Quer­schnitts­prü­fung beim Daten­schutz in Niedersachen

Die Lan­des­be­auf­trag­te für den Daten­schutz Nie­der­sach­sen, Bar­ba­ra Thiel, legt den ver­wen­de­ten Fra­ge­bo­gen zur Quer­schnitts­prü­fung von 50 Unter­neh­men aus Nie­der­sach­sen offen.

In den ver­gan­ge­nen Mona­ten wur­de in Nie­der­sach­sen eine Quer­schnitts­kon­trol­le im Bereich Daten­schutz bezüg­lich der Umset­zung der DSGVO durch­ge­führt. Hier­bei wur­den, laut Web­sei­te der Lan­des­be­auf­trag­ten für den Daten­schutz Nie­der­sach­sen, 50 gro­ße und mit­tel­gro­ße Unter­neh­men geprüft. Ziel dabei war es her­aus­zu­fin­den, wie umfas­send die­se Unter­neh­men die Anfor­de­run­gen durch die Daten­schutz­grund­ver­ord­nung umge­setzt haben.

Der Fra­gen­ka­ta­log wur­de nun ver­öf­fent­licht und wir haben ihn uns natür­lich auch genau­er ange­schaut. Der Fra­gen­ka­ta­log ist in 10 Punk­te unter­teilt, die jeweils in Form von Frei­text beant­wor­tet wer­den sollen. 

Dabei ist es nicht die ers­te Quer­schnitts­prü­fung seit der DSGVO. In Bay­ern wur­de eine ähn­li­che Prü­fung unter ande­ren bei Arzt­pra­xen durchgeführt.

Die Fra­gen des Fragebogens

Wer­fen wir zunächst ein Blick auf die gestell­ten Fra­gen. Den ori­gi­nal Fra­ge­bo­gen kön­nen Sie hier ein­se­hen. Wir haben Ihn für Sie hier zusammengetragen:

Fra­gen­ka­ta­log Quer­schnitts­prü­fung DS-GVO

1. Vor­be­rei­tung auf die DS-GVO

  • Wie haben Sie sich als Unter­neh­men auf die DS-GVO vorbereitet?
  • Schil­dern Sie (kurz) die Vor­ge­hens­wei­se, wel­che Berei­che invol­viert waren und wel­che Maß­nah­men initi­iert wur­den. Sofern noch nicht alle Maß­nah­men voll­stän­dig umge­setzt wur­den, erläu­tern Sie bit­te auch den Umsetzungsstatus.

2. Ver­zeich­nis von Verarbeitungstätigkeiten

  • Wie haben Sie sicher­ge­stellt, dass alle Ihre Geschäfts­ab­läu­fe, bei denen per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den, in ein Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten auf­ge­nom­men wurden? 
  • Wie stel­len Sie des­sen Aktua­li­tät sicher? 
  • Legen Sie bit­te eine Über­sicht Ihrer doku­men­tier­ten Ver­fah­ren sowie ein Bei­spiel­ver­fah­ren als Mus­ter bei.

3. Zuläs­sig­keit der Verarbeitung

  • Auf Basis wel­cher Rechts­grund­la­gen ver­ar­bei­ten Sie per­so­nen­be­zo­ge­ne Daten? 
  • Sofern Sie auch auf Basis von Ein­wil­li­gun­gen per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten, legen Sie bit­te Ihre ver­wen­de­ten Mus­ter bei.

4. Betrof­fe­nen­rech­te

  • Wie stel­len Sie die Ein­hal­tung der Betrof­fe­nen­rech­te (auf Infor­ma­ti­on, Aus­kunft, Berich­ti­gung, Löschung, Ein­schrän­kung der Ver­ar­bei­tung, Daten­über­trag­bar­keit) sicher? 
  • Skiz­zie­ren Sie Ihre dies­be­züg­li­chen Pro­zes­se und gehen Sie ins­be­son­de­re detail­liert dar­auf ein, wie Sie Ihren Infor­ma­ti­ons­pflich­ten nach­kom­men. Vor­han­de­ne Mus­ter­in­for­ma­tio­nen fügen Sie bit­te bei.

5. tech­ni­scher Datenschutz

  • Wie stel­len Sie sicher, dass Ihre tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men bzw. die Ihrer Dienst­leis­ter ein dem Ver­ar­bei­tungs­ri­si­ko ange­mes­se­nes Schutz­ni­veau gewährleisten?
  • Wie stel­len Sie sicher, dass Ihre tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men an den jewei­li­gen Stand der Tech­nik ange­passt werden?
  • Wie stel­len Sie sicher, dass Sie für die von Ihnen aktu­ell oder zukünf­tig ein­ge­setz­ten IT-Anwen­dun­gen ein doku­men­tier­tes daten­schutz­kon­for­mes Rol­len- und Berech­ti­gungs­kon­zept haben?
  • Wie stel­len Sie sicher, dass bei der Ände­rung oder Neu­ent­wick­lung von Pro­duk­ten oder Dienst­leis­tun­gen Daten­schutz­an­for­de­run­gen von Anfang an mit berück­sich­tigt wer­den (Pri­va­cy by Design und by Default)?

