DSGVO-Umsetzung bei kleinen und mittleren Unternehmen

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat im November 2018 an 15 „kleine und mittlere“ Unternehmen mit Sitz in Bayern einen Fragebogen übersandt. Sieben dieser Unternehmen sind dadurch aufgefallen, dass über sie besonders häufig Beschwerden eingingen. Acht weitere Unternehmen hat das Landesamt schlicht zufällig ausgewählt.
Der Fragebogen dient dazu, die Punkte abzufragen, die maßgeblich sind, um die Rechenschaftspflicht gemäß Art. 5 Abs. 2 der Datenschutz-Grundverordnung (DSGVO) gegenüber der Datenschutzaufsicht zu erfüllen. Damit stellt seine Übersendung an ein Unternehmen eine Datenschutzüberprüfung gemäß Art. 58 Abs. 2 Buchst. c DSGVO dar.
Das Landesamt behält sich vor, die Antworten im Einzelfall außerdem zu verwenden, um eine Kontrolle vor Ort vorzubereiten.
Der Beitrag schildert die generellen Hintergründe solcher Fragebögen. Daran schließen sich rechtliche Hinweise zu einigen seiner Fragen an. Den vollständigen Text des Fragebogens finden Sie hier: https://ogy.de/kmu-fragebogen.
Pflicht zur Beantwortung
(Nur) ein Unternehmen, dem die zuständige Aufsichtsbehörde einen derartigen Fragebogen zusendet, muss ihn ausfüllen. Dies ergibt sich aus Art. 58 Abs. 1 Buchst. a DSGVO.
Demnach muss der Verantwortliche der Aufsichtsbehörde alle Informationen bereitstellen, die für die Erfüllung ihrer Aufgaben erforderlich sind. Die Veröffentlichung des Fragebogens im Internet führt nicht dazu, dass er unaufgefordert ausgefüllt und an die Aufsichtsbehörde eingesandt werden müsste.
Das Landesamt setzt für die Beantwortung eine Frist. Ihre Dauer i…