Niedersächsische Landesdatenschutzbeauftragte veröffentlicht Prüfkatalog
Falls einer noch Fragen hat, was die Datenschutzbehörden von Unternehmen erwarten: Die niedersächsische Landesdatenschutzbeauftragte hat jetzt einen Katalog veröffentlicht, den die Behörde verwendet, um Unternehmen zu überprüfen. Hier wird sehr gut aufgeschlüsselt, worauf die Behörde wert legt. Eine gute Dokumentation und vor allem, dass sich die Unternehmen Gedanken darüber gemacht haben, welchen Risiken die verarbeiteten personenbezogene Daten ausgesetzt sind und wie sie geschützt werden.
Das Dokument beginnt mit der Frage nach der Vorbereitung auf die DSGVO
Frage 1: Vorbereitung auf die DSGVO
Wie haben Sie sich als Unternehmen auf die DS-GVO vorbereitet? Schildern Sie (kurz) die Vorgehens-weise, welche Bereiche involviert waren und welche Maßnahmen initiiert wurden. Sofern noch nicht alle Maßnahmen vollständig umgesetzt wurden, erläutern Sie bitte auch den Umsetzungsstatus.
Die Landesbeauftragte für den Datenschutz Niedersachsen
Es folgt das Verzeichnis von Verarbeitungstätigkeiten
Frage 2: Verzeichnis von Verarbeitungstätigkeiten (VVT)
Wie haben Sie sichergestellt, dass alle Ihre Geschäftsabläufe, bei denen personenbezogene Daten verarbeitet werden, in ein Verzeichnis von Verarbeitungstätigkeiten aufgenommen wurden? Wie stellen Sie dessen Aktualität sicher? Legen Sie bitte eine Übersicht Ihrer dokumentierten Verfahren sowie ein Bei-spielverfahren als Muster bei.
Die Landesbeauftragte für den Datenschutz Niedersachsen
Hier legt die Landesdatenschutzbeauftragte wert darauf, dass das Verfahren regelmäßig überprüft und soweit erforderlich aktualisiert wird. Auch die Formalien sollten stimmen: Sind Name und Kontaktdaten des Verantwortlichen angegeben? Sind Name und Kontaktdaten des ggf. vorhandenen Datenschutzbeauftragten angegeben. Letztendlich: Ist das Verzeichnis vollständig und erhält alle notwendigen Angaben? Sind insbesondere die Standardverfahren wie Bürokommunikation, Personalverwaltung, Lohnabrechnung, Bewerbermanagement, Homepage und Kundenverwaltung dokumentiert.
Wichtig ist, dass der Behörde dargelegt werden kann, auf welcher Rechtsgrundlage die Verarbeitung erfolgt:
Frage 3: Zulässigkeit der Verarbeitung
Auf Basis welcher Rechtsgrundlagen verarbeiten Sie personenbezogene Daten? Sofern Sie auch auf Basis von Einwilligungen personenbezogene Daten verarbeiten, legen Sie bitte Ihre verwendeten Muster bei.
Die Landesbeauftragte für den Datenschutz Niedersachsen
Eine weitere Frage betrifft die Betroffenenrechte.
Frage 4: Betroffenenrechte
Wie stellen Sie die Einhaltung der Betroffenenrechte (auf Information, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit) sicher? Skizzieren Sie Ihre diesbezüglichen Pro-zesse und gehen Sie insbesondere detailliert darauf ein, wie Sie Ihren Informationspflichten nachkom-men. Vorhandene Musterinformationen fügen Sie bitte bei.
Die Landesbeauftragte für den Datenschutz Niedersachsen
Werden die Informationen leicht zugänglich zur Verfügung gestellt (z.B. als Aushang, Flyer, E-Mail, Brief) und sind die Informationen übersichtlich dargestellt?
