LDI NRW: Checkliste zur Datenschutzprüfung

Datenschutzprüfung

Die Datenschutz-Grundverordnung (DS-GVO) überträgt dem Verantwortlichen bzw. Auftragsverarbeiter die Pflicht, durch organisatorische Maßnahmen die Einhaltung des Datenschutzes sicherzustellen. Wie bei der Umsetzung aller regulatorischen Vorgaben kommt dabei der klaren Definition und Zuordnung von Verantwortlichkeiten und Aufgaben eine entscheidende Bedeutung zu.
Die Herausforderung dabei besteht einerseits darin, dass die Umsetzung der Aufgaben aus der DS-GVO grundsätzlich unabhängig von Größe und Organisationsgrad der betroffenen Einheit, z.B. als kleines oder mittleres Unternehmen (KMU), Konzern oder Behörde, sicherzustellen und somit nicht disponibel ist. Andererseits unterliegt die konkrete interne Zuweisung von Kompetenzen, Rollen und operativen Verantwortlichkeiten der jeweiligen Situation im Unternehmen / in der Behörde und ist in Abhängigkeit der Größe und räumlichen Verteilung der Geschäftsstrategie, es allgemeinen Steuerungs- und Führungsmodells und der individuellen Risikosituation anzupassen.

Auch mehrere Jahre nach Geltung der DS-GVO sind viele Verantwortliche nicht in der Lage im Sinne der von der DS-GVO geforderten Accountability (Rechenschaftspflicht) die Umsetzung der geforderten Prozesse nachzuweisen. Aus der „Rechenschaftspflicht“ (Art. 5 Abs. 2, 24 DS-GVO) lässt sich ableiten, dass der Verantwortliche eine risikoadäquate Datenschutzorganisation und ein Datenschutz-Managementsystem (DSMS) errichtet. Gemeint ist hiermit die Etablierung und kontinuierliche Weiterentwicklung risikoadäquater Strukturen und Prozesse mit entsprechenden Verantwortlichkeiten und Regelungen zur Kooperation. Die Einrichtung und Weiterentwicklung einer solchen Datenschutzorganisation hat dabei unabhängig von der gesetzlichen Benennungspflicht eines/ einer Datenschutzbeauftragten (DSB) gem. DS-GVO bzw. nationaler Regelungen (Bundesdatenschutzgesetz – BDSG bzw. jeweiliges Landesdatenschutzgesetz – LDSG) zu erfolgen. Auch ohne eine/-n DSB muss der Datenschutz im Unternehmen durch den Verantwortlichen organisiert werden (vgl. GDD-Praxishilfe DS-GVO -Verantwortlichkeiten und Aufgaben nach der Datenschutz-Grundverordnung-).

Genau über diese Umsetzungsproblematik berichtet die LDI NRW in ihrem aktuellen Tätigkeitsbericht. Schrittweise und branchenbezogen hat die LDI NRW nach eigenen Angaben die Umsetzung der DS-GVO in der Wirtschaft überprüft. Nach den Querschnittsprüfungen von Banken und Versicherungen, hat die Aufsichtsbehörde die Prüfung von Energieversorgungsunternehmen abgeschlossen.
Aus dem positiven Gesamteindruck dieser Energieversorgungsunternehmen werden folgende bereichsübergreifende „Best Practices“ abgeleitet, die auch für Verantwortliche aus anderen Branchen hilfreich sein können, quasi zur „Nachahmung“ empfohlen werden können:

  • Statistik zu den Datenschutzbeschwerden und Analyse der Defizitschwerpunkte;
  • besonders geschulte Teams für die Bearbeitung von Datenschutzansprüchen und -beschwerden;
  • strukturiertes Schulungskonzept mit Pflichtschulungen zur DS-GVO für alle Mitarbeiter*innen mit zusätzlichen Wiederholungsschulungen im zweijährigen Rhythmus (teilweise als Webinare und elektronische Fortbildung);
  • konzerninterne Kommunikationsplattform für Datenschutzfragen (Wiki) mit Zugriff auf datenschutzrelevante Fachinformationen;
  • Checklisten zur Durchführung von Datenschutzchecks sowie Checklisten für Auftragsverarbeiter zur Dokumentation der dortigen technischen und organisatorischen Maßnahmen;
  • Angebot eines konzerninternen Newsletters zum Datenschutz.

Als besonderes Gimmick ist dem Tätigkeitsbericht der LDI NRW der Fragebogen beigefügt, der an die zur Überprüfung ausgewählten Versorgungsunternehmen mit Sitz in Nordrhein-Westfalen nach dem Zufallsverfahren verschickt wurde. Jedes ausgewählte Unternehmen erhielt einen umfassenden Fragebogen mit unterschiedlichen Fraggruppen. Es dürfte für Verantwortliche auch aus anderen Branchen interessant sein die Beantwortung des Fragenkatalogs in der eigenen Organisation „durchzuspielen.“ Der besagte Anhang ist ab Seite 125 ff. abgedruckt.

(Foto: Riko Best – stock.adobe.com)

Letztes Update:03.07.22

  • Fingerabdruck im Personalausweis rechtens

    EuGH: Pflicht zur Aufnahme von Fingerabdrücken im Personalausweis ist zulässig

    Der EuGH hat entschieden, dass die Verpflichtung zur Aufnahme von zwei Fingerabdrücken im Personalausweis mit dem Unionsrecht vereinbar ist, obwohl die zugrunde liegende europäische Verordnung auf einer falschen Rechtsgrundlage beruht. Ein deutscher Staatsbürger hatte sich gegen die Weigerung der Stadt Wiesbaden gewandt, ihm einen neuen Personalausweis ohne Fingerabdrücke auszustellen. Der EuGH stellte fest, dass die

    Mehr erfahren
  • Abfrage des Geburtsdatums beim Online-Shopping nicht immer zulässig

    Mit der Rechtmäßigkeit einer datenschutzrechtlichen Anordnung hat sich das OVG Niedersachsen befasst. Im Ergebnis hat das OVG einer Online-Apotheke untersagt, als verpflichtende Angabe im Bestellprozess stets das Geburtsdatum abzufragen. Die niedersächsische Datenschutzbehörde hatte die Apotheke aufgefordert, unabhängig von der Art des bestellten Medikaments das Geburtsdatum und die Anrede des Bestellers nicht mehr abzufragen. Die Apotheke

    Mehr erfahren
  • Datenschutzbeauftragte: Deutsches Modell bleibt

    Die Institution „Datenschutzbeauftragte“ ist so alt wie das deutsche Datenschutzrecht, auf Bundesebene gibt es sie seit 1977. Viele sehen es als einen großen Erfolg, dass die Datenschutz-Grundverordnung (DS-GVO) die bewährte deutsche Regelung übernommen hat und die Bestellung von Datenschutzbeauftragten seit Wirksamwerden der DS-GVO in der Europäischen Union vorsieht. Mit den Datenschutzbeauftragten stehen Unternehmen (und Behörden)

    Mehr erfahren