Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

20. August 2019

Fragenkatalog zur DSGVO-Prüfung veröffentlicht

Fragenkatalog zur DSGVO-Prüfung veröffentlicht
Bild: iStock.com / timyee
3,40 (5)
Datenschutz-Aufsichtsbehörden
Die Landesbeauftragte für den Datenschutz in Niedersachsen (LfD) hat jetzt ihren Kriterienkatalog zur DSGVO-Prüfung der Öffentlichkeit zur Verfügung gestellt. Er kann Unternehmen als praktischer Leitfaden für die eigene Datenschutz-Organisation dienen.

In den vergangenen Monaten hat die LfD Niedersachsen in 50 großen und mittelgroßen Unternehmen überprüft, wie umfassend die Firmen die Anforderungen der Datenschutz-Grundverordnung (DSGVO) umgesetzt haben.

Die Prüfung steht nach Angaben der Behörde jetzt unmittelbar vor dem Abschluss.

Zur besseren Orientierung für andere verantwortliche Stellen hat die Datenschutz-Aufsichtsbehörde den Kriterienkatalog, der bei der Überprüfung zum Einsatz kommt, veröffentlicht.

200 Einzelkriterien für vergleichbare DSGVO-Prüfung

Der in Form einer PDF-Datei veröffentlichte Katalog (PDF) umfasst rund 200 Einzelpositionen, eingeteilt in zehn Fragenkomplexe. Der Katalog soll eine vergleichbare Prüfung ermöglichen.

Damit schafft die Behörde Transparenz darüber, was aus ihrer Sicht ein Verantwortlicher für den Datenschutz unternehmen muss, wenn er die DSGVO korrekt anwenden will.

Fragen mit Erläuterungen

Das Dokument beginnt stets mit der offiziellen Fragestellung, die die Behörde an das Unternehmen richtet.

Darunter werden dann in Form von weiteren Einzelfragen die Beurteilungskriterien der Behörde deutlich.

So wird in Frage 2 etwa erhoben, wie ein Unternehmen das Verzeichnis der Verarbeitungstätigkeiten pflegt. Zudem soll zur Erläuterung auch ein Muster übermittelt werden.

Im Kriterienkatalog wird danach ersichtlich, worauf die Behörde bei der Antwort der verantwortlichen Stelle achtet.

Dabei geht es einerseits um Formalien, wie die Angabe der Kontaktdaten des Verantwortlichen oder die Benennung des Verarbeitungszwecks.

Zum anderen will die Prüfung Transparenz und Verständnis kontrollieren. So achtet die LfD darauf, dass aus der Antwort und dem Muster hervorgehen muss, dass das Verzeichnis regelmäßig geprüft und aktualisiert wird.

Außerdem muss erkennbar sein, dass die Standardverfahren in Personalverwaltung, Lohnabrechnung oder Kundenverwaltung dokumentiert wurden.

Blaupause für eigenes Unternehmen

Dank der Erläuterungen bzw. der ergänzenden Fragen ist das Dokument eine kostenlose Vorlage, nach der ein Unternehmen seine eigenen Bemühungen um den Datenschutz ausrichten kann. Etwa wenn es um die Darlegung der Plausibilität der genannten Rechtsgrundlagen einer Datenverarbeitung geht.

Besonders hilfreich dürften die Erläuterungen in Hinblick auf den technischen Datenschutz sein, da hier einmal die Auffassung einer Behörde konkreter wird.

An dieser Stelle müssen Unternehmen etwa zeigen, dass ihnen bewusst ist, dass sie die Maßnahmen kontinuierlich anpassen und verbessern müssen.

So wird deutlich, dass marktgängige Techniken anzuwenden sind, die einen hohen Sicherheitsstandard aufweisen, selbst wenn sie sich in der Praxis noch nicht allgemein durchgesetzt haben.

Laden Sie sich hier den Fragenkatalog herunter (PDF-Datei).

Stephan Lamprecht

Stephan Lamprecht
Verfasst von
DP
Stephan Lamprecht
Stephan Lamprecht ist Tech-Autor und Journalist. Er hat sich auf die Fahnen geschrieben, komplizierte Dinge einfach zu erklären. Kontakt:
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.