Warum sind regelmäßige Kontrollen des Datenschutzes notwendig?

27.08.2022. 14:26

 

Unternehmen sind als Verantwortliche im Sinne der Datenschutz-Grundverordnung (DSGVO) für die Einhaltung des Datenschutzes verantwortlich.

Zentrale Vorschrift ist hier Art. 5 Abs. 2 DSGVO: "Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“)."

In Abs. 1 sind übrigens die Grundsätze der ordnungsgemäßen Datenverarbeitung aus Sicht der DSGVO geregelt. Dazu zählt der Grundsatz der Datenminimierung, die Löschung nicht mehr benötigter Daten oder auch die Frage der Rechtmäßigkeit der Datenverarbeitung, was das Vorhandensein einer Erlaubnisvorschrift voraussetzt.

Ähnliches ergibt sich aus  Art. 24 Abs. 1 DSGVO, der sich auf die zu treffenden technischen und organisatorischen Maßnahmen bezieht:

"Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. 2Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert."

 

Rechenschaftspflicht erfüllen

 

Wie kann der Verantwortliche nun diese Rechenschaftspflicht erfüllen und nachweisen, dass er die zu erwartenden Maßnahmen getroffen hat?

Grundsätzlich gibt es ja die Aussage, dass bei der Erfüllung der Aufgaben des Datenschutzes ein risikobasierter Ansatz zu treffen sei / getroffen werden kann.

Art. 39 Abs. 2 DSGVO: "Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.". Ferner auch Art. 24 DSGVO (s.o.).

Dies darf allerdings nicht so interpretiert werden, dass gesetzliche Verpflichtungen, z.B. in Hinblick auf technische Sicherheitsanforderungen nicht erfüllt werden müssten. Es lässt sich also nur schwer sagen, inwiefern dies einem eine Erleichtung verschaffen könnte. Audits bzw. Datenschutzkontrollen tragen aber jedenfalls dem risikobasierten Ansatz Rechnung, da hier in der Regel nur Stichproben genommen werden und priorisiert werden kann. 

Die Erfüllung der Rechenschaftspflichten wird üblicherweise durch eine Kombination verschiedenen Maßnahmen erfolgen:

  • Richtlinien und Verfahrensanweisungen, die in regelmäßigen Abständen geprüft werden.
  • Verpflichtung der Beschäftigten / Verträge mit Vertragspartnern
  • Nachweisdokumente (Dokumentation von Interessenabwägungen, Datenpannen etc. )
  • Regelungen von Verantwortlichkeiten, z.B durch Benennung eines Datenschutzbeauftragten / Datenschutzkoordinators.
  • Datenschutzjahresberichte

Mehr dazu kann auch in der Rubrik zum Datenschutzmanagement nachgelesen werden.

 

Eine Datenschutzkontrolle bzw. eine Bestandsaufnahme hat dabei die Aufgabe zu prüfen, ob bestimmte Bestandteile des Datenschutzmanagements den gesetzlichen Anforderungen, dem Stand der Wissenschaft oder einer Best Practice entsprechen. Sofern entsprechende DIN/ISO-normierte Managmentsysteme betrieben werden, kann natürlich auch die Erfüllung der entsprechen DIN-Norm anhand der durch die Norm geforderten Dokumentation und Nachweisdokumente geprüft werden. Den rechtlichen verbindlichen und bußgeldrelevanten Rahmen stellen aber immer die jeweiligen Datenschutzgesetze!

Wir empfehlen Ihnen regelmäßige Datenschutzkontrollen einzuplanen und durchzuführen. Das hat einen positiven Einfluss auf die Umsetzung des Datenschutzes und verbessert Ihre Position, wenn mal Abstimmungsbedarf mit einer Aufsichtsbehörde für den Datenschutz besteht, deutlich.

In unserem nächsten Artikel beschäftigten wir uns mit dem Thema Kontrollen von Subunternehmern, z.B. Callcenter.

Die Audits die wir anbieten, werden durchgeführt von:

RA Michael Bock, LL.M. (Informationsrecht)
Datenschutzbeauftragte (TüV Zertifikat)
Datenschutzauditor (TüV-Zertifikat)
Zertifizierter Compliance Officer (SHB)
Information Security Officer according ISO/IEC 27000 Series - TüV Zertifikat
Information Security Auditor/ Lead Auditor - TÜV Zertifikat
SCRUM Master - TÜV Zertifikat

Das könnte Sie auch interessieren

22 März 2024

Durchführung des CyberRisikoChecks…

Durchführung des CyberRisikoChecks nach DIN SPEC 27076

Mehr Erfahren
30 Januar 2024

Call-Center Audits 2023

Call-Center Audits 2023

Mehr Erfahren
17 Januar 2023

Warum es keine gute Idee…

Warum es keine gute Idee ist, seine Dienstleister nicht regelmäßig zu überprüfen

Mehr Erfahren
16 Januar 2023

Bußgeld wegen fehlernder…

Bußgeld wegen fehlernder Dokumentation der Überprüfung des Auftragsverarbeiters

Mehr Erfahren
13 Januar 2023

EuGH bejaht einen konkreten…

EuGH bejaht einen konkreten DSGVO-Auskunftsanspruch hinsichtlich des Empfängers

Mehr Erfahren
09 Dezember 2022

Datenschutz und Microsoft…

Datenschutz und Microsoft Office 365, was nun?

Mehr Erfahren