Wichtig ist der Behörde selbstverständlich auch der technische Datenschutz:
Frage 5: technischer Datenschutz
a. Wie stellen Sie sicher, dass Ihre technischen und organisatorischen Maßnahmen bzw. die Ihrer Dienstleister
Die Landesbeauftragte für den Datenschutz Niedersachsen
ein dem Verarbeitungsrisiko angemessenes Schutzniveau gewährleisten?
b. Wie stellen Sie sicher, dass Ihre technischen und organisatorischen Maßnahmen an den jeweiligen
Stand der Technik angepasst werden?
c. Wie stellen Sie sicher, dass Sie für die von Ihnen aktuell oder zukünftig eingesetzten IT-Anwendungen ein dokumentiertes datenschutzkonformes Rollen- und Berechtigungskonzept haben?
d. Wie stellen Sie sicher, dass bei der Änderung oder Neuentwicklung von Produkten oder Dienstleistungen
Datenschutzanforderungen von Anfang an mit berücksichtigt werden (Privacy by Design und by
Default)?
Hier müssen Unternehmen zeigen, dass sie auf Basis eines ermittelten Risikos geeignete technisch- organisatorische Maßnahmen ergriffen haben, um das Risiko auf ein angemessenes Schutzniveau zu reduzieren.
Auch besondere Verarbeitungen müssen erkannt werden, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen haben und eine Datenschutz-Folgenabschätzung nötig machen.
Frage 6: Datenschutz-Folgenabschätzung
a. Wie stellen Sie sicher, dass Verarbeitungen mit einem voraussichtlich hohen Risiko für die Rechte und
Die Landesbeauftragte für den Datenschutz Niedersachsen
Freiheiten der Betroffenen erkannt und für diese eine Datenschutz-Folgenabschätzung durchgeführt
wird?
b. Haben Sie in Ihrem Unternehmen Verarbeitungen mit einem voraussichtlich hohen Risiko für die
Rechte und Freiheiten der Betroffenen identifiziert? Welche? Fügen Sie bitte die jeweilige Dokumentation
zur Datenschutz-Folgenabschätzung bei.
Darauf hin wird geprüft, ob die notwendigen Unterlagen für die Auftragsverarbeitung vorliegen.
Frage 7: Auftragsverarbeitung
Haben Sie Ihre bestehenden Verträge mit Auftragsverarbeitern an die neuen Regelungen der DS-GVO angepasst? Sofern Sie Musterverträge verwenden, fügen Sie diese bitte bei, darüber hinaus fügen Sie bitte
Die Landesbeauftragte für den Datenschutz Niedersachsen
einen aktuellen Beispielvertrag mit einem Ihrer Auftragsverarbeiter bei.
Eine wichtige Frage, die die Landesbeauftragte interessiert, die nach dem Datenschutzbeauftragten:
Frage 8: Datenschutzbeauftragter
Wie ist Ihr Datenschutzbeauftragter in Ihre Organisation eingebunden? Welche Fachkundenachweise hat
Die Landesbeauftragte für den Datenschutz Niedersachsen
er?
In die Bewertung der Fachkunde fließen z.B. ein: Aus- und Fortbildungen im Datenschutz, Umfang der Erfahrung (Dauer) im Datenschutz, berufliche Ausbildung (z.B. Jurist, Informatiker), Beteiligung in etablierten Datenschutznetzwerken.
Nun ist die Frage, ob das Unternehmen Prozesse aufgesetzt hat um Datenschutzverstöße zu melden.
Frage 9: Meldepflichten
Wie stellen Sie sicher, dass Ihr Unternehmen Datenschutzverstöße fristgemäß an die Aufsichtsbehörde meldet? Skizzieren Sie Ihre diesbezüglichen Prozesse.
Die Landesbeauftragte für den Datenschutz Niedersachsen
Dabei sollte klargemacht werden, wer in dieser Situation welche Aufgaben hat. Sind die Mitarbeiter für Verstöße sensibilisiert?
Zu guter Letzt folgt die Frage nach der Dokumentation.
Frage 10: Dokumentation
Wie können Sie die Einhaltung aller vorstehend in Ziff. 2 – 9 genannten Pflichten nachweisen?
Die Landesbeauftragte für den Datenschutz Niedersachsen
Über den Autor Henning Zander
Henning Zander ist Wirtschaftsjournalist und externer Datenschutzbeauftragter (TÜV). Er arbeitet u.a. für FOCUS-Business, Legal Tribune Online und das Anwaltsblatt. Er ist Autor des Buches Startup für Einsteiger