Zum Inhalt springen Zur Navigation springen
Umsetzung der DSGVO – Erste Schritte als Datenschutzbeauftragter

Umsetzung der DSGVO – Erste Schritte als Datenschutzbeauftragter

Artikel von Dr. Datenschutz·28. August 2019

„Herzlichen Glückwunsch! Sie sind unser neuer Datenschutzbeauftragter!“ Voller Motivation haben Sie sich die DSGVO samt Erwägungsgründen geschnappt und innerhalb eines Nachmittags verschlungen. Sie wissen nun, welche Aufgaben auf Verantwortliche und Auftragsverarbeiter zukommen. Vom Auftragsverarbeitungsvertrag bis hin zum Verzeichnis der Verarbeitungstätigkeiten – Sie wissen, was zu tun ist. Und dann sehen Sie den Wald vor lauter Bäumen nicht mehr. Dieser Beitrag erläutert die ersten Schritte.

Fragenkataloge der Aufsichtsbehörden

Wo fängt man an? Welche Herangehensweise ist tatsächlich praxistauglich? Und überhaupt, wie kann man sicherstellen, dass man an alles denkt?

Ein erster Anlaufpunkt können die Fragenkataloge der Aufsichtsbehörden sein. Bereits Mitte/Ende 2018 hat beispielsweise das bayrische Landesamt für Datenschutzaufsicht einen solchen Fragenkatalog an Unternehmen gesendet. Damit sollte überprüft werden, wie der momentane Umsetzungsstand in den Unternehmen ist. Die Fragen decken viele Punkte der DSGVO ab.

Erst vor kurzem hat die LfD Niedersachsen einen Kriterienkatalog, der bei der Überprüfung zum Einsatz kommt, veröffentlicht. Dieser enthält 200 Einzelkriterien, eingeteilt in 10 Themengebiete.

Überblick über die Prozesse

Als nächstes benötigen Sie umfangreiche Informationen. Verschaffen Sie sich einen Überblick über die Prozessabläufe und welche Daten von Ihrem Unternehmen zu welchen Zwecken verarbeitet werden. Identifizieren Sie zunächst die Verantwortlichen für die Prozessbereiche und erstellen Sie dann mit deren Hilfe eine Liste der vorhandenen Prozesse. Lassen Sie sich die diese ausführlich erläutern, denn nur, wer die Prozesse kennt, kann auch überwachen, ob die Verarbeitung datenschutzkonform erfolgt. Je umfassender der EInblick und die Zusammenarbeit sind, desto schneller kann auch bei bevorstehenden Änderungen der Verarbeitungstätigkeiten reagiert werden.

Risiken analysieren / bestehende Dokumente und Maßnahmen begutachten

Um sich einen ersten Eindruck über den Ist-Stand zu verschaffen, können Sie sehr gut die oben erwähnten Fragenkataloge gemeinsam mit dem Unternehmen durchgehen. Entdecken Sie Abweichungen, schreiben Sie sich die entsprechende Aufgabe auf eine Liste.

Nach der ersten Überprüfung sollte dann eine Priorisierung der Aufgaben nach dem vorhandenen Risiko erfolgen. Bei hohem Risiko sollten die Lücken sofort, bei überschaubarem Risiko mittelfristig geschlossen werden.

Die Aufgaben des Datenschutzbeauftragten

Für die praktische Umsetzung ist grundsätzlich das Unternehmen selbst verantwortlich. Der Datenschutzbeauftragte hat lediglich eine beratende und überwachende Funktion. Achten Sie darauf, dass Sie sich nicht selbst kontrollieren. Machen Sie sich Ihre Aufgaben, die aus der DSGVO resultieren, bewusst.

Die Aufgaben des Datenschutzbeauftragten ergeben sich aus Art. 39 DSGVO. Demnach hat der Datenschutzbeauftragte insbesondere folgende fünf Aufgaben:

  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
  • Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung;
  • Zusammenarbeit mit der Aufsichtsbehörde;
  • Anlaufstelle für die Aufsichtsbehörde

Praktische Umsetzung

Die praktische Umsetzung der einzelnen Aufgaben erfolgt in einem nächsten Schritt. Sie wissen nun, was wann zu tun ist die Aufgaben müssen nur noch abgearbeitet werden. Unterstützung bieten hierbei beispielsweise die Tätigkeitsberichte der Aufsichtsbehörden, die viele konkrete Fälle behandeln. Auch die FAQs der Aufsichtsbehörden (wie z.B. des Hessischen Beauftragte für Datenschutz und Informationsfreiheit oder des Bayerischen Landesamts für Datenschutzaufsicht) können an einigen Stellen gute Hinweise liefern.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.