Prüfaufgaben eines Datenschutz-Beauftragten

Die wichtigsten Aufgaben eines Datenschutzbeauftragten sind Beratung und Kontrolle. Wie das im Detail aussehen sollte, lesen Sie in diesem Artikel. [...]

Tagebuch eines Datenschutz-Beauftragten (c) CW
Tagebuch eines Datenschutz-Beauftragten (c) CW

In Erwägungsgrund 97 der DSGVO wird der Datenschutzbeauftragte als eine Person beschrieben, die den Verantwortlichen oder den Auftragsverarbeiter „bei der Überwachung der internen Einhaltung der Bestimmungen dieser Verordnung mit seinem „Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren“ unterstützen soll. Darüber hinaus gibt es noch eine Reihe von weiteren Prüfforderungen bei der Datenschutzbeauftragte selbst tätig wird oder beratend unterstützt.

Gemäß At.39 DSGVO unterliegen den Datenschutzbeauftragten folgende Aktivitäten:

„Unterrichtung und Beratung des Verantwortlichen, Auftragsverarbeiter und der Beschäftigten …

Überwachung der Einhaltung dieser Verordnung …

Überprüfung der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten der Sensibilisierung unter Schulung an den Verarbeitungsvorgängen beteiligten Mitarbeiter,

Beratung … Im Zusammenhang mit der Datenschutz-Folgeabschätzung und Überwachung ihrer Durchführung …

Zusammenarbeit mit den Aufsichtsbehörden …“

Darüber hinaus hat der Datenschutzbeauftragte die Pflicht, die angeführten Tätigkeiten risikoorientiert durchzuführen.

Art. 39 Absatz.1 lit. b) DSGVO regelt eine Reihe von Prüfungsaufgaben für den Datenschutzbeauftragten. Art. 39 enthält zwar die Forderung, die Einhaltung der DSGVO zu überwachen, enthält aber keine weitere inhaltliche oder operative Anforderungen an den Datenschutzbeauftragten. Wie die unspezifisch gehaltenen Anforderungen explizit operativ umgesetzt umzusetzen sind, wird nicht definiert.

Zu den wichtigsten Aufgaben gehört die Beratung des Verantwortlichen der Auftragsverarbeiter und der Beschäftigten, Art. 39 Abs. 1 lit a).

Weiters besteht für den Datenschutzbeauftragten die Verpflichtung der Kontrolle, nämlich „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung „zu etablieren. Dazu gehören auch regelmäßige systematische Überwachung und Verbesserung des Schulungskonzepts.

So fordert das berufliche Leitbild des Berufsverbandes der Datenschutzbeauftragten Deutschlands (BvD) dass der Datenschutzbeauftragte regelmäßige Kontrollen durchführt und sich Daten hierbei an die Vorgaben der DSGVO sowie angrenzende etablierte Managementsysteme hält – siehe PDCA Zyklus weiter unten.

Die Prüfaufgaben im Detail:

Zu den wesentlichen 5 Punkten der Anforderungen an die Prüfaufgaben gehören:

  1. Verfahren etablieren

„Verfahren“ sind dadurch gekennzeichnet, dass der Prozess in verschiedene Verfahrensschritte zerlegt, nachvollziehbar sein muss und dass ein „wiederholbar Ablauf“ gewährleistet sein muss.

  1. Regelmäßigkeit

Es genügt nicht, eine einmalige Überprüfung durchzuführen, daher sind regelmäßige Kontrollen erforderlich.

  1. Überprüfung

Ziel der Überprüfung ist es, durch Untersuchung und Analyse ein Ergebnis zu erzielen, ob die Anforderungen erfüllt sind.

Diese Überprüfung stellt den Verfahrensschritt mit der größten Herausforderung dar. Dies liegt vor allem darin begründet, dass bei manchen Fragestellungen nicht nur die gesetzlichen Anforderungen, sondern auch die Rechtsprechung zu berücksichtigen ist. Im Zweifelsfall ist daher eine juristische Beratung einzuholen.

  1. Wirksamkeit der Maßnahmen

Die Wirksamkeit der Maßnahmen muss bewertet und evaluiert werden. Unter Evaluierung ist eine sach- und fachgerechte Untersuchung/Bewertung gemeint.

