IITR Datenschutz Blog
29
Jul

Datenschutz-Aufsicht NRW: Checkliste zur Datenschutzprüfung

IITR Information[IITR – 29.07.22] In seinem Tätigkeitsbericht für das Jahr 2021 hat die Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Nordrhein-Westfalen eine Checkliste zur Datenschutzprüfung von Energieversorgungsunternehmen beigefügt, die jedoch auch anderen Unternehmen ein Beispiel sein kann, was aus datenschutzrechtlicher Sicht von einer Aufsichtsbehörde bei individueller Nachfrage verlangt werden könnte.

Aufbau der Datenschutzorganisation

Neben allgemeinen Informationen zum Unternehmen, wird nach der individuell gewählten „Datenschutzorganisation“ gefragt:

  • Welche Unternehmensbereiche sind mit dem Thema Datenschutz betraut?
  • Beschreiben Sie bitte das Zusammenwirken der einzelnen Stellen in datenschutzrechtlichen Angelegenheiten unter Beifügung eines aussagekräftigen Organigramms

Haben Sie sich bereits einmal einen Überblick darüber verschafft, wie das Thema in Ihrem Unternehmen adressiert ist? Ist es vielleicht sogar für jeden Mitarbeiter sinnvoll zu wissen, bzw. nachvollziehen zu können, wo ein solches Thema angesiedelt ist?

  • Sofern es einen Datenschutzbeauftragten gibt, wie und in welcher Häufigkeit berichtet er an die Geschäftsführung?

„Datenschutz ist Chefsache“ – hört man häufig. Gelebt wird das jedoch leider selten. – Auf die aufgeworfene Frage gibt es keine pauschale Antwort, denn die Häufigkeit der Berichterstattung sollte sich nach der Komplexität des Themas im jeweiligen Unternehmen richten. Je vielschichtiger und wegweisender Fragen des Datenschutzes für Unternehmensprozesse und -handlungen sind, desto häufiger sollte die Geschäftsführung eingebunden werden.

Umsetzung der DSGVO in den Fachbereichen

Neben den Zuständigkeitsbereichen stellt sich seitens der Aufsicht als nächstes die Frage, inwieweit und in welcher Form die Datenschutzgrundverordnung umgesetzt wird:

  • Welche Unternehmensbereiche waren oder sind maßgeblich in die Umsetzung der DS-GVO involviert?
  • Kreuzen Sie bitte die wesentlichen Maßnahmen an, die Sie im Rahmen der Umsetzung getroffen haben.
    • Sensibilisierungsmaßnahmen
    • Interne Datenschutz-Richtlinie
    • Erstellung von Datenschutzhinweisen zur Erfüllung der Informationspflicht
    • Löschkonzept
    • Neuverhandlung Auftragsverarbeitungsverträge
    • Prozess Datenschutz-Folgenabschätzung
    • Anpassung und Erweiterung interner Vorgaben zur Dokumentation
    • Dokumentation der Umsetzung der DS-GVO
    • Überarbeitung/Erstellung von Betriebsvereinbarungen
    • Benennung eines internen bzw. Beauftragung eines externen Datenschutzbeauftragten
    • Prozesse für Betroffenenrechte
    • Prozesse für Beschwerdebearbeitung
    • Prüfung vertraglicher Grundlagen für internationalen Datentransfer
    • Überprüfung/Neuverhandlung der Verträge mit externen Dienstleistern
    • Dokumentation der internen Datenschutzorganisation
    • Prozess für die Meldung von Datenpannen
    • Sonstige:

Nicht nur der Behörde zur Übersicht, auch jedem Unternehmen kann diese Liste an Umsetzungsmaßnahmen eine Leitlinie bieten, was unternehmensintern an datenschutzrechtlichen Fragestellungen zu klären ist. Mag diese Aufzählung auch für manche recht umfangreich wirken, so lassen sich für viele Aspekte allgemeine Leitlinien finden, die – je nach Unternehmensstruktur – individuell angepasst werden können und sollten.

  • Erläutern Sie bitte kurz den Umsetzungsstatus, falls noch nicht bzw. nicht vollständig umgesetzt. Benennen Sie bitte auch die Gründe.

Dass manche Themen noch nicht abgeschlossen sind, führt nicht zwingend dazu, dass von Behördenseite Maßnahmen unausweichlich sind, jedoch sollten die verschiedenen Aspekte adressiert worden sein und gegebenenfalls berechtigte Gründe (z.B. Umstrukturierung der Unternehmensprozesse) vorliegen, die dies rechtfertigen. – „Auf diesen Themen lag bislang kein Fokus…“ stellt im Übrigen keinen solchen Grund dar.

