Datenschutzaudit

Veröffentlicht am Veröffentlicht in Datenschutz, Dienstleistungen

Die am 24. 5. 2016 in Kraft getretene und ab dem 25. 5. 2018 anwendbare DS-GVO enthält keine spezifischen Vorgaben zu Datenschutzaudits. Jedoch werden sich einzelne Vorgaben der DS-GVO, wie etwa detaillierte Regelungen zur Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) oder auch die Anforderungen des Art. 32 DS-GVOan die Sicherheit der Verarbeitung, gezwungener Maßen in dem Prüfkatalog eines Datenschutzaudits unter Geltung der DS-GVO wiederfinden müssen.

National wurde zwar bereits seit 1997 über eine gesetzliche Regelung zum Datenschutzaudit diskutiert, aber erst mit der Novellierung des Datenschutzrechts im Jahre 2001 wurde das Datenschutzaudit tatsächlich in das Gesetz aufgenommen (§ 9a BDSGa.F.). Die Vorschrift stellt das Ergebnis einer eigenen Entwicklung des deutschen Datenschutzrechts dar und findet keine direkte Grundlage in der DSRL. Das Datenschutzaudit konnte aber als Teil der Selbstregulierung (Art. 27DSRL) verstanden werden (Simitis/Scholz,BDSG, § 9a Rn. 12).

§ 9a S. 1 BDSG a.F. gab den generellen Rahmen einer Prüfung von Datenschutzkonzepten von Produkten oder auch Prozessen vor. Stets zu beachten ist die festgelegte Aufgabe eines Audits, nämlich „die Verbesserung des Datenschutzes und der Datensicherheit“. Prüfgegenstand eines Datenschutzaudits stellten nach § 9a S. 1 BDSGa.F. das Datenschutzkonzeptsowie die technischen Einrichtungen des Anbietersvon Datenverarbeitungssystemen und datenverarbeitender Stellen dar. Angesprochen ist damit zugleich eine wichtige systematische Unterscheidung: Unter den weiten Begriff des „Datenschutzaudits“ lassen sich grundsätzlich sowohl die Prüfung von Produkten (also etwa von Software oder Hardware) als auch die den Datenverarbeitungsprozessen zugrundeliegenden Verfahren und Managementsystemen verstehen. Teilweise spricht man in Bezug auf Produkte von Produktaudit oder Gütesiegel und in Bezug auf Verfahren oder Prozesse von Verfahrensaudit (Däubler/Klebe/Wedde/Weichert/Weichert,BDSG, § 9a Rn. 10).

Ein besonderes Gesetz, nach dem die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter geregelt werden sollten (§ 9a S. 2 BDSGa.F.) wurde nie verabschiedet (siehe den Gesetzesentwurf BT-Drs. 16/12011). Aufgrund des Fehlens einer bundesgesetzlichen Regelung sind vor allem private Anbieter dazu übergegangen, datenschutzrechtliche Zertifizierungsverfahren für Unternehmen anzubieten.

In einigen Landesdatenschutzgesetzen fanden sich dem § 9a BDSGa.F. entsprechende gesetzliche Vorgaben, welche die Möglichkeit der Einführung von Regelungen zu Datenschutzaudits für Landesbehörden vorsehen (so etwa in § 10aDSG-NRW oder § 7b BremDSG). In Schleswig-Holstein wurde etwa zwischen der Erteilung

Datenschutzgütesiegels für IT-Produkte (§ 4 Abs. 2 LDSGSH) und der Prüfung und Beurteilung von technischen und organisatorischen Maßnahmen bei der Verarbeitung personenbezogener Daten sowie der datenschutzrechtlichen Zulässigkeit der Datenverarbeitung (§ 43 Abs. 2 LDSGSH) unterschieden. Inwiefern diese Landesregelungen die Anwendbarkeit der DS-GVO überdauern, ist fraglich. Aufgrund der unmittelbaren Geltung der DS-GVO (vgl. Art. 288 AEUV) und des Anwendungsvorrangs von europäischem vor nationalem Recht (vgl. EuGH, Urt. v. 15. 7. 1964 – C-6/64), auch gegenüber den Landesdatenschutzgesetzen, ist davon auszugehen, dass nationale Regelungen zum Datenschutzaudit verschwinden werden. Eine ausdrückliche Öffnungsklausel in der DS-GVO, die es dem nationalen Gesetzgeber gestatten würde im Bundes- oder Landesrecht eigene Regelungen zur Zertifizierung aufzustellen, fehlt.

Im Bereich der Privatwirtschafthat sich in den letzten Jahren eine größere Anzahl an verschiedenen Verfahren zur Prüfung und Zertifizierung sowohl von Produktenals auch von Datenschutzverfahrenund Datenschutzmanagementsystemenentwickelt.

Auf europäischer Ebene existiert das Gütesiegel „EuroPriSe – European Privacy Seal“, welches für IT-Produkte und IT-Dienstleistungen von der EuroPriSe GmbH vergeben wird. Dabei wird in dem zugrundeliegenden Prüfverfahren die Konformität mit europäischem Datenschutzrecht (seit kurzem auch mit der DS-GVO) untersucht.

Vor allem private Anbieter von Zertifizierungsverfahren bieten nicht nur die Prüfung eines bestimmten Produkts, sondern von ganzen Verfahren und Managementsystemen an. Dabei ist häufig zu beobachten, dass private Anbieter ihre Prüfstandards nicht offenbaren, so dass der konkrete Prüfumfang und die Prüftiefe für Dritte kaum nachvollziehbar sind. Eine positive Ausnahme stellt der Prüfkatalog der EuroPriSe GmbH zur Konformität von IT-Produkten und IT-Dienstleistungen mit der DS-GVO dar (abrufbar unter https://www.european-privacy-seal.eu/).

Aufgrund dieser Entwicklung, hin zu privaten Anbietern von Zertifizierungsverfahren, hat sich der Düsseldorfer Kreis(als Zusammenschluss der deutschen Datenschutzbehörden für den nicht-öffentlichen Bereich) des Themas angenommen und im Februar 2014 den Beschluss „Modelle zur Vergabe von Prüfzertifikaten, die im Wege der Selbstregulierung entwickelt und durchgeführt werden“gefasst.

Nach Ansicht der Datenschutzbehörden leisten freiwillige Audits einen bedeutenden Beitrag für den Datenschutz, weil sie als aus eigenem Antrieb veranlasste Maßnahme die Chance in sich bergen, zu mehr Datenschutz in der Fläche zu gelangen. Dabei unterstützt der Düsseldorfer Kreis ausdrücklich die Bemühungen der Privatwirtschaft, Erfahrungen mit Zertifizierungen zu sammeln, die in eigener Verantwortung im Wege der Selbstregulierung auf der Grundlage von Standards erfolgen, welche durch die Aufsichtsbehörden befürwortet werden.

Zertifizierungsdienste anbietende Stellen müssen nach Auffassung der Datenschutzbehörden aber geeignete inhaltliche und organisatorische Vorkehrungen für derartige Verfahren mit dem Ziel treffen, eine sachgerechte und unabhängige Bewertung zu gewährleisten.

Zu diesen strukturellen Voraussetzungen gehören nach Ansicht des Düsseldorfer Kreises unter anderem: Prüffähige Standards, die von den Aufsichtsbehörden befürwortet werden, zu entwickeln, zu veröffentlichen und zur Nutzung für Dritte freizugeben; beim Zertifizierungsprozess zwischen verschiedenen Ebenen zu unterscheiden (Prüfung, Zertifizierung, Akkreditierung); Regelungen zur Vermeidung von Interessenkollisionen der an einem Zertifizierungsprozess Beteiligten zu treffen; Anforderungen an die Eignung als Prüfer festzulegen und diesen Personenkreis für Zertifizierungen zu qualifizieren; den geprüften Sachbereich so zu umschreiben, dass Bürger, Kunden die Reichweite der Prüfaussage ohne weiteres dem Zertifikat entnehmen können; Zertifikate zusammen mit den wesentlichen Ergebnissen der Prüfberichte zu veröffentlichen.

