Umsetzung der DSGVO – Erste Schritte als Datenschutzbeauftragter

Fachbeitrag

„Herzlichen Glückwunsch! Sie sind unser neuer Datenschutzbeauftragter!“ Voller Motivation haben Sie sich die DSGVO samt Erwägungsgründen geschnappt und innerhalb eines Nachmittags verschlungen. Sie wissen nun, welche Aufgaben auf Verantwortliche und Auftragsverarbeiter zukommen. Vom Auftragsverarbeitungsvertrag bis hin zum Verzeichnis der Verarbeitungstätigkeiten – Sie wissen, was zu tun ist. Und dann sehen Sie den Wald vor lauter Bäumen nicht mehr. Dieser Beitrag erläutert die ersten Schritte.

Fragenkataloge der Aufsichtsbehörden

Wo fängt man an? Welche Herangehensweise ist tatsächlich praxistauglich? Und überhaupt, wie kann man sicherstellen, dass man an alles denkt?

Ein erster Anlaufpunkt können die Fragenkataloge der Aufsichtsbehörden sein. Bereits Mitte/Ende 2018 hat beispielsweise das bayrische Landesamt für Datenschutzaufsicht einen solchen Fragenkatalog an Unternehmen gesendet. Damit sollte überprüft werden, wie der momentane Umsetzungsstand in den Unternehmen ist. Die Fragen decken viele Punkte der DSGVO ab.

Erst vor kurzem hat die LfD Niedersachsen einen Kriterienkatalog, der bei der Überprüfung zum Einsatz kommt, veröffentlicht. Dieser enthält 200 Einzelkriterien, eingeteilt in 10 Themengebiete.

Überblick über die Prozesse

Als nächstes benötigen Sie umfangreiche Informationen. Verschaffen Sie sich einen Überblick über die Prozessabläufe und welche Daten von Ihrem Unternehmen zu welchen Zwecken verarbeitet werden. Identifizieren Sie zunächst die Verantwortlichen für die Prozessbereiche und erstellen Sie dann mit deren Hilfe eine Liste der vorhandenen Prozesse. Lassen Sie sich die diese ausführlich erläutern, denn nur, wer die Prozesse kennt, kann auch überwachen, ob die Verarbeitung datenschutzkonform erfolgt. Je umfassender der EInblick und die Zusammenarbeit sind, desto schneller kann auch bei bevorstehenden Änderungen der Verarbeitungstätigkeiten reagiert werden.

Risiken analysieren / bestehende Dokumente und Maßnahmen begutachten

Um sich einen ersten Eindruck über den Ist-Stand zu verschaffen, können Sie sehr gut die oben erwähnten Fragenkataloge gemeinsam mit dem Unternehmen durchgehen. Entdecken Sie Abweichungen, schreiben Sie sich die entsprechende Aufgabe auf eine Liste.

Nach der ersten Überprüfung sollte dann eine Priorisierung der Aufgaben nach dem vorhandenen Risiko erfolgen. Bei hohem Risiko sollten die Lücken sofort, bei überschaubarem Risiko mittelfristig geschlossen werden.

Die Aufgaben des Datenschutzbeauftragten

Für die praktische Umsetzung ist grundsätzlich das Unternehmen selbst verantwortlich. Der Datenschutzbeauftragte hat lediglich eine beratende und überwachende Funktion. Achten Sie darauf, dass Sie sich nicht selbst kontrollieren. Machen Sie sich Ihre Aufgaben, die aus der DSGVO resultieren, bewusst.

Die Aufgaben des Datenschutzbeauftragten ergeben sich aus Art. 39 DSGVO. Demnach hat der Datenschutzbeauftragte insbesondere folgende fünf Aufgaben:

  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
  • Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung;
  • Zusammenarbeit mit der Aufsichtsbehörde;
  • Anlaufstelle für die Aufsichtsbehörde

Praktische Umsetzung

Die praktische Umsetzung der einzelnen Aufgaben erfolgt in einem nächsten Schritt. Sie wissen nun, was wann zu tun ist die Aufgaben müssen nur noch abgearbeitet werden. Unterstützung bieten hierbei beispielsweise die Tätigkeitsberichte der Aufsichtsbehörden, die viele konkrete Fälle behandeln. Auch die FAQs der Aufsichtsbehörden (wie z.B. des Hessischen Beauftragte für Datenschutz und Informationsfreiheit oder des Bayerischen Landesamts für Datenschutzaufsicht) können an einigen Stellen gute Hinweise liefern.

Das Thema ist für Sie oder in Ihrem Unternehmen relevant und Sie möchten Ihre Kompetenzen erweitern? Informieren Sie sich hier über unser Seminarangebot. Mit dem Code „DR. DATENSCHUTZ“ erhalten Blogleser 15% Rabatt auf die Seminare, vorerst gültig bis zum 31.12.2019.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

DSGVO Beratung

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.