6. Daten­schutz-Fol­gen­ab­schät­zung

  • Wie stel­len Sie sicher, dass Ver­ar­bei­tun­gen mit einem vor­aus­sicht­lich hohen Risi­ko für die Rech­te und Frei­hei­ten der Betrof­fe­nen erkannt und für die­se eine Daten­schutz-Fol­gen­ab­schät­zung durch­ge­führt wird?
  • Haben Sie in Ihrem Unter­neh­men Ver­ar­bei­tun­gen mit einem vor­aus­sicht­lich hohen Risi­ko für die Rech­te und Frei­hei­ten der Betrof­fe­nen iden­ti­fi­ziert? Welche?
  • Fügen Sie bit­te die jewei­li­ge Doku­men­ta­ti­on zur Daten­schutz-Fol­gen­ab­schät­zung bei. 

7. Auf­trags­ver­ar­bei­tung

  • Haben Sie Ihre bestehen­den Ver­trä­ge mit Auf­trags­ver­ar­bei­tern an die neu­en Rege­lun­gen der DS-GVO angepasst? 
  • Sofern Sie Mus­ter­ver­trä­ge ver­wen­den, fügen Sie die­se bit­te bei, dar­über hin­aus fügen Sie bit­te einen aktu­el­len Bei­spiel­ver­trag mit einem Ihrer Auf­trags­ver­ar­bei­ter bei.

8. Daten­schutz­be­auf­trag­ter

  • Wie ist Ihr Daten­schutz­be­auf­trag­ter in Ihre Orga­ni­sa­ti­on eingebunden?
  • Wel­che Fach­kun­de­nach­wei­se hat er?

9. Mel­de­pflich­ten

  • Wie stel­len Sie sicher, dass Ihr Unter­neh­men Daten­schutz­ver­stö­ße frist­ge­mäß an die Auf­sichts­be­hör­de meldet? 
  • Skiz­zie­ren Sie Ihre dies­be­züg­li­chen Prozesse.

10. Doku­men­ta­ti­on

  • Wie kön­nen Sie die Ein­hal­tung aller vor­ste­hend in Ziff. 2 – 9 genann­ten Pflich­ten nachweisen?

Kön­nen Sie die pas­sen­den Ant­wor­ten geben?

Falls Sie das Gefühl haben, die meis­ten Punk­te in dem Fra­ge­bo­gen stel­len für Sie kein Pro­blem in der Beant­wor­tung dar, haben Sie ver­mut­lich schon einen Groß­teil der DSGVO umge­setzt. Wenn dies nicht der Fall ist, müs­sen Sie ver­mut­lich im Bereich Daten­schutz noch nachbessern. 

Bei den gestell­ten Fra­gen wird vor allem auf die Pro­zes­se und Doku­men­ta­ti­on des Daten­schut­zes abge­stellt. Beson­ders durch die offe­nen Fra­ge­stel­lun­gen sowie die Anfor­de­run­gen von ver­wen­de­ten Mus­tern soll­te somit die Auf­sichts­be­hör­de damit einen guten Ein­blick in den Umset­zungs­stand zum The­ma Daten­schutz in Nie­der­sach­sen bekom­men. Neben dem Fra­gen­ka­ta­log hat die Auf­sichts­be­hör­de zusätz­lich noch ein Kri­te­ri­en­ka­ta­log zur Prü­fung ver­öf­fent­licht. Hier­in ist beschrie­ben nach wel­chen Maß­stä­ben eine Bewer­tung statt­fin­den soll. 

Hil­fe wo Sie sie benötigen

Mit uns als Part­ner im Bereich Daten­schutz kön­nen Sie ohne Pro­ble­me die oben genann­ten Fra­gen beant­wor­ten. Wir stel­len mit Ihnen zusam­men sicher, dass die DSGVO ord­nungs­ge­mäß in Ihrem Betrieb umge­setzt ist und Sie somit kei­ne Sor­ge vor einem ähn­li­chen Fra­ge­bo­gen haben müssen. 

Gera­de die Ver­schmel­zung von tech­ni­schem und orga­ni­sa­to­ri­schen Daten­schutz ist eine unse­rer Stär­ken, da hier beson­de­rer Fokus auf den Bereich der IT-Sicher­heit gelegt wird. Wir unter­stüt­zen Sie bei der Erfül­lung Ihrer Pflicht und zwar vom Anfang bis zur erfolg­rei­chen Umset­zung. Des Wei­te­ren ste­hen wir Ihnen bei Bedarf mit unse­ren TÜV zer­ti­fi­zier­ten exter­ner Daten­schutz­be­auf­trag­ten mit Rat und Tat zur Seite.

Las­sen Sie uns gemein­sam star­ten. Tre­ten Sie mit uns in Kon­takt, damit wir Ihnen bei Ihren Her­aus­for­de­run­gen hel­fen können!

Die­sen Bei­trag teilen