Die Fachverbände „Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.“ und „Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.“ haben im Jahr 2013 eine Datenschutzzertifizierung mit der anschließenden Ausgabe eines Siegels für die Auditierung der Auftragsdatenverarbeitungentwickelt. Grundlage der Auditierung ist der öffentlich zugängliche Datenschutzstandard „DS-BvD-GDD-01“. Der Standard gilt für alle Branchen und Dienstleistungen. Er beschreibt insbesondere, welche Anforderungen ein Auftragnehmer erfüllen muss. Die Zertifizierung geht in diesem Fall mit einer Auditierung des Datenschutzverfahrens und Datenschutzmanagements einher (es handelt sich also nicht um eine IT-produktbezogene Auditierung). Vor dem Hintergrund der Anwendbarkeit der DS-GVO ist die Überarbeitung des Datenschutzstandards „DS-BvD-GDD-01“ durch den GDD für das Jahr 2017 geplant. Die im Rahmen einer Prüfung auf Grundlage dieses Standards untersuchten Bereiche umfassen unter anderem das Input-Management, das Auftragsmanagement, das Datenschutzkonzept, das IT-Sicherheitskonzept und das Datenschutz-Managementsystem. Die Überprüfung selbst wird durch unabhängige akkreditierte Auditoren durchgeführt. Diese erstellen einen Prüfbericht, der von einer unabhängigen Zertifizierungsstelle geprüft und veröffentlicht wird. Dieses Auditverfahren wurde aufgrund des offenen Standards und der Unabhängigkeit der Auditoren und damit auch der Prüfung von dem Landesdatenschutzbeauftragten in Nordrhein-Westfalen befürwortet.

Das Konzept des Datenschutzaudits findet sowohl Fürsprecher als auch Kritiker. So wird etwa darauf verwiesen, dass Prüfungen durch unabhängige Gutachter gerade für kleinere Unternehmen mit erheblichen Kosten und Aufwendungen verbunden sein können (zuletzt Gola/Schomerus,BDSG, § 9a Rn. 5). Hervorgehoben wird dagegen etwa der positive Effekt eines freiwilligen Datenschutzaudits, der eine öffentlichkeitswirksame Imagepflege und die Eigenwerbung für Unternehmen zur Folge haben kann (Plath/Plath,1. Aufl., § 9aBDSG Rn. 2). Auch eine stärkere marktwirtschaftliche Effektivierung des Datenschutzes könnte die Folge sein (Bäumler,CR 2001, 795 (796)).

Wie schon die DSRL sieht auch die DS-GVO ein Datenschutzaudit nicht ausdrücklich vor. Allerdings enthält die DS-GVO weitreichende Selbstregulierungs- und Zertifizierungsmöglichkeiten, sodass sich jedenfalls die Zertifizierungskomponentedes bisherigen Audits nach § 9a BDSGin der DS-GVO wiederfindet und darüberhinausgehend ausgebaut wird.

Wichtig ist die Unterscheidung zwischen der Zertifizierung und dem Audit: Die Zertifizierung stellt die Folge eines zuvor durchgeführten Audits dar. Ein Audit (wie hier beschrieben) kann aber auch ohne anschließende Zertifizierung erfolgen. Zertifizierungen werden unter der DS-GVO eine wichtige Rolle für die Praxis spielen. Eine besondere Nähe besteht zwischen dem Datenschutzaudit und den Vorgaben zur Zertifizierung in Art. 42 DS-GVO. Nach Art. 42 Abs. 1 S. 1 DS-GVOsind die nationalen Gesetzgeber, die Aufsichtsbehörden, der Europäischen Datenschutzausschuss sowie die Europäische Kommission verpflichtet, die Einführung von Zertifizierungsverfahren und Datenschutzsiegeln sowie -prüfzeichen zu fördern. Die unter der DS-GVO für eine Zertifizierung in Betracht kommenden Gegenstände umfassen, wie auch bisher, Produkte und Dienstleistungen (Gola/Lepperhoff,DS-GVO, Art. 43 Rn. 9).

Hauptzweck der Zertifizierung in der DS-GVO ist, den Nachweis gegenüber Aufsichtsbehörden und Verantwortlichen über die Einhaltung der Vorschriften der DS-GVO bei Verarbeitungsvorgängen führen zu können (vgl. Art. 42 Abs. 1 S. 1 DS-GVO). Audits können also eine Erleichterung bei der Erfüllung der Nachweispflichtdes Art. 5 Abs. 2 DS-GVOsein (dazu Form. A.I.) Insbesondere für die Praxis im internationalen Datentransfer dürften die Vorgaben des Art. 42 Abs. 2 DS-GVOvon Relevanz sein, wonach Zertifizierungen zum Nachweis geeigneter Garantien im Rahmen der Übermittlung personenbezogener Daten an Drittländerdienen können. Darüber hinaus können einige durch die DS-GVO etablierte Nachweispflichten, etwa der Nachweis über die Einhaltung geeigneter technischer und organisatorischer Maßnahmen gem. Art. 24 Abs. 3 und Art. 32 Abs. 3 DS-GVOoder der Nachweis der Umsetzung des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen nach Art. 25 Abs. 3 DS-GVO, mittels Zertifizierung erfüllt werden. Dabei soll gem. Art. 42 Abs. 1 S. 2 DS-GVOden besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen Rechnung getragen werden. Die Zertifizierungen sollen sich, zumindest dem Grundgedanken nach, also nicht nur an Konzerne und große Unternehmen richten (Laue/Nink/Kremer,Das neue Datenschutzrecht in der betrieblichen Praxis, S. 263f.). Ob Zertifizierungsverfahren in der Praxis unter der DS-GVO tatsächlich auf die Bedürfnisse kleinerer Unternehmen zugeschnitten sein werden, muss sich jedoch zeigen. Potential für die Akzeptanz neuer, leicht umsetzbarer Zertifizierungsverfahren besteht in der Praxis sicherlich.

Nach richtiger Ansicht des Bayerischen Landesamtes für Datenschutzaufsicht, dient die Zertifizierung nach der DS-GVO zudem Kunden und Geschäftspartner eines Unternehmens, sich über die Einhaltung datenschutzrechtlicher Vorgabenvergewissern zu können (Arbeitspapier des BayLDA zur Zertifizierung – Art. 42 DS-GVO, https://www.lda.bayern.de/media/baylda_ds-gvo_2_certification.pdf). Die in Art. 42f. DS-GVOvorgesehenen Zertifizierungen helfen Verantwortlichen und Auftragsverarbeitern insbesondere, ihren Nachweispflichten nachzukommen (Gola/Lepperhoff,DS-GVO, Art. 43 Rn. 1). Ein durchgeführtes Audit, welches in der Erteilung eines Zertifikats mündet, bietet damit verschiedenen Stellen die Möglichkeit, schnell und effektiv eine rechtskonforme Verarbeitung bei einer Stelle prüfen zu lassen, ohne selbst zeit- und kostenintensive Prüfungen vornehmen zu müssen. Daneben muss auch auf die außenwirksame Bedeutung eines durchgeführten Audits und einer positiven Zertifizierung für datenverarbeitende Stellen hingewiesen werden. Gerade im B2C-Bereich kann der Nachweis eines Zertifikats Vertrauen bei Kunden schaffen.

DieArt. 42f. DS-GVOregeln die Anforderungen an das Verfahren für Datenschutzsiegel und -prüfzeichen sowie an die Akkreditierung von Zertifizierungsstellen. Konkrete inhaltliche Anforderungen an das Audit im Rahmen der Zertifizierung oder einen Prüfkatalog fehlen jedoch.

Die bisher wirkungslose Regelung des § 9a BDSG a.F.wird nach dem 25. 5. 2018 keinen Bestand haben (Kühling/Martini et al.,Die DS-GVO und das nationale Recht, 2016, S. 362f.). Allerdings ist mit Einführung der Art. 42f. DS-GVOzumindest eine Zertifizierung vorgesehen, die der Selbstregulierung von Unternehmen dienen soll (vgl. oben). In § 39 BDSGn.F. ist eine Regelung zur Erteilung der Befugnis, als Zertifizierungsstelle nach der DS-GVO tätig zu werden, vorgesehen. Die Befugnis wird durch die Deutsche Akkreditierungsstelle erteilt, muss aber in Einvernahme mit der zuständigen Aufsichtsbehörde erfolgen. Dies zeigt, dass der deutsche Gesetzgeber ein Interesse daran hat, die Regeln der DS-GVO zu Zertifizierungen national mit Leben zu füllen. In Zukunft werden die Zertifizierung und damit die ihr vorgelagerte Auditierung eine deutlich größere Rolle spielen als derzeit. Je nach konkreter Ausformung in der Praxis bieten die Regelungen der DS-GVO zudem das Potential, Zertifizierungen und Prüfzeichen zu attraktiven Alternativen (etwa im Fall von Datentransfers in Drittstaaten) für Unternehmen zu entwickeln und damit auch Datenschutzaudits weiter zu etablieren.

Der nachfolgende Fragenkatalog ermöglicht eine Basisauditierung von Unternehmen zur Feststellung des im Unternehmen bestehenden Datenschutzstandards. In den Anmerkungen werden jeweils Hinweise auf weitere vertiefende Prüfformulare in diesem Buch gegeben, die mit dem Basisaudit kombiniert werden können.

Nr.

Frage

Anm. Auditor

1

Unternehmen

 

1.1

Bitte legen Sie ein aktuelles Organigramm des Unternehmens oder der Unternehmensgruppe vor. 1

 

1.2

Benennen Sie sämtliche Standorte Ihres Unternehmens jeweils mit Angabe der wesentlichen am Standort stattfindenden Datenverarbeitungen (Stichworte). 2

 

1.3

Befinden sich Standorte des Unternehmens außerhalb der EU oder des Europäischen Wirtschaftsraumes („EWR“)?

 

1.4

Sofern es Standorte außerhalb der EU oder des EWR gibt, erfolgt mit diesen Standorten ein Austausch von Daten oder eine gemeinsame Nutzung von IT-Ressourcen? 3

 

1.5

Geben Sie die Anzahl der Mitarbeiter Ihres Unternehmens an, bei mehreren Standorten bitte auch pro Standort. Differenzieren Sie nach fest angestellten Mitarbeitern, Auszubildenden, Aushilfen, Praktikanten, Studenten etc. 4

 

1.6

Benennen Sie Produkte und Dienstleistungen Ihres Unternehmens und erläutern Sie diese stichwortartig. 5

 

1.7

Werden im Unternehmen – außerhalb der Personalabteilung – besondere Arten personenbezogener Daten (Art. 9 Abs. 1 DS-GVO) verarbeitet? 6

 

1.8

Werden im Unternehmen automatisierte Einzelfallenscheidungen mit unmittelbarer Wirkung für den Betroffenen getroffen? 7

 

1.9

Verarbeitet das Unternehmen (auch) personenbezogene Daten von Kindern? Falls ja, auf welcher Rechtsgrundlage erfolgt die Verarbeitung? 8

 

1.10

Besteht in Ihrem Unternehmen oder der Unternehmensgruppe ein Betriebsrat? 9

 

2

Datenschutzdokumentation

 

2.1

Bitte legen Sie das aktuelle Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DS-GVO) vor. 10

 

2.2

Falls das Verzeichnis von Verarbeitungstätigkeiten unvollständig ist oder nicht existiert, benennen Sie bitte die Abteilungen und Prozesse im Unternehmen, die mit personenbezogenen Daten umgehen. 11

 

2.3

Sofern konzernverbundene Unternehmen mit personenbezogenen Daten des Unternehmens umgehen, legen Sie bitte die entsprechenden Vereinbarungen nach Art. 28 DS-GVO vor oder benennen Sie die Rechtsgrundlage für die Übermittlung. 12

 

2.4

Legen Sie bitte eine Liste aller Dienstleister vor, die für Sie im Rahmen einer Auftragsverarbeitung tätig sind und fügen Sie die abgeschlossenen Verträge zur Auftragsverarbeitung bei. Vermerken Sie bitte – soweit bekannt – jeweils, wenn der Vertrag ganz oder teilweise auf Standardvertragsklauseln (Art. 28 Abs. 7, 8 DS-GVO) beruht, ob sich der Auftragsverarbeiter zur Einhaltung genehmigter Verhaltensregeln (Art. 40 DS-GVO) verpflichtet hat und/oder gem. Art. 42 DS-GVO zertifiziert ist. 13

 

2.5

Bitte legen Sie von den Auftragsverarbeitern bereitgestellte Unterlagen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DS-GVOvor. 14

 

2.6

Falls die Liste der Auftragsverarbeiter unvollständig ist oder nicht existiert, übergeben Sie dem Auditor bitte eine Liste der Unternehmen und Dienstleister, die für Sie Datenverarbeitungen vornehmen (inkl. Wartung von Datenverarbeitungsanlagen).

 

2.7

Wie wird im Unternehmen sichergestellt, dass die Mitarbeiter, die Zugang zu personenbezogenen Daten haben, diese nur nach Weisung des Verantwortlichen verarbeiten? 15

 

2.8

Verfügt das Unternehmen über ein Datenschutzmanagementsystem und wird dieses aktiv genutzt?16

 

2.9

Bestehen Zertifizierungen nach Art. 42 DS-GVO? 17

 

3

Datenschutzorganisation

 

3.1

Ist im Unternehmen ein Datenschutzbeauftragter („DSB“) bestellt? Falls ja, teilen Sie bitte die Kontaktdaten mit und machen Sie Angaben zur Qualifikation des DSB. 18

 

3.2

Falls kein DSB bestellt ist: Bitte legen Sie unter Berücksichtigung von Art. 37 DS-GVO und nationaler Regelungen zum Datenschutzbeauftragten dar, warum eine Bestellung nicht erforderlich ist. 19

 

3.3

Wenn ein DSB bestellt ist: Wie wird sichergestellt, dass er über neue Verfahren oder Änderungen bestehender Verfahren frühzeitig informiert wird? 20

 

3.4

Wie ist organisatorisch sichergestellt, dass vor jeder Verarbeitung von personenbezogenen Daten geprüft wird, ob die geplante Verarbeitung zulässig ist?

 

3.5

Besteht ein Prozess für die Durchführung und Dokumentation von Datenschutz-Folgenabschätzungen? 21

 

3.6

Wie ist im Unternehmen sichergestellt, dass die Informationspflichten gegenüber den Betroffenen vollständig und rechtzeitig erfüllt werden? 22

 

3.7

Wie werden im Unternehmen die Grundsätze des „Datenschutz durch Technikgestaltung“ (Privacy-by-design) und der „datenschutzfreundlichen Voreinstellungen“ (Privacy-by-default) umgesetzt? 23

 

3.8

Hat das Unternehmen ein Datenschutzkonzept? 24 Falls ja: Bitte vorlegen.

 

3.9

Gibt es im Unternehmen ein aktuelles Rollen- und Rechtekonzept? 25

 

3.10

Wer legt im Unternehmen fest, welche (Zugriffs-)Rechte Mitarbeiter bei Einstellungen oder Versetzungen erhalten und welche ggf. entzogen werden müssen?

 

3.11

Erfolgt die organisatorische Rechtebewilligung getrennt von der technischen Rechteeinräumung? Wie wird dokumentiert, welche Rechte ein User erhält?

 

3.12

Besteht ein standardisierter Prozess beim Ausscheiden von Mitarbeitern? 26

 

3.13

Ist die private Nutzung von Internetzugang, E-Mail-Postfach, dienstlichem Telefon und ggf. weiteren dienstlichen Geräten klar geregelt? Bitte Regelung vorlegen. 27

 

3.14

Wie wird bei einem bestehenden Verbot der privaten Nutzung von Internetzugang, E-Mail-Postfach, dienstlichem Telefon und weiteren dienstlichen Geräten die Einhaltung des Verbots kontrolliert? 28

 

3.15

Besteht ein Prozess zur Beauftragung externer Dienstleister, die mit personenbezogenen Daten umgehen? Bitte legen Sie eine Prozessbeschreibung vor.

 

3.16

Wer legt die Anforderungen an die technischen und organisatorischen Maßnahmen fest, die externe Dienstleister einzuhalten haben?

 

3.17

Existiert ein dokumentierter Prozess zum Umgang mit Auskunftsverlangen nach Art. 15 DS-GVO? Bitte legen Sie die Prozessbeschreibung vor. 29

 

3.18

Wie wird das Recht auf Datenübertragbarkeit vom Unternehmen sichergestellt? Besteht ein entsprechender Prozess? 30

 

3.19

Wie ist sichergestellt, dass Forderungen Betroffener nach Berichtigung, Löschung oder Einschränkung der Verarbeitung von personenbezogenen Daten geprüft und umgesetzt werden können? 31

 

3.20

Sofern personenbezogene Daten öffentlich gemacht wurden: Welche Prozesse sind implementiert, wenn Betroffene ihr Recht auf Vergessenwerden gelten machen? 32

 

3.21

Wie werden Widersprüche Betroffener gegen Datenverarbeitungen auf Grundlage einer Interessenabwägung vom Unternehmen geprüft und umgesetzt? 33

 

3.22

Wie ist die Einhaltung der gesetzlichen Archivierungs- und Löschungsfristen im Unternehmen sichergestellt?

 

3.23

Besteht ein Maßnahmenplan für den Fall, dass der Schutz personenbezogener Daten verletzt wird (Art. 33, 34 DS-GVO)? 34

 

3.24

Wie erfolgt die regelmäßige Unterrichtung der Beschäftigten zu Datenschutzthemen? Besteht ein Schulungsplan? 35

 

4

IT-Systeme

 

4.1

Bitte legen Sie eine Übersicht über die IT-Infrastruktur und alle Systeme vor, auf denen personenbezogene Daten verarbeitet werden.

 

4.2

Bitte benennen Sie, sofern nicht in 4.1 enthalten, die zentralen Standorte von Datenverarbeitungssystemen und deren Hauptaufgaben.

 

4.3

Werden die Standorte regelmäßig einer externen Prüfung unterzogen (z.B. ISO 27001, IT-Grundschutz, geprüftes Rechenzentrum)? Bitte legen Sie die jeweils aktuellen Prüfberichte vor. 36

 

4.4

Unterziehen Sie Systeme regelmäßigen Sicherheitsüberprüfungen (z.B. Penetration-Tests oder Security Audit Trails)? Bitte legen Sie aktuelle Prüfberichte oder Logs vor.

 

4.5

Setzen Sie eine zentrale Unternehmenssoftware (ERP-System) ein? Falls ja, welche?37

 

4.6

Sofern Sie eine ERP-Software einsetzen, wird diese auf eigenen Systemen (intern oder Housing), auf fremden Systemen (Hosting) oder als SaaS-Lösung betrieben? 38

 

4.7

Besteht ein externer Zugriff auf einzelne oder alle Systeme im Netzwerk (z.B. für Home Office, E-Mail-Abruf oder Fernwartung)? Bitte listen Sie auf, welche Nutzergruppen auf welche Systeme Zugriff haben und wie dieser Zugriff abgesichert wird. 39

 

4.8

Können Mitarbeiter auf Ihren Clients, Laptops oder Tablets eigenständig Software installieren? 40

 

4.9

Werden die Festplatten/Speichereinheiten mobiler Geräte verschlüsselt? 41

 

4.10

Setzen Sie ein Mobile Device Management ein? 42 Falls ja, welches?

 

4.11

Nutzt das Unternehmen oder nutzen Mitarbeiter und Abteilungen Cloud-Speicherdienste wie Google Drive, Dropbox oder Microsoft OneDrive? 43

 

4.12

Nutzt das Unternehmen Cloud-Services wie Salesforce (CRM), Datapine (Data Analytics) oder ähnliche Dienste? 44

 

4.13

Besteht ein IT-Sicherheitskonzept? 45 Bitte legen Sie dieses vor.

 

Anmerkungen

1.Organigramm.Anhand des Organigramms kann der Auditor sich einen ersten Überblick über das Unternehmen, die Abteilungen und die verantwortlichen Personen verschaffen. Bei der Prüfung des Verzeichnisses der Verarbeitungstätigkeiten kann abgeglichen werden, ob die Verantwortlichkeiten richtig benannt sind und der Auditor wird in die Lage versetzt, zielgerichtet Fragen an die verantwortlichen Personen zu stellen.

2.Standorte.Die Frage nach Unternehmensstandorten ermöglicht dem Auditor eine Orientierung, ob regelmäßig oder dauerhaft Datenaustausch zwischen Standorten erfolgt. Bei verschiedenen Standorten ist z.B. im Rahmen der Prüfung der technischen und organisatorischen Maßnahmen insbesondere zu beachten, ob diese an den verschiedenen Standorten unterschiedlich ist. Häufig bestehen mindestens beim Zugang zu Gebäuden und Datenverarbeitungsanlagen Unterschiede. Ein Datenaustausch zwischen verschiedenen Standorten eines Unternehmens führt regelmäßig auch dazu, dass der Auditor besonderes Augenmerk auf die Sicherheit des Datenaustausches zwischen den Standorten richten muss (Art. 32 DS-GVO). Handelt es sich bei den verschiedenen Standorten sogar um unterschiedliche Unternehmen, so sind die Anforderungen an eine rechtmäßige Übermittlung zu erfüllen oder es bedarf entsprechender Vereinbarungen zur Auftragsverarbeitung (Art. 28 DS-GVO), dazu Form. G.I.

3.Drittstaaten.Erfolgt ein Datenaustausch mit Konzerngesellschaften in einem Drittland, muss jeweils die Rechtsgrundlage dafür gesondert geprüft werden (z.B. Einwilligung, EU-Standardvertragsklauseln, EU-US Privacy Shield oder verbindliche interne Datenschutzvorschriften nach Art. 47 DS-GVO), dazu Form. G.VII.

4.Größe der Standorte.In der Regel hat die Größe eines Standortes datenschutzrechtlich keine Auswirkung, für den Auditor ist sie vor allem bei kleinen Standorten, in denen einzelne Personen möglicherweise mehrere Funktionen ausüben und daher ggf. auch mit umfassenden Rechten ausgestattet sind, von Bedeutung, da er hier ggf. konkret prüfen muss, wie Vier-Augen-Prozesse und innerbetriebliche Kontrollen ausgestaltet sind.

5.Produkte und Dienstleistungen.In gut strukturierten Unternehmen sollte die Frage unnötig sein, da sich alle Datenverarbeitungen unmittelbar aus dem Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DS-GVO) ergeben sollten. Häufig ist dies jedoch nicht der Fall, so dass die Abfrage von Produkten und Dienstleistungen im Freitext dem Auditor regelmäßig wichtige Hinweise auf datenschutzrechtlich relevante Vorgänge gibt.

6.Besondere Kategorien personenbezogener Daten.In der Personalabteilung fallen regelmäßig Angaben zur Gewerkschaftszugehörigkeit oder der Gesundheit an. Für den Auditor ist es wichtig zu wissen, ob außerhalb der Personalabteilung ebenfalls mit besonderen Kategorien personenbezogener Daten umgegangen wird. Die Verarbeitung solcher Daten setzt voraus, dass eine Einwilligung des Betroffenen vorliegt oder einer der aufgeführten Ausnahmetatbestände des Art. 9 Abs. 2–4 DS-GVOvorliegt. Zudem gelten diese Daten als besonders sensibel und bedürfen eines besonderen Schutzes (ErwG 51 DS-GVO), was der Auditor bei seiner Bewertung entsprechend berücksichtigen muss.

7.Automatisierte Einzelfallentscheidungen.Die zunehmende Automatisierung in Unternehmen führ dazu, dass auch immer mehr Entscheidungen in Unternehmen durch – entsprechend parametrisierte – Software getroffen werden. Schon Art. 15DSRL (umgesetzt in § 6a BDSGa.F.) kannte ein grundsätzliches Verbot der automatisierten Einzelfassentscheidungen, wie es nun in Art. 22 DS-GVOgeregelt ist. Unternehmen müssen daher prüfen, an welchen Stellen automatisierte Entscheidungen getroffen werden und ob jeweils ein Ausnahmetatbestand nach Art. 22 Abs. 2 DS-GVOgreift. Dies ist zu dokumentieren, um der generellen Nachweispflicht nach Art. 24 Abs. 1 DS-GVOzu genügen. Art. 22 DS-GVOgreift jedoch nur, wenn Entscheidungen ausschließlich automatisiert getroffen werden, nicht, wenn Entscheidungen lediglich automatisiert vorbereitet werden (Roßnagel/Nebel/Richter,ZD 2016, 455 (459); Plath/Kamlah,BDSG/DS-GVO, Art. 22 Rn. 6).

8.Daten von Kindern.Werden im Unternehmen (auch) Daten von Kindern verarbeitet, greifen besondere Regeln zum Schutz der Betroffenen. So muss die Information der Betroffenen in einfacher, für Kinder verständlicher Sprache erfolgen (Art. 12 Abs. 1 DS-GVOi.V.m. ErwG 58 S. 4). Einwilligungen unterliegen außerdem den besonderen Anforderungen des Art. 8 DS-GVO.

9.Betriebsrat.Wenn im Unternehmen ein Betriebsrat (§ 87 BetrVG) besteht, können viele datenschutzrechtlich relevante Regelungen im Rahmen einer Betriebsvereinbarung getroffen werden (Wybitul/Sörup/Pötters,ZD 2015, 559). Dies betrifft insbesondere Vereinbarungen zum Einsatz von IT im Unternehmen generell, zur Regelung der privaten Nutzung von Internet und E-Mail (Form. D.III.1.), zum Umgang mit privaten Endgeräten im Unternehmen (Form. D.III.4.), zur Heimarbeit ( D.III.2.) und zu betrieblichen Eingliederungsmaßnahmen (BEM).

10.Verzeichnis der Verarbeitungstätigkeiten.Das Verzeichnis der Verarbeitungstätigkeiten („VV“) ermöglicht es dem Auditor, sich über die im Unternehmen durchgeführten Verarbeitungen zu informieren. Er hat die Möglichkeit, das VV mit seinen Erkenntnissen und Erwartungen aus dem Organigramm (1.1) und der Beschreibung der Produkte und Dienstleistungen (1.6) abzugleichen und ggf. Unstimmigkeiten aufzudecken. Zudem ermöglicht das VV dem Auditor die Schwerpunktsetzung bei der Prüfung. Ausführlich zum VV Form. C.II.

11.Unvollständiges/fehlendes Verzeichnis der Verarbeitungstätigkeiten.Ein Verstoß gegen die Pflicht zur Führung eines VV kann nach Art. 83 Abs. 4 lit. a DS-GVOmit einer Geldbuße von bis zu 10 Millionen EUR geahndet werden. Unter der Geltung des BDSG a.F. waren lediglich Bußgelder bis zu 25.000 EUR möglich; war ein DSB bestellt, konnte gar kein Bußgeld verhängt werden.

Der Auditor sieht sich häufig mit einer Situation konfrontiert, in der das VV vollständig fehlt oder wesentliche Verarbeitungen nicht aufgenommen sind. Systematisch wäre es eigentlich richtig, Recherchen zu nicht dokumentierten Verfahren jeweils bei dem für den Prozess verantwortlichen Mitarbeiter zu beginnen. In der Praxis hilft es jedoch meist, Verarbeitungsprozesse gemeinsam mit der IT-Abteilung zu recherchieren, da hier in aller Regel eine gute Kenntnis der Systeme, Programme und Schnittstellen vorhanden ist und dadurch (Auftrags-)Verarbeitungen identifiziert werden können, von denen der formal verantwortliche Mitarbeiter mitunter gar keine Kenntnis hat.

12.Datenverarbeitung im Konzern.Häufig fehlt es innerhalb des Konzernverbundes an entsprechenden Regelungen, obwohl auch die DS-GVO kein generelles Konzernprivileg kennt. ErwG 48 DS-GVO führt zwar aus, dass innerhalb einer Unternehmensgruppe ein berechtigtes Interesse für konzerninterne Datenübermittlungen bestehen kann, gleichwohl muss ein solches berechtigtes Interesse zunächst positiv festgestellt und dokumentiert werden. Sie müssen dem Betroffenen mitgeteilt werden (Art. 13 Abs. 1 lit. d DS-GVO). Kann ein berechtigtes Interesse festgestellt werden, so ist ferner zu prüfen, ob nicht Interessen, Grundrechte oder Grundfreiheiten des Betroffenen überwiegen (Art. 6 Abs. 1 lit. f).

Alternativ können innerhalb des Konzerns auch Verträge zur Auftragsverarbeitung geschlossen werden. Sofern kein Vertrag zur Auftragsverarbeitung geschlossen wurde, sollte schriftlich niedergelegt sein, auf welcher Rechtsgrundlage die Verarbeitung stattfindet. Dabei sollte jeweils auch die Interessenabwägung dokumentiert werden. Erfolgt die Verarbeitung aufgrund einer Einwilligung ist insbesondere bei Beschäftigten zu prüfen, ob die Einwilligung freiwillig erteilt wurde (BAG, Urt. v. 11. 12. 2014 – 8 AZR 1010/13, NJW 2015, 2140).

13.Auftragsverarbeitung.Die DS-GVO schreibt keine listenmäßige Erfassung aller Auftragsverarbeitungen vor, allerdings erscheint es mehr als zweckmäßig, eine solche Liste zu führen, zumal Auftragsverarbeiter Empfänger i.S.d. Art. 4 Nr. 9 DS-GVOsind und daher auch im VV geführt werden müssen. Die einzelnen Auftragsverarbeitungen sind sowohl hinsichtlich des von Art. 28 DS-GVOvorgeschriebenen Mindestinhalts zu prüfen als auch hinsichtlich der technischen und organisatorischen Maßnahmen (dazu Form. G.I.).

14.Kontrolle der Auftragsverarbeiter.Anders als § 11 BDSGa.F. und Art. 17 Abs. 2 DSRL enthält die DS-GVOkeine ausdrückliche Pflicht mehr für den Verantwortlichen, sich regelmäßig von der Einhaltung der technischen und organisatorischen Maßnahmen durch den Auftragsverarbeiter zu überzeugen und das Ergebnis zu dokumentieren. Gleichwohl verpflichtet Art. 32 Abs. 1 lit. d DS-GVOsowohl den Verantwortlichen als auch den Auftragsverarbeiter zur regelmäßigen Überprüfung, Bewertung und Evaluation der Wirksamkeit der technischen und organisatorischen Maßnahmen. Art. 28 Abs. 2 lit. h DS-GVOstellt wiederum klar, dass der Auftragsverarbeiter Nachweise zu liefern und Überprüfungen zu ermöglichen und zu unterstützen hat. Es empfiehlt sich, in der Liste der Auftragsverarbeiter jeweils zu vermerken, wann eine Kontrolle durchgeführt wurde, wo das Prüfprotokoll abgelegt ist und wann die nächste Prüfung geplant ist.

15.Verpflichtung der Mitarbeiter.Art. 29 DS-GVOschreibt vor, dass Personen, die dem Verantwortlichen oder dem Auftragsverarbeiter unterstellt sind, personenbezogene Daten ausschließlich nach deren Weisung verarbeiten dürfen. Während § 5 BDSGa.F. noch vorsah, dass die Mitarbeiter gesondert schriftlich auf das Datengeheimnis verpflichtet werden müssen, enthält die DS-GVO für den Verantwortlichen eine vergleichbare Pflicht jedenfalls nicht ausdrücklich. Allerdings trifft den Verantwortlichen nach Art. 24 Abs. 1 DS-GVOeine generelle Nachweispflicht zur Einhaltung der Vorgaben der DS-GVO und Art. 32 Abs. 4 DS-GVOverlangt, dass der Verantwortliche sicherstellt, dass die von ihm eingesetzten Mitarbeiter personenbezogene Daten nur nach Anweisung verarbeiten. Neben technischen Maßnahmen wie einem Berechtigungskonzept kann dies auch durch organisatorische Maßnahmen wie einer gesonderten schriftlichen Verpflichtung erreicht werden.

Anders als der Verantwortliche ist allerdings der Auftragsverarbeiter nach Art. 28 Abs. 3 lit. b DS-GVOverpflichtet, alle Mitarbeiter, die keiner gesetzlichen Verschwiegenheitspflicht unterliegen, gesondert auf die Vertraulichkeit zu verpflichten. Ein Grund für diese unterschiedliche Regelung ist nicht erkennbar und muss als redaktionelles Versehen angesehen werden (Ehmann/Selmayr/Bertermann,DS-GVO, Art. 29 Rn. 4).

Die gesonderte schriftliche Verpflichtung der Mitarbeiter auf Vertraulichkeit ist nach der DS-GVO also nur für Auftragsverarbeiter ausdrücklich geregelt, stellt aber auch für Verantwortliche eine einfache und wirksame Maßnahme zur Sicherstellung und zum Nachweis der anweisungskonformen Datenverarbeitung dar und ist daher stets anzuraten. Ein Muster dafür bietet Form. C.VII.

16.Datenschutzmanagementsystem.Nach Art. 5 Abs. 2 DS-GVOist der Verantwortliche verpflichtet, die Einhaltung der Vorgaben von Art. 5 Abs. 1 DS-GVOnachweisen zu können („Rechenschaftspflicht“ oder „Accountability“) (dazu Form. A.I.). Auch Art. 24 Abs. 1 DS-GVOverpflichtet den Verantwortlichen, die Einhaltung der Vorgaben der DS-GVO nachweisen zu können. Konkrete Vorgaben an die Art des Nachweises stellt die DS-GVO nicht. ErwG 77 verweist auf Leitlinien des Ausschusses und Hinweise des Datenschutzbeauftragten. Daneben nennt die DS-GVO die Einhaltung genehmigter Verhaltensregeln und genehmigter Zertifizierungsverfahren (dazu Ziff.15) nach Art. 24 Abs. 3 DS-GVOals Möglichkeit des Nachweises. Besondere Bedeutung kommt daher auch betrieblichen Datenschutzmanagementsystemen zu (Lepperhoff,RDV 2016, 197, 198; Wichertmann,ZD 2016, 421 (422)), anhand derer der Nachweis einer funktionalen Datenschutzorganisation geführt werden kann.

17.Datenschutzzertifizierungen.Die DS-GVO führt europaweit die Möglichkeit der Zertifizierung ein (dazu Form. C.IV.; Ehmann/Selmayr/Schweinoch/Will,DS-GVO, Vorb. Kap. IV Abschn. 5 Rn. 1). Eine Zertifizierung ersetzt nicht die Prüfung durch die Aufsichtsbehörde und mindert auch nicht die Verantwortung des Verantwortlichen oder des Auftragsverarbeiters, sie kann aber Teil des vom Verantwortlichen oder dem Auftragsverarbeiter zu führenden Nachweises der Einhaltung der Vorgaben der DS-GVO sein.

18.Datenschutzbeauftragter.Empfehlenswert ist die schriftliche Bestellung des Datenschutzbeauftragten etwa nach dem Formular Form. B.I.1. oder – bei externen Datenschutzbeauftragten – durch den Mustervertrag Form. B.II.1. Anders als § 4f BDSGa.F. enthält Art. 37 DS-GVOkeine Formvorgabe mehr für die Bestellung. Ist der DSB auch in anderer Funktion für das Unternehmen tätig, muss der Verantwortliche sicherstellen, dass der DSB durch seine Tätigkeit nicht in einen Interessenskonflikt gerät (Art. 38 Abs. 6 DS-GVO). Konkrete Vorgaben zur fachlichen Qualifikation macht die DS-GVO nicht, verweist lediglich darauf, dass er fachlich in der Lage sein muss, die Aufgaben nach Art. 39 DS-GVOzu erfüllen. Dies wird regelmäßig aktuelle Kenntnisse des europäischen und des deutschen Datenschutzrechts, technischem und organisatorischem Verständnis von Verarbeitungsvorgängen, Erfahrungen im Datenschutzmanagement und Kenntnisse des Risikomanagements voraussetzen (Klug,ZD 2016, 315).

19.Bestellpflicht für den Datenschutzbeauftragten.Anders als § 4f BDSGa.F. knüpft Art. 37 DS-GVOdie Pflicht zur Bestellung eines DSB nicht mehr an die Zahl der Personen, die mit der Verarbeitung personenbezogener Daten befasst sind, sondern macht sie von der Kerntätigkeit des Unternehmens abhängig (Klug,ZD 2016, 315). Eine Bestellpflicht besteht für Unternehmen nur dann, wenn die Kerntätigkeit des Unternehmens in der Verarbeitung von personenbezogenen Daten besteht, diese Tätigkeit umfangreich ist und entweder eine regelmäßige und systematische Überwachung von Betroffenen erfordert oder die Verarbeitung besonderer Kategorien personenbezogener Daten umfasst (Art. 37 Abs. 1 lit. b, c DS-GVO). Die Anforderungen der DS-GVO sind leider wenig präzise und erlauben einen weiten Interpretationsspielraum. Adressaten der Regelung dürften von allem Betreiber sozialer Netzwerke, Marketingdienstleister (z.B. beim Ad-Targeting), Auskunfteien, Krankenhäuser und Medizindienstleister sowie IT- und TK-Dienstleister (vgl. auch Klug,ZD 2016, 315) sein. Art. 37 Abs. 4 Hs. 2 DS-GVOenthält eine Öffnungsklausel, die den Mitgliedstaaten eigene Regelungen zur Bestellpflicht ermöglichen. In Deutschland bleibt es nach § 38 Abs. 1 BDSGn.F. bei der regelmäßigen Bestellpflicht für Unternehmen, in denen mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind.

20.Informationsfluss an den Datenschutzbeauftragten.Es ist sicherzustellen, dass der DSB in alle Prozesse eingebunden ist, bei denen personenbezogene Daten verarbeitet werden können. Zweckmäßig ist es, wenn der DSB generell in Freigabeprozesse eingebunden wird. Um über Entwicklungen im Unternehmen auf dem Laufenden zu bleiben bieten sich außerdem Jour Fixe mit den relevanten Abteilungen an (z.B. IT oder Personal).

21.Datenschutz-Folgenabschätzung.Sofern eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen hat schreibt Art. 35 DS-GVOdie Durchführung einer Datenschutz-Folgenabschätzung („DSFA“) vor. Im Unternehmen muss daher ein Prozess vorhanden sein, der für neue Verarbeitungen prüft, ob eine DSFA durchgeführt werden muss (ausführlich Form. C.III.). Die Aufsichtsbehörden können im Wege des Kohärenzverfahrens Listen von Verarbeitungen erstellen, für die eine DSFA erforderlich oder nicht erforderlich sind (Art. 35 Abs. 4, 5 DS-GVO). Sofern für eine Verarbeitung die Durchführung einer DSFA erforderlich ist, muss sichergestellt sein, dass die Mindestanforderungen nach Art. 35 Abs. 7 DS-GVOeingehalten werden.

22.Umsetzung von Informationspflichten.Art. 13, 14 DS-GVOregeln umfassende Informationspflichten, die der Verantwortliche gegenüber den Betroffenen erfüllen muss (dazu Walter,DSRITB 2016, S. 367). Im Unternehmen muss daher sichergestellt sein, dass die Betroffenen rechtzeitig und im erforderlichen Umfang informiert werden. Es bietet sich an, das Verzeichnis der Verarbeitungstätigkeiten intern um die Rubrik „Erfüllung der Informationspflichten“ zu erweitern.

23.Privacy-by-design/Privacy-by-default.Das BDSG a.F. hat in §§ 3a, 9 BDSGa.F. bereits die Grundsätze der Datenminimierung und des Datenschutzes durch Technikgestaltung angelegt, inArt. 25 DS-GVOwerden beide Grundsätze nun individuell geregelt (Plath/Plath,BDSG/DS-GVO, Art. 25 Rn. 4ff.). Dabei müssen Unternehmen bereits bei der Gestaltung von Verarbeitungen datenschutzrechtliche Anforderungen berücksichtigen. Insbesondere bei der technischen Gestaltung von Verarbeitungen ist der jeweilige Stand der Technik zu berücksichtigen und die Entscheidung für oder gegen den Einsatz einer datenschutzfreundlichen Gestaltung muss dokumentiert werden, um ggf. den Nachweis nach Art. 24 Abs. 1 DS-GVOerbringen zu können (dazu Form. C.V.5.).

24.Datenschutzkonzept.Der Begriff „Datenschutzkonzept“ ist gesetzlich nicht definiert. Eine Pflicht zur Erstellung eines Datenschutzkonzeptes enthalten weder das BDSG noch die DS-GVO. Nach der Definition in den IT-Grundschutz-Katalogen des BSI hat das Datenschutzkonzept das Ziel, alle datenschutzrechtlichen Aspekte im Unternehmen abzubilden (BSI, IT-Grundschutz-Kataloge, M 2.503). Es geht damit über die Ist-Beschreibung des Verzeichnisses der Verarbeitungstätigkeiten hinaus und legt z.B. risikobasiert den Schutzbedarf für Daten fest und macht Vorgaben zum Umsetzung datenschutzrechtlicher Grundsätze wie z.B. des Grundsatzes der Datensparsamkeit. Insofern ist ein Datenschutzkonzept gut geeignet, überblicksartig die nach Art. 32 DS-GVOvorgeschriebenen Maßnahmen zur Sicherheit der Verarbeitung zu dokumentieren.

25.Rollen- und Rechtekonzept.Gerade bei komplexen IT-Systemen bedarf es einer strukturierten Vergabe von Rechten für die einzelnen Mitarbeiter, so dass sichergestellt ist, dass die Mitarbeiter Zugriff auf die für Ihre Tätigkeit benötigten Daten erhalten, gleichzeitig aber ebenfalls Sorge dafür getragen ist, dass kein Zugriff auf Daten besteht, die für die eigene Tätigkeit nicht benötigt werden (dazu Form. E.IV.).

26.Ausscheiden von Mitarbeitern.Ein solcher Prozess sollte mindestens beinhalten: Rückgabe von datenspeichernden Geräten (Smartphone, Laptop etc.), Löschung gespeicherter Daten auf Privatgeräten (z.B. E-Mails, Dokumente etc.), Sperrung von Zugangskennungen und Magnetkarten, ggf. Rückgabe von Token, ggf. Sperrung dienstlicher SIM-Karte, ggf. Meldung an Externe über das Ausscheiden, Übergabe Datenbestände an Nachfolger/Vertreter, Regelung für Sperrung oder Auto-Responder für betriebliches E-Mail-Postfach, Zugang für Nachfolger/Vertreter zum dienstlichen E-Mail-Postfach (BSI, IT-Grundschutz-Kataloge, M 3.6).

27.Datenschutzrichtlinien.Die private Nutzung dienstlicher Endgeräte (z.B. des Smartphones für das Abspielen privater Musik oder zur Herstellung von privaten Fotos) sowie die private Nutzung des dienstlichen Internetzugangs und des dienstlichen E-Mail-Kontos bedürfen konkreter und klarer Regelungen. Gleiches gilt für die dienstliche Nutzung privater Geräte und E-Mail-Konten. Die Vermischung dienstlicher und privater Kommunikation und Mediennutzung stellt für Unternehmen eine große Herausforderung dar. Beispiele für übliche Richtlinien sind unter  D.III. abgedruckt.

28.Kontrolle der Einhaltung von Richtlinien.Wichtig ist, dass aufgestellte Richtlinien vom Unternehmen verbindlich gemacht werden und ihre Einhaltung kontrolliert wird. Spätestens, wenn dem Unternehmen Hinweise auf die Missachtung oder Umgehung von Richtlinien bekannt werden, sollte dringend kontrolliert werden. Duldet das Unternehmen dauerhaft Verstöße gegen bestehende Richtlinien, kann dies dazu führen, dass Richtlinien von den Mitarbeitern nicht mehr als verbindlich angesehen werden.

29.Prozess zur Auskunftserteilung.Mustervorlagen zur Beantwortung von Auskunftsverlangen von Betroffenen und von Behörden finden sich unter Form. F.II. Der entsprechende Prozess hat sicherzustellen, dass entsprechende Anfragen unverzüglich dem für das zu beauskunftende Verfahren zuständigen Mitarbeiter und dem Datenschutzbeauftragten vorgelegt werden, damit eine zügige Bearbeitung der Anfragen möglich ist.

30.Prozess zur Gewährleistung der Datenübertragbarkeit.Betroffene haben nach Art. 20 DS-GVOdas Recht, Daten von dem Verantwortlichen in einem strukturierten, gängigen und maschinenlesbaren Format bereitgestellt zu bekommen. Voraussetzung des Anspruches ist im Kern, dass der Betroffene die Daten selbst bereitgestellt hat und dass die Verarbeitung automatisiert auf Grundlage einer Einwilligung oder eines zwischen den Parteien bestehenden Vertrages erfolgt (Art. 20 Abs. 1 DS-GVO). Sofern der Verantwortliche Adressat eines solchen Herausgabeanspruches sein kann, muss in einem Prozess sichergestellt werden, wie Daten, auf die sich der Anspruch bezieht, in den Systemen des Verantwortlichen identifiziert und für einen Export selektiert werden können. Dabei muss der Prozess sicherstellen, dass Daten Dritter nicht selektiert und herausgegeben werden, da solche von dem Anspruch nicht erfasst sind (Jülicher/Röttgen/v. Schönfeld,ZD 2016, 358 (359)).

31.Prozesse zur Berichtigung, Löschung und Einschränkung der Verarbeitung.Der Verantwortliche muss dafür Sorge tragen, dass Aufforderungen zu Berichtigung (Art. 16 DS-GVO), Löschung (Art. 17 DS-GVO) oder Einschränkung der Verarbeitung (Art. 18 DS-GVO; im BDSG als „Sperrung“ bezeichnet) geprüft und im berechtigten Fall auch umgesetzt werden. Eine Starre Frist sieht die DS-GVO nicht vor, verlangt jedoch ein unverzügliches, d.h. ohne schuldhaftes Zögern (§ 121 Abs. 1 BGB), Handeln des Verantwortlichen.

32.Recht auf Vergessenwerden.Schon nach § 35 Abs. 7 BDSGa.F. war die verantwortliche Stelle verpflichtet, im Falle von Berichtigungen oder Löschungen die bisherigen Empfänger der Daten nach Möglichkeit zu informieren. Gleiches gilt auch nach Art. 19 S. 1 DS-GVO. Hat der Verantwortliche personenbezogene Daten öffentlich gemacht, so ist er nach Art. 17 Abs. 2 DS-GVOverpflichtet, andere Verantwortliche, die die personenbezogenen Daten verarbeiten, davon zu unterrichten, dass der Betroffene die Löschung der Daten verlangt hat. Die DS-GVO verbessert damit die Position des Betroffenen, ohne jedoch rechtlich völliges „Neuland“ zu betreten (Schantz,NJW 2016, 1841 (1845); Plath/Kamlah,BDSG/DS-GVO, Art. 17 Rn. 15). Auch im Äußerungsrecht existiert ein vergleichbarer Folgenbeseitigungsanspruch, der allerdings etwas höhere Anforderungen aufweist (dazu im Einzelnen BGH, Urt. v. 28. 7. 2015 – VI ZR 340/14 Rn. 40, NJW 2016, 56 (60)).

Der Verantwortliche muss nachvollziehbar dokumentieren, welche Technologien er in solchen Fällen nutzen wird und aus welchen Gründen (z.B. unverhältnismäßig hohen Implementierungskosten) er auf andere Maßnahmen zur Löschung bei Dritten verzichtet.

33.Widerspruchsrecht bei Interessenabwägung.Sofern der Verantwortliche personenbezogene Daten auf Grundlage einer Interessenabwägung (Art. 6 Abs. 1 lit. e, f DS-GVO) verarbeitet, muss ein Prozess implementiert sein, in dem Widersprüche Betroffener nach Art. 21 DS-GVOgeprüft und umgesetzt werden. Voraussetzung für die Wirksamkeit des Widerspruchs ist, dass in der Person des Betroffenen besondere Gründe vorliegen und der Verantwortliche keine zwingenden schutzwürdigen Gründe für die Verarbeitung nachweisen kann. Die konkreten Anforderungen an die „besonderen Gründe“ in der Person des Betroffene und die „zwingenden Gründe“ aus Sicht des Verarbeiters sind in der DS-GVO offen gelassen, ErwG 70 DS-GVO verweist beispielhaft lediglich auf Fälle des Direktmarketings (dazu I.I.)

34.Maßnahmenplan Datenschutzvorfall.Wird der Schutz personenbezogener Daten verletzt, so muss der Verantwortliche unverzüglich prüfen, ob die Verletzung ein Risiko für die Rechte und Freiheiten der Betroffenen darstellt (hierzu im Einzelnen Form. C.VI.). Besteht ein solches Risiko, ist die Aufsichtsbehörde binnen 72 Stunden zu informieren (Art. 33 Abs. 1 DS-GVO). Wegen der knappen Frist zur Information der Aufsichtsbehörde muss ein effizienter Prozess implementiert werden. Zudem ist sicherzustellen, dass der Vorfall und die ergriffenen Maßnahmen dokumentiert werden (Art. 33 Abs. 5 DS-GVO).