Es genügt nicht, die vollständige Umsetzung der Maßnahmen zu prüfen, es ist auch deren mittel- bzw. langfristige Auswirkung zu bewerten. Dies ist deshalb erforderlich, da Maßnahmen nicht zwingend sofort Wirkung zeigen. Weiters ist die Wirkung der Maßnahmen zu bewerten.

  1. Risikobasierter Ansatz

Das Verfahren muss gewährleisten, dass die eingerichteten Controlling zur Vermeidung von Risiken in allen Bereichen einer Organisation adäquat berücksichtigt und entsprechend etabliert wurden.

  1. Systemischer Ansatz

Es empfiehlt sich, dass Datenschutzbeauftragte sich eines systematischen Ansatzes bedienen. Ein Beispiel für so einen Ansatz ist der systemische Ansatz nach Demin – Plan, Do, Check, Act (PDCA):

  1. Kriterien für die Durchführung von Audits

Grundsätzlich wird empfohlen, dass Audits nicht von Datenschutzbeauftragten selbst durchgeführt werden – und schon gar nicht vom CISO, sondern von einem externen Dritten. Eine gute Ausgangsbasis bietet dabei die ISO 19011.

  1. Anforderungen an Auditoren

Folgende Anforderungen werden an die Auditoren gestellt:

  • Soziale Kompetenz
  • Fach- und Methodenwissen, dazu gehören Kenntnisse in der Informationssicherheit, sowie tief greifende Kenntnisse des technischen Datenschutzes
  • Juristische Grundkenntnisse
  • im Fall von Cloud Architekturen ist vertieftes Wissen zum internationalen Datentransfer erforderlich. Die Cloud spezifische Bedrohungslage muss berücksichtigt werden.
  • Zielorientiertheit, Sachlichkeit und objektive Arbeitsweise
  • Akzeptanz der Kompetenz der Auditoren durch die Auditierten
  1. Prüfung der Organisation des Datenschutzes

Variante 1:

Als Basis für die Überprüfung der Organisation des Datenschutzes hat sich mit „IDW PH 9.860.1 für Prüfung nach DSGVO“ etabliert. Diese ist wie folgt gegliedert:

  • Tätigkeit des Datenschutzbeauftragten
  • Risikomanagement
  • Rechtmäßigkeit der Verarbeitung
  • Verzeichnis der Verarbeitungstätigkeiten
  • Rainer sie bei design/Rainer sie bei die folgt
  • Übermittlung in Drittländer
  • Auftragsverarbeitung
  • Datenschutz Fortsetzung
  • Betroffenen Rechte
  • Löschmanagement
  • Sicherheit der Verarbeitung

Variante 2:

Als Alternative bietet sich das Auditprogramm (GDPR-Audit)der ISACA an. Dieses basiert auf Durchführungskontrollen und Erhaltungskontrollen. Im Zuge des Austritts werden neun Datenschutz Cluster untersucht:

  1. Betreiben eines Datenschutzmanagementsystems
  2. Erfassen, identifizieren und klassifizieren persönlicher Daten
  3. Umgang mit Datenschutzrisiken
  4. Umgang mit Datensicherheit
  5. Lieferketten und Auftragsverarbeiter
  6. Management von Verstößen und Vorfällen
  7. Bewusstsein schaffen und aufrechterhalten
  8. Organisation Datenschutz und Datenschutzbeauftragter
  9. Betrieb von internen Kontrollen

Empfehlungen

Zusammenfassend wird festgehalten, dass nur ein systemischer Ansatz und eine strukturierte Vorgehensweise bei der Überprüfung (Audit) der Einhaltung der Anforderungen der DSGVO ausreichend und geeignet ist.

Voraussetzung dafür ist ein regelmäßig durchgeführtes Verfahren, das nicht nur definiert, sondern das auch gelebt werden muss. Ein wichtiger Verfahrensschritt ist die Durchführung eines Austritts durch externe Dritte. Besonderen Stellenwert hat dabei die Bewertung und Evaluierung der Wirksamkeit der Maßnahmen.

Die Abwicklung der Prüfungsaufgaben erlaubt eine nachhaltige Sicht auf die Verfahren, Prozesse und Maßnahmen des Datenschutzes.

Das Tagebuch wird zur Verfügung gestellt von 

DSGVO Datenschutz Ziviltechniker GmbH


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*