  • Hat Ihre Interne Revision oder eine vergleichbare Einheit die Einführung und Umsetzung der DS-GVO in Ihrem Unternehmen geprüft?

Verzeichnis der Verarbeitungstätigkeiten

Im Anschluss stellt sich die Frage des Dürfens, nämlich ob die durch das jeweilige Unternehmen angedachte Datenverarbeitung überhaupt rechtlich zulässig ist.

  • Bitte listen Sie die wesentlichen unternehmensspezifischen Datenverarbeitungen auf und ordnen Sie diesen die Rechtsgrundlagen zu, auf die Sie die Verarbeitung personenbezogener Daten stützen (Artikel 6, 9 DS-GVO inklusive Spezialnormen).
  • Sofern Sie auf Basis von Einwilligungen personenbezogene Daten verarbeiten, fügen Sie bitte exemplarisch Ihr(e) Muster bei.

Hilfreich zur Beantwortung ist hierbei ein sauber und ordentliches Verarbeitungsverzeichnis, das insbesondere die Kernverarbeitungstätigkeiten des jeweiligen Unternehmens aufführt. Zwar schreibt Art. 30 DSGVO („Verzeichnis der Verarbeitungstätigkeiten“) in seinem Wortlaut nicht explizit vor, dass auch eine Rechtsgrundlage aufzuführen ist, jedoch bietet sich dies unbedingt an, um sich bei der Dokumentation der verschiedenen Tätigkeiten erneut die Frage zu stellen, ob das Vorgehen überhaupt rechtskonform ist, was darüber hinaus im Fall der Fälle die Antwort auf derartige Nachfragen erleichtert.

Umgang mit Betroffenenrechten

Der europäische Datenschutz hat auch eine starke verbraucherrechtliche Komponente, die sich insbesondere im Umgang mit Beschwerden und der Wahrnahme von Betroffenenrechten zeigt. Deswegen ist es kaum verwunderlich, dass auch hierzu Fragen zu beantworten sind:

  • Listen Sie bitte die mit der Bearbeitung datenschutzrechtlichen Beschwerden befassten Stellen Ihres Unternehmens auf.
  • Anhand welcher Kriterien stuft Ihr Unternehmen die Rückmeldung eines Kunden als datenschutzrechtliche Beschwerde ein (Beschwerdedefinition)?
  • Wie unterscheidet sich die Bearbeitung einer datenschutzrechtlichen Beschwerde von der Bearbeitung einer sonstigen Beschwerde?
  • Wie stellen Sie sicher, dass den Betroffenenrechten auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Nachberichtspflicht und Datenübertragbarkeit angemessen nachgekommen wird? Bitte kreuzen Sie zutreffendes an.
    • Regelungen der Verantwortlichkeiten, Zuständigkeiten und des Kommunikationsverlaufs im Unternehmen
    • Prozesse zur Beantwortung von Anfragen der Betroffenen (einschließlich Erkennen als Anfrage zu einem Betroffenenrecht z.B. durch Schlüsselwörter, Identifikation der Betroffenen, Bearbeitungsdauer, Rückmeldung an Betroffene u.a.)
    • Verwenden von Mustern für Antwortschreiben
    • Prozesse zur Sicherstellung der Einhaltung von Fristen
    • Prozesse zur Nachverfolgung des Fortschritts der Bearbeitung
    • Verfahren zur Reaktion, wenn ein(e) Betroffene(r) mit der Beantwortung nicht zufrieden ist
    • Sensibilisierung der Mitarbeiter
  • Skizzieren Sie bitte überblicksartig Ihre wesentlichen Prozesse zu den o.g. Betroffenenrechten. Legen Sie bitte möglichst Nachweise (z.B. Verfahrensbeschreibungen, Mustertexte etc.) bei, die eine Überprüfung Ihrer Angaben ermöglichen.

Ein weiterer Aspekt davon stellt die Informationspflicht des Verantwortlichen dar, nämlich gegenüber den Betroffenen verschiedene Aspekte der personenbezogenen Datenverarbeitung aufzuzeigen und zu erläutern.

  • Wie kommen Sie Ihren Informationspflichten gegenüber Kunden gem. 13 bzw. 14 DS-GVO nach (z.B. Homepage, Postversand, E-Mail-Link, Aushang)? Bitte fügen Sie exemplarisch Ihre Muster-Texte bei.
  • Zu welchem Zeitpunkt informieren Sie Ihre Kunden?

