LDI NRW: Checkliste zur Datenschutzprüfung

Die Datenschutz-Grundverordnung (DS-GVO) überträgt dem Verantwortlichen bzw. Auftragsverarbeiter die Pflicht, durch organisatorische Maßnahmen die Einhaltung des Datenschutzes sicherzustellen. Wie bei der Umsetzung aller regulatorischen Vorgaben kommt dabei der klaren Definition und Zuordnung von Verantwortlichkeiten und Aufgaben eine entscheidende Bedeutung zu.
Die Herausforderung dabei besteht einerseits darin, dass die Umsetzung der Aufgaben aus der DS-GVO grundsätzlich unabhängig von Größe und Organisationsgrad der betroffenen Einheit, z.B. als kleines oder mittleres Unternehmen (KMU), Konzern oder Behörde, sicherzustellen und somit nicht disponibel ist. Andererseits unterliegt die konkrete interne Zuweisung von Kompetenzen, Rollen und operativen Verantwortlichkeiten der jeweiligen Situation im Unternehmen / in der Behörde und ist in Abhängigkeit der Größe und räumlichen Verteilung der Geschäftsstrategie, es allgemeinen Steuerungs- und Führungsmodells und der individuellen Risikosituation anzupassen.

Auch mehrere Jahre nach Geltung der DS-GVO sind viele Verantwortliche nicht in der Lage im Sinne der von der DS-GVO geforderten Accountability (Rechenschaftspflicht) die Umsetzung der geforderten Prozesse nachzuweisen. Aus der „Rechenschaftspflicht“ (Art. 5 Abs. 2, 24 DS-GVO) lässt sich ableiten, dass der Verantwortliche eine risikoadäquate Datenschutzorganisation und ein Datenschutz-Managementsystem (DSMS) errichtet. Gemeint ist hiermit die Etablierung und kontinuierliche Weiterentwicklung risikoadäquater Strukturen und Prozesse mit entsprechenden Verantwortlichkeiten und Regelungen zur Kooperation. Die Einrichtung und Weiterentwicklung einer solchen Datenschutzorganisation hat dabei unabhängig von der gesetzlichen Benennungspflicht eines/ einer Datenschutzbeauftragten (DSB) gem. DS-GVO bzw. nationaler Regelungen (Bundesdatenschutzgesetz – BDSG bzw. jeweiliges Landesdatenschutzgesetz – LDSG) zu erfolgen. Auch ohne eine/-n DSB muss der Datenschutz im Unternehmen durch den Verantwortlichen organisiert werden (vgl. GDD-Praxishilfe DS-GVO -Verantwortlichkeiten und Aufgaben nach der Datenschutz-Grundverordnung-).

Genau über diese Umsetzungsproblematik berichtet die LDI NRW in ihrem aktuellen Tätigkeitsbericht. Schrittweise und branchenbezogen hat die LDI NRW nach eigenen Angaben die Umsetzung der DS-GVO in der Wirtschaft überprüft. Nach den Querschnittsprüfungen von Banken und Versicherungen, hat die Aufsichtsbehörde die Prüfung von Energieversorgungsunternehmen abgeschlossen.
Aus dem positiven Gesamteindruck dieser Energieversorgungsunternehmen werden folgende bereichsübergreifende „Best Practices“ abgeleitet, die auch für Verantwortliche aus anderen Branchen hilfreich sein können, quasi zur „Nachahmung“ empfohlen werden können:

• Statistik zu den Datenschutzbeschwerden und Analyse der Defizitschwerpunkte;
• besonders geschulte Teams für die Bearbeitung von Datenschutzansprüchen und -beschwerden;
• strukturiertes Schulungskonzept mit Pflichtschulungen zur DS-GVO für alle Mitarbeiter*innen mit zusätzlichen Wiederholungsschulungen im zweijährigen Rhythmus (teilweise als Webinare und elektronische Fortbildung);
• konzerninterne Kommunikationsplattform für Datenschutzfragen (Wiki) mit Zugriff auf datenschutzrelevante Fachinformationen;
• Checklisten zur Durchführung von Datenschutzchecks sowie Checklisten für Auftragsverarbeiter zur Dokumentation der dortigen technischen und organisatorischen Maßnahmen;
• Angebot eines konzerninternen Newsletters zum Datenschutz.

Als besonderes Gimmick ist dem Tätigkeitsbericht der LDI NRW der Fragebogen beigefügt, der an die zur Überprüfung ausgewählten Versorgungsunternehmen mit Sitz in Nordrhein-Westfalen nach dem Zufallsverfahren verschickt wurde. Jedes ausgewählte Unternehmen erhielt einen umfassenden Fragebogen mit unterschiedlichen Fraggruppen. Es dürfte für Verantwortliche auch aus anderen Branchen interessant sein die Beantwortung des Fragenkatalogs in der eigenen Organisation „durchzuspielen.“ Der besagte Anhang ist ab Seite 125 ff. abgedruckt.

(Foto: Riko Best – stock.adobe.com)