LDI NRW: Checkliste zur Datenschutzprüfung
Die Datenschutz-Grundverordnung (DS-GVO) überträgt dem Verantwortlichen bzw. Auftragsverarbeiter die Pflicht, durch organisatorische Maßnahmen die Einhaltung des Datenschutzes sicherzustellen. Wie bei der Umsetzung aller regulatorischen Vorgaben kommt dabei der klaren Definition und Zuordnung von Verantwortlichkeiten und Aufgaben eine entscheidende Bedeutung zu.
Die Herausforderung dabei besteht einerseits darin, dass die Umsetzung der Aufgaben aus der DS-GVO grundsätzlich unabhängig von Größe und Organisationsgrad der betroffenen Einheit, z.B. als kleines oder mittleres Unternehmen (KMU), Konzern oder Behörde, sicherzustellen und somit nicht disponibel ist. Andererseits unterliegt die konkrete interne Zuweisung von Kompetenzen, Rollen und operativen Verantwortlichkeiten der jeweiligen Situation im Unternehmen / in der Behörde und ist in Abhängigkeit der Größe und räumlichen Verteilung der Geschäftsstrategie, es allgemeinen Steuerungs- und Führungsmodells und der individuellen Risikosituation anzupassen.
Auch mehrere Jahre nach Geltung der DS-GVO sind viele Verantwortliche nicht in der Lage im Sinne der von der DS-GVO geforderten Accountability (Rechenschaftspflicht) die Umsetzung der geforderten Prozesse nachzuweisen. Aus der „Rechenschaftspflicht“ (Art. 5 Abs. 2, 24 DS-GVO) lässt sich ableiten, dass der Verantwortliche eine risikoadäquate Datenschutzorganisation und ein Datenschutz-Managementsystem (DSMS) errichtet. Gemeint ist hiermit die Etablierung und kontinuierliche Weiterentwicklung risikoadäquater Strukturen und Prozesse mit entsprechenden Verantwortlichkeiten und Regelungen zur Kooperation. Die Einrichtung und Weiterentwicklung einer solchen Datenschutzorganisation hat dabei unabhängig von der gesetzlichen Benennungspflicht eines/ einer Datenschutzbeauftragten (DSB) gem. DS-GVO bzw. nationaler Regelungen (Bundesdatenschutzgesetz – BDSG bzw. jeweiliges Landesdatenschutzgesetz – LDSG) zu erfolgen. Auch ohne eine/-n DSB muss der Datenschutz im Unternehmen durch den Verantwortlichen organisiert werden (vgl. GDD-Praxishilfe DS-GVO -Verantwortlichkeiten und Aufgaben nach der Datenschutz-Grundverordnung-).
Genau über diese Umsetzungsproblematik berichtet die LDI NRW in ihrem aktuellen Tätigkeitsbericht. Schrittweise und branchenbezogen hat die LDI NRW nach eigenen Angaben die Umsetzung der DS-GVO in der Wirtschaft überprüft. Nach den Querschnittsprüfungen von Banken und Versicherungen, hat die Aufsichtsbehörde die Prüfung von Energieversorgungsunternehmen abgeschlossen.
Aus dem positiven Gesamteindruck dieser Energieversorgungsunternehmen werden folgende bereichsübergreifende „Best Practices“ abgeleitet, die auch für Verantwortliche aus anderen Branchen hilfreich sein können, quasi zur „Nachahmung“ empfohlen werden können:
- Statistik zu den Datenschutzbeschwerden und Analyse der Defizitschwerpunkte;
- besonders geschulte Teams für die Bearbeitung von Datenschutzansprüchen und -beschwerden;
- strukturiertes Schulungskonzept mit Pflichtschulungen zur DS-GVO für alle Mitarbeiter*innen mit zusätzlichen Wiederholungsschulungen im zweijährigen Rhythmus (teilweise als Webinare und elektronische Fortbildung);
- konzerninterne Kommunikationsplattform für Datenschutzfragen (Wiki) mit Zugriff auf datenschutzrelevante Fachinformationen;
- Checklisten zur Durchführung von Datenschutzchecks sowie Checklisten für Auftragsverarbeiter zur Dokumentation der dortigen technischen und organisatorischen Maßnahmen;
- Angebot eines konzerninternen Newsletters zum Datenschutz.
Als besonderes Gimmick ist dem Tätigkeitsbericht der LDI NRW der Fragebogen beigefügt, der an die zur Überprüfung ausgewählten Versorgungsunternehmen mit Sitz in Nordrhein-Westfalen nach dem Zufallsverfahren verschickt wurde. Jedes ausgewählte Unternehmen erhielt einen umfassenden Fragebogen mit unterschiedlichen Fraggruppen. Es dürfte für Verantwortliche auch aus anderen Branchen interessant sein die Beantwortung des Fragenkatalogs in der eigenen Organisation „durchzuspielen.“ Der besagte Anhang ist ab Seite 125 ff. abgedruckt.
(Foto: Riko Best – stock.adobe.com)
Verwandte Produkte
-
15. GDD-Sommer-Workshop für Datenschutzbeauftragte und -berater sowie Datenschutzdienstleister
Seminar
1.808,80 € Mehr erfahren -
-
Das könnte Sie auch interessieren
-
Webinar Verarbeitungsverzeichnis softwaregestützt erstellen, dokumentieren, pflegen und archivieren
Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager
Mehr erfahren -
BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit
Mehr erfahren -
Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?
Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO
Mehr erfahren