Auf die letzte Frage kann bzw. darf es tatsächlich nur eine richtige Antwort geben: „Spätestens kurz vor der personenbezogenen Datenverarbeitung.“

  • Wie werden Missstände und Schwachstellen im Umgang mit Betroffenenrechten kontinuierlich verbessert und die Verbesserungsmaßnahmen auf ihre Wirksamkeit hin überprüft?

Dieser Aspekt ist einer des Qualitätsmanagement, in Form der Nachfrage bzgl. eines bestimmten Prozesses zur Verbesserung. Eine Antwort darauf wäre der „PDCA“-Zyklus, also „Plan“, „Do“, „Check“, „Act“, der kontinuierlich in verschiedenen Bereichen eines Unternehmens durchlaufen werden sollte.

Schulung der Beschäftigten

Alleine mit der Etablierung von unternehmensinternen Prozessen ist es jedoch nicht getan. Diese Prozesse müssen auch gelebt werden, wofür notwendig ist, dass die Mitarbeiter verstehen und wissen, wie in bestimmten datenschutzrechtlichen Konstellationen zu agieren und vorzugehen ist. Dafür sind verschiedene Sensibilisierungsmaßnahmen – z.B. Schulungen – notwendig.

  • Stellen Sie sicher, dass Ihre Mitarbeiterinnen und Mitarbeiter für den Umgang mit personenbezogenen Daten hinreichend sensibilisiert sind?
    • Ja
    • Nein
  • Benennen Sie, wenn zutreffend, die wesentlichen Sensibilisierungsmaßnahmen und machen Sie Angaben zum Ausführungsturnus.

Pauschale Aussagen zur Frequenz derartiger Maßnahmen lassen sich nur sehr schwierig treffen. Das divergiert von Fall zu Fall. Wenn beispielsweise neue Prozesse zur Bearbeitung von Betroffenenrechten implementiert werden, ist es sinnvoll zeitnah darüber zu informieren, auch wenn kurz zuvor bereits eine Datenschutzschulung durchgeführt wurde. Ebenfalls bietet es sich an – wenn es nicht sogar erwartet wird – in Folge einer Datenschutzverletzung die Mitarbeiter in einer bestimmten Form erneut auf den sorgsamen Umgang mit personenbezogenen Daten hinzuweisen.

Da es mit Einführung der EU-Datenschutzgrundverordnung nicht mehr ausreicht lediglich datenschutzkonform zu agieren, sondern man dies auch ständig dokumentiert beweisen können muss, werden seitens der Aufsichtsbehörde auch Fragen zur sogenannten Rechenschaftspflicht (vgl. Art. 5 Abs. 2 DSGVO) gestellt.

  • Wie können Sie die Einhaltung der Grundsätze der Datenverarbeitung nachweisen? Benennen Sie die Art der Dokumentation, die Sie für diesen Zweck vorhalten.
  • Welche Aspekte bereiten ggf. Schwierigkeiten?

Fazit: Sich frühzeitig mit datenschutzrechtlichen Fragestellungen vertraut machen

Anhand des vorgestellten Fragenkatalogs lassen sich gewisse Schlüsse ziehen, was eine Datenschutzaufsichtsbehörde von Unternehmen erwartet. So bietet es sich durchaus an, die verschiedenen aufgeworfenen Punkte im eigenen Unternehmen einmal selbst zu überprüfen und im Anschluss gegebenenfalls Lücken zu schließen.

Außerdem sollten diese Punkte primär nicht für die Aufsichtsbehörde, sondern für den datenschutzkonformen Umgang im eigenen Unternehmen beantwortet werden.

Falls Sie bei der Überprüfung oder Aufarbeitung unsere Unterstützung benötigen, können wir Ihnen verschiedene Werkzeuge an die Hand geben, um Lücken auszumachen und diese anschließend erfolgreich schließen zu können.

Michael Wehowsky

Über den Autor - Datenschutzbeauftragter Michael Wehowsky

Herr Michael Wehowsky ist zertifizierter Datenschutzbeauftragter (udis) und Certified Information Privacy Professional Europe (CIPP/E, iapp). In seiner Funktion als externer Datenschutzbeauftragter und Berater unterstützt er Unternehmen verschiedenster Ausrichtung und Größe im Datenschutz in deutscher, englischer und italienischer Sprache.

Beitrag teilen:

0 Kommentar zu diesem Beitrag:

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht.

https://www.iitr.de/blog/wp-content/uploads/2020/10/chatbot-load.png https://www.iitr.de/blog/wp-content/uploads/2020/10/loading.gif