gefahr der Verletzung der Vorschriften über den Schutz personenbezogener Daten sowie auf ein großes gesellschaftliches Interesse an solchen Problemen hinweisen.
Besonderes Augenmerk ist auf die im Privatsektor geplanten Kontrollen zu richten, d.h. Kontrollen von Unternehmen, die personenbezogene Daten unter Verwendung mobiler Applikationen verarbeiten. Dieser Kreis von Unternehmen wurde von der Datenschutzbehörde sehr breit definiert, da gegenwärtig praktisch jedes Unternehmen Daten unter Verwendung mobiler Applikationen verarbeitet.
Solche mobilen Applikationen können direkt an Kunden / natürliche Personen gerichtet sein (z.B. Sportanwendungen, Benefits, Applikationen von Online-Shops, die es ermöglichen, ein eigenes Konto zu verwalten etc.) oder sie können internen Charakter haben (z.B. CRM-Systeme, Systeme zur Verwaltung der Arbeit von Handelsvertretern etc.). Die Einführung und Nutzung einer mobilen Applikation muss gut geplant und regelmäßig überwacht werden.
In erster Linie sind die Daten durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen zu schützen. Dies bedeutet, dass noch vor der Einführung der betreffenden mobilen Applikation u.a. Folgendes analysiert werden muss:
Neben der Überprüfung und der ordnungsgemäßen Einführung einer mobilen Applikation ist es formalrechtlich gesehen von Bedeutung, die Applikation in technischer Hinsicht, darunter auch die Art und Weise der Sicherung der Datenverarbeitung zu überprüfen. Darüber hinaus ist es notwendig, externe Unternehmen zu überprüfen, die die Bedienung solcher mobilen Applikationen unterstützen werden, sowie entsprechende Auftragsverarbeitungsverträge abzuschließen. Die Überprüfung der vorgenannten Elemente muss in Form einer Risikoanalyse sowie in Form einer Datenschutz-Folgenabschätzung (sofern es notwendig ist, sie durchzuführen) dokumentiert werden. Nach der Einführung einer mobilen Applikation ist es erforderlich, sie regelmäßig zu überwachen, darunter auch systematische Tests im Bereich der Cybersicherheit durchzuführen.
Folgendes muss überprüft werden:
Bitte beachten Sie, dass auch wenn der Plan der sektorspezifischen Kontrolle seitens der Datenschutzbehörde Ihr Unternehmen umfasst, die Kontrolle nicht unangekündigt durchgeführt werden kann.
Der Präsident der Datenschutzbehörde ist verpflichtet, die Absicht zur Einleitung der Kontrolle mitzuteilen. Die Kontrolle beginnt frühestens nach Ablauf von 7 Tagen und spätestens vor Ablauf von 30 Tagen nach dem Tag der Zustellung der Mitteilung über die Absicht zur Einleitung der Kontrolle. Außer der formellen Mitteilung wird auch die telefonische Benachrichtigung über die Kontrolle praktiziert.
In der Mitteilung müssen der Gegenstand der Kontrolle sowie ihr Termin genannt werden. Nach Eingang der Mitteilung sind entsprechende Maßnahmen zu ergreifen, um sich auf die Kontrolle ordnungsgemäß vorzubereiten. Zu beachten ist auch, dass die kontrollierten Unternehmen gemäß den Vorschriften eine Reihe von Pflichten zu erfüllen haben. Werden die o.g. Pflichten nicht erfüllt, so kann dies die Auferlegung einer Geldbuße oder sogar die strafrechtliche Verantwortlichkeit nach sich ziehen.
Sollten Sie Fragen zum Schutz personenbezogener Daten haben, so nehmen Sie bitte Kontakt mit den Experten von Rödl & Partner auf.
Jarosław Kamiński
Attorney at law (Polen)
Partner
Anfrage senden
Profil
Associate Partner