LDI NRW: Checkliste zur Datenschutzprüfung

Datenschutzprüfung

Die Datenschutz-Grundverordnung (DS-GVO) überträgt dem Verantwortlichen bzw. Auftragsverarbeiter die Pflicht, durch organisatorische Maßnahmen die Einhaltung des Datenschutzes sicherzustellen. Wie bei der Umsetzung aller regulatorischen Vorgaben kommt dabei der klaren Definition und Zuordnung von Verantwortlichkeiten und Aufgaben eine entscheidende Bedeutung zu.
Die Herausforderung dabei besteht einerseits darin, dass die Umsetzung der Aufgaben aus der DS-GVO grundsätzlich unabhängig von Größe und Organisationsgrad der betroffenen Einheit, z.B. als kleines oder mittleres Unternehmen (KMU), Konzern oder Behörde, sicherzustellen und somit nicht disponibel ist. Andererseits unterliegt die konkrete interne Zuweisung von Kompetenzen, Rollen und operativen Verantwortlichkeiten der jeweiligen Situation im Unternehmen / in der Behörde und ist in Abhängigkeit der Größe und räumlichen Verteilung der Geschäftsstrategie, es allgemeinen Steuerungs- und Führungsmodells und der individuellen Risikosituation anzupassen.

Auch mehrere Jahre nach Geltung der DS-GVO sind viele Verantwortliche nicht in der Lage im Sinne der von der DS-GVO geforderten Accountability (Rechenschaftspflicht) die Umsetzung der geforderten Prozesse nachzuweisen. Aus der „Rechenschaftspflicht“ (Art. 5 Abs. 2, 24 DS-GVO) lässt sich ableiten, dass der Verantwortliche eine risikoadäquate Datenschutzorganisation und ein Datenschutz-Managementsystem (DSMS) errichtet. Gemeint ist hiermit die Etablierung und kontinuierliche Weiterentwicklung risikoadäquater Strukturen und Prozesse mit entsprechenden Verantwortlichkeiten und Regelungen zur Kooperation. Die Einrichtung und Weiterentwicklung einer solchen Datenschutzorganisation hat dabei unabhängig von der gesetzlichen Benennungspflicht eines/ einer Datenschutzbeauftragten (DSB) gem. DS-GVO bzw. nationaler Regelungen (Bundesdatenschutzgesetz – BDSG bzw. jeweiliges Landesdatenschutzgesetz – LDSG) zu erfolgen. Auch ohne eine/-n DSB muss der Datenschutz im Unternehmen durch den Verantwortlichen organisiert werden (vgl. GDD-Praxishilfe DS-GVO -Verantwortlichkeiten und Aufgaben nach der Datenschutz-Grundverordnung-).

Genau über diese Umsetzungsproblematik berichtet die LDI NRW in ihrem aktuellen Tätigkeitsbericht. Schrittweise und branchenbezogen hat die LDI NRW nach eigenen Angaben die Umsetzung der DS-GVO in der Wirtschaft überprüft. Nach den Querschnittsprüfungen von Banken und Versicherungen, hat die Aufsichtsbehörde die Prüfung von Energieversorgungsunternehmen abgeschlossen.
Aus dem positiven Gesamteindruck dieser Energieversorgungsunternehmen werden folgende bereichsübergreifende „Best Practices“ abgeleitet, die auch für Verantwortliche aus anderen Branchen hilfreich sein können, quasi zur „Nachahmung“ empfohlen werden können:

  • Statistik zu den Datenschutzbeschwerden und Analyse der Defizitschwerpunkte;
  • besonders geschulte Teams für die Bearbeitung von Datenschutzansprüchen und -beschwerden;
  • strukturiertes Schulungskonzept mit Pflichtschulungen zur DS-GVO für alle Mitarbeiter*innen mit zusätzlichen Wiederholungsschulungen im zweijährigen Rhythmus (teilweise als Webinare und elektronische Fortbildung);
  • konzerninterne Kommunikationsplattform für Datenschutzfragen (Wiki) mit Zugriff auf datenschutzrelevante Fachinformationen;
  • Checklisten zur Durchführung von Datenschutzchecks sowie Checklisten für Auftragsverarbeiter zur Dokumentation der dortigen technischen und organisatorischen Maßnahmen;
  • Angebot eines konzerninternen Newsletters zum Datenschutz.

Als besonderes Gimmick ist dem Tätigkeitsbericht der LDI NRW der Fragebogen beigefügt, der an die zur Überprüfung ausgewählten Versorgungsunternehmen mit Sitz in Nordrhein-Westfalen nach dem Zufallsverfahren verschickt wurde. Jedes ausgewählte Unternehmen erhielt einen umfassenden Fragebogen mit unterschiedlichen Fraggruppen. Es dürfte für Verantwortliche auch aus anderen Branchen interessant sein die Beantwortung des Fragenkatalogs in der eigenen Organisation „durchzuspielen.“ Der besagte Anhang ist ab Seite 125 ff. abgedruckt.

(Foto: Riko Best – stock.adobe.com)

Letztes Update:03.07.22

  • 15. GDD-Sommer-Workshop für Datenschutzbeauftragte und -berater sowie Datenschutzdienstleister

    15. GDD-Sommer-Workshop für Datenschutzbeauftragte und -berater sowie Datenschutzdienstleister

    Seminar

    1808.80 € Mehr erfahren
  • Datenschutzeinführung für Mitarbeiter und Führungskräfte

    Datenschutzeinführung für Mitarbeiter und Führungskräfte

    Tools

    169.99 € Mehr erfahren
  • Teil 3: Datenschutz-Management nach der DS-GVO

    Teil 3: Datenschutz-Management nach der DS-GVO

    Seminar

    2022-10-25, 08:00 | Berlin

    1451.80 € Mehr erfahren
  • VW Kamerafahrt

    Millionen-Bußgeld wegen nicht datenschutzkonformer Forschungsfahrten

    Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat gegen die Volkswagen Aktiengesellschaft eine Geldbuße nach Art. 83 Datenschutz-Grundverordnung (DS-GVO) in Höhe von 1,1 Millionen Euro festgesetzt. Nach Angabe der LfD Niedersachsen sind Ursache des Bußgelds mehrere Verstöße gegen datenschutzrechtliche Bestimmungen in Zusammenhang mit dem Einsatz eines Dienstleisters bei Forschungsfahrten für ein Fahrassistenzsystem zur Vermeidung von

    Mehr erfahren
  • Wächter-Modus Tesla

    „Wächter-Modus“ von Tesla-Fahrzeugen in der Kritik

    Die Firma Tesla bewirbt ihre Fahrzeuge unter anderem damit, dass diese mehrere erweiterte Schutzfunktionen bieten, die einfach zu aktivieren sind. Über das Touchscreen des Fahrzeugs wird dem Fahrer bspw. Zugriff über „Fahrzeug“> „Sicherheit“ auf die einzelnen Funktionen gewährt, um sie einzuschalten.Eines dieser Funktionen ist der sog. „Wächter-Modus“, den Tesla auf seiner Webseite wie folgt beschreibt:„Der

    Mehr erfahren
  • Betroffenenrechte

    Handlungsoptionen und Erfolgsaussichten für Betroffene von Datenschutzverstößen

    Die Einführung der DS-GVO geht mit einer bewussten Stärkung der Betroffenenrechte einher. „Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen“ heißt es daher ausdrücklich in Erwägungsgrund (ErwGr) Nr. 11. Hauptpfeiler der neuen Betroffenenrechte sind neben dem strengeren Haftungsregime und den neu eingeführten Einzelansprüchen vor allem die

    Mehr erfahren