Birgt die Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten der Betroffenen, so sind die Betroffenen unverzüglich zu informieren. Der Verantwortlich muss daher einen Maßnahmenplan erstellen, wie er die ggf. sehr große Zahl von Betroffenen effizient und sicher informiert.

35.Unterrichtung der Beschäftigten zu Datenschutzthemen.Zu den Aufgaben des Datenschutzbeauftragten gehört auch die Unterrichtung und Beratung des Verantwortlichen, des Auftragsverarbeiters und der Beschäftigten. Diese Aufgabe lässt sich zumindest hinsichtlich der Beschäftigten durch Schulungen, die inhaltlich auf die Tätigkeit der Beschäftigteten abgestimmt sind, erreichen. Zweckmäßig ist hier die Erstellung eines Schulungsplanes, es kommen aber auch andere Formen der Unterrichtung in Betracht, etwa das Erstellen von Merkblättern und Checklisten.

36.Prüfberichte und Zertifikate.Dokumentierte Prüfungen und Zertifikate von dritter Seite können dem Auditor viel Arbeit abnehmen. Besonders wichtig ist es hierbei, den Rahmen („Scope“) der jeweiligen Untersuchung genau zu prüfen. Häufig werden nur einzelne Systeme oder Verfahren zertifiziert, so dass der Auditor prüfen muss, ob das Zertifikat für seine Prüfung überhaupt Relevanz hat. Auch ist vom Auditor zu prüfen, welche Qualität das Zertifikat besitzt und ob für den Auditor nachvollziehbar ist, nach welchem Standard die Zertifizierung stattgefunden hat. Sind Standard und Prüfbericht für ihn nicht einsehbar, ist die Aussagekraft des Zertifikats gering.

37.ERP-Systeme.Kommt im Unternehmen eine Software zum Enterprise Ressource Planning („ERP“; z.B. SAP, Oracle, Infor, proALPHA) zum Einsatz, sollte sich der Auditor über die Fähigkeiten und Unzulänglichkeiten des jeweiligen Systems informieren und prüfen, ob – sofern datenschutzrelevant – im Unternehmen geeignete Maßnahmen ergriffen wurden (am Beispiel SAP IT-Grundschutz-Kataloge Baustein B 5.13).

38.Betrieb des ERP-Systems.Wird ein ERP-System von einem Dienstleister gehostet oder betrieben (SaaS), liegt in der Regel eine Auftragsverarbeitung vor, so dass entsprechende Verträge und Nachweise erforderlich sind (dazu Ziffern 11, 12 sowie Form. G.I. und II.).

39.Remote-Access.Häufig besteht für Mitarbeiter eine Möglichkeit, von unterwegs auf einzelne oder alle Systeme zugreifen zu können. Hier muss sichergestellt sein, dass ein solcher Zugriff nur über verschlüsselte Verbindungen möglich ist. In der Regel sollte eine Zwei-Faktor-Authentifizierung vorgeschrieben sein, d.h. neben Benutzerkennung und Passwort sollte eine weitere unabhängige Sicherheitseingabe erforderlich sein (z.B. ein Token). Vorschläge zur Auswahl einer angemessenen Authentifikation enthalten die BSI Grundschutz-Kataloge (M 4.133). Ferner ist sicherzustellen, dass der Nutzer durch den Fernzugriff maximal die gleichen Rechte erhält, die er auch bei einer Anmeldung innerhalb des Netzwerkes hätte. Dazu  D.III.2.

40.Administratorrechte der Anwender.Verfügen die Anwender selbst über Administratorrechte auf ihren dienstlichen Endgeräten, so erhöht sich zunächst das Risiko, dass sich Schadsoftware auf den Endgeräten einnisten kann. Außerdem können die Anwender dann beliebige Software installieren, die Sicherheitslücken aufweisen kann oder die gezielt für unberechtigte Zugriffe auf Daten genutzt werden kann. Es stellt sich dann die Frage, ob das Unternehmen seinen Pflichten aus Art. 5 Abs. 1 lit. f und Art. 32 DS-GVOin ausreichendem Umfang nachgekommen ist.

41.Verschlüsselung von Festplatten.Bei mobilen Endgeräten besteht ein erhöhtes Risiko, dass diese versehentlich oder durch Diebstahl Dritten in die Hände fallen. Sind die Speichereinheiten solcher Geräte nicht verschlüsselt, können Unbefugte Kenntnis von den Daten erlangen. Handelt es sich um besondere Kategorien personenbezogener Daten oder andere Daten, deren Offenbarung Risiken für die Rechte und Freiheiten der Betroffenen vermuten lassen, kann eine Informationspflicht gegenüber der Aufsichtsbehörde und gegenüber allen Betroffenen entstehen (Art. 33, 34 DS-GVO).

42.Mobile Device Management (MDM).Über MDM ist eine zentrale Administration von mobilen Endgeräten möglich. Der Administrator kann Sicherheitsupdates einspielen, Geräte sperren oder Einschränkungen hinsichtlich der auf den Geräten installierbaren Anwendungen vornehmen (Black- oder Whitelists). Der Auditor muss prüfen, ob die private Nutzung mobiler Endgeräte ausreichend klar geregelt ist, anderenfalls kann der Einsatz eines MDM einen Datenschutzverstoß gegenüber den Mitarbeitern darstellen. Für den Auditor ist auch wichtig, ob die MDM-Software lokal im Unternehmen installiert ist, oder ob es sich um einen Cloud-Service (SaaS) handelt, der in der Regel als Auftragsverarbeitung einzustufen wäre.

43.Cloud-Speicherdienste.Aufgrund der einfachen Bedienbarkeit nutzen sowohl Unternehmen als auch einzelne Mitarbeiter für den Datenaustausch oder den einfachen Zugriff auf Daten vermehrt Speicherdienste in der Cloud. Häufig wird hierbei übersehen, dass für die datenschutzkonforme Nutzung solcher Dienste ein Vertrag zur Auftragsverarbeitung (innerhalb EU und EWR) sowie ein Vertrag nach EU Standardvertragsklauseln (außerhalb EU/EWR) erforderlich ist – was viele der Dienstleister gar nicht anbieten. Hier können leicht erhebliche Datenschutzverstöße erfolgen. Zum Einsatz von Cloud-Speicherdiensten in Unternehmen Form. G.VI.

44.Cloud-Services.Neben Speicherdiensten gibt es eine Vielzahl von Anwendungen (SaaS), die als Webservice in der Cloud angeboten werden. Auf Business-Kunden ausgerichtete Anbieter bieten inzwischen häufig schon Vereinbarungen zur Auftragsverarbeitung an. Hier ist – neben den Mindestinhalten eines solchen Vertrages nach Art. 28 DS-GVO– regelmäßig zu prüfen, ob die Datenverarbeitung tatsächlich nur innerhalb der EU oder des EWR erfolgt. Anderenfalls reicht eine Vereinbarung zur Auftragsverarbeitung allein nicht aus, da zusätzlich ein angemessenes Schutzniveau für die Daten sichergestellt werden muss (z.B. durch EU-Standardvertragsklauseln, das EU-US Privacy Shield oder durch verbindliche interne Datenschutzvorschriften nach Art. 47 DS-GVO).

45.IT-Sicherheitskonzept.Das IT-Sicherheitskonzept ist das zentrale Dokument im Sicherheitsprozess eines Unternehmens. Es beschreibt die geplante Vorgehensweise, um die gesetzten Sicherheitsziele zu erreichen (BSI, IT-Grundschutz-Kataloge, M 2.195). Typischerweise enthält es Vorgaben zum Rollen- und Berechtigungskonzept, zum Vier-Augen-Prinzip, zur Aktualisierung von Systemen und auch zur Passwortsicherheit. Das IT-Sicherheitskonzept stellt einen Baustein bei der Dokumentation der nach Art. 32 DS-GVOvorgeschriebenen Maßnahmen zur Sicherheit der Verarbeitung dar.