Upload
others
View
3
Download
1
Embed Size (px)
Citation preview
3
Inhaltsverzeichnis
1. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2. Verantwortung und Accountability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
3. Datenschutz und Risikomanagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
4. Die Aufgaben des Datenschutzbeauftragten . . . . . . . . . . . . . . . . . . . . . . . . . 11
5. Zielsetzung und Gegenstand der Überwachung . . . . . . . . . . . . . . . . . . . . . . 14
6. Überwachungsinstrumente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176.1 Überwachungsfunktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176.2 Datenschutzkontrollen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176.3 Datenschutzaudits. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
6.3.1 Begriffsbestimmung und Zielsetzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186.3.2 Durchführung von Datenschutzaudits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186.3.3 Arten von Audits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196.3.4 Audittypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
6.4 Zertifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216.5 Sonstige Überwachungsinstrumente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
7. Organisatorische Rahmenbedingungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247.1 Voraussetzungen für die Überwachung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247.2 Datenschutzleitlinie und -richtlinien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247.3 Datenschutz-Managementsystem. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257.4 Datenschutzkontrollen in den Prozessen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267.5 Auditfunktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277.6 Datenschutzbeauftragter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287.7 Überwachungskonzept . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307.8 Zusammenfassung der Aufgaben und Verantwortlichkeiten. . . . . . . . . . . . . . . . . . 32
8. Datenschutz Audits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348.1 Erstellen einer Prüflandkarte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348.2 Risikoorientierte Planung von Datenschutzaudits . . . . . . . . . . . . . . . . . . . . . . . . . . 358.3 Durchführung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408.4 Maßnahmen-Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438.5 Überwachung von Datenschutz-Audits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
© des Titels „Die Überwachungsaufgabe des Datenschutzbeauftragten nach DS-GVO“ ISBN (978-3-89577-853-7) 2019 by DATAKONTEXT GmbH, Frechen Nähere Info unter: http://datakontext.com
Inhaltsverzeichnis
4
9. Implementierung von Datenschutzkontrollen . . . . . . . . . . . . . . . . . . . . . . . . 459.1 Zielsetzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459.2 Ermittlung der Datenschutzrisiken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459.3 Definition von Datenschutzkontrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469.4 Implementierung der Datenschutzkontrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479.5 Durchführung der Datenschutzkontrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
10. Überwachung in ausgewählten Bereichen . . . . . . . . . . . . . . . . . . . . . . . . . . . 4810.1 Abgrenzung der Aufgaben des Datenschutzbeauftragten . . . . . . . . . . . . . . . . . . . . 4810.2 Datenschutzorganisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4810.3 Datenschutzprozesse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
10.3.1 Prozess(e) zur Wahrung der Betroffenenrechte. . . . . . . . . . . . . . . . . . . . . . 5110.3.2 Prozess für Datenschutzverletzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5510.3.3 Datenschutz-Folgenabschätzung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
10.4 Datenschutz in Prozessen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6110.4.1 Einführung oder Änderung von Verarbeitungen. . . . . . . . . . . . . . . . . . . . . . 6110.4.2 Auftragsverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6610.4.3 Technische und organisatorische Maßnahmen . . . . . . . . . . . . . . . . . . . . . . 7110.4.4 Verzeichnis der Verarbeitungstätigkeiten. . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Abbildungsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
© des Titels „Die Überwachungsaufgabe des Datenschutzbeauftragten nach DS-GVO“ ISBN (978-3-89577-853-7) 2019 by DATAKONTEXT GmbH, Frechen Nähere Info unter: http://datakontext.com
81
Stichwortverzeichnis
AAblauforganisation 7, 15Accountability 6Anweisungen 7Anweisungsverschulden 6Art. 29 Gruppe 12, 13Audit 11, 18, 21, 31
externes 20integriertes 20internes 20joint 20
Auditbericht 19Auditfunktion 27Auditprozess 43Aufbauorganisation 7, 14Aufgaben und Verantwortlichkeiten 32Aufgabenverteilung 26, 28, 32Aufsichtsbehörde 8, 28, 34, 55Auftragsverarbeitung 66Auskunftsersuchen 14
BBenennung des DSB 28Benutzerberechtigungen 17Beratungsauftrag 12Berichte 23Beschwerdemanagement 23Betriebsrat 8Betroffene 8, 13Betroffenenrechte 14, 15, 17Bewertungsskala 36
CCompliance 9, 18Compliance-Abteilung 11Corporate Governance-Modelle 14
DData-Breach-Management 15Datenschutz in Prozessen 16Datenschutz in Verarbeitungen/Prozessen
34Datenschutzablauforganisation 16Datenschutz-Audit 9, 13, 17, 18, 19, 23, 27,
31, 34, 50, 54Überwachung 43
Datenschutzauditoren 19Datenschutzaufbauorganisation 16, 34
Datenschutzaufsichtsbehörde 18, 21Datenschutzbeauftragter 8, 9, 12, 28Datenschutz-Change Management 15Datenschutz-Folgenabschätzung 15, 18,
29, 30, 32, 49, 58Datenschutzkontrollen 9, 17, 23, 26, 30, 45,
50Implementierung 45
Datenschutzleitlinien 7, 24, 25, 30, 48Datenschutz-Management 9Datenschutz-Managementsystem 24, 25Datenschutz-Organisation 14, 48Datenschutzpolicies 24Datenschutzprozesse 7, 15, 34, 51Datenschutzrichtlinien 7, 9, 15, 24, 30, 48Datenschutzrisiken 13, 45Datenschutzverantwortung 14Datenschutzverletzungen 15, 30, 49, 55Datenschutzvorfälle 32Datenschutzvorschriften 24Datenschutz-Zertifikat 20Datenschutzziele 24delegieren 6DIN EN ISO 19011 11
EEinführung oder Änderung von Verarbei-
tungen 61Eintrittswahrscheinlichkeit 13
FFachkunde 12, 19Fremdkontrolle 8Funktionen der Internal Governance 9
GGarantien 23Geheimhaltungspflichten 28geringer Risikograd 13
HHandlungsanweisungen 14Hinweisgeberverfahren 23
IIndustriestandard 22Information des Datenschutzbeauftragten
18
© des Titels „Die Überwachungsaufgabe des Datenschutzbeauftragten nach DS-GVO“ ISBN (978-3-89577-853-7) 2019 by DATAKONTEXT GmbH, Frechen Nähere Info unter: http://datakontext.com
Stichwortverzeichnis
82
Informationssicherheit 21, 26Informationssicherheitsaudit 31Informationssicherheitsaudits und IT-Audits
23, 31Informationssicherheitsmanagement 9, 14,
23innerbetriebliches Überwachungsorgan 8Integriertes Audit 20Interessenkonflikte 17, 18, 28, 30Interne Revision 9, 18Internes Kontrollsystem 7, 8, 14, 18ISO 27000 14ISO 27001 26ISO 27701 26IT-Audit 31IT-Revision
interne 27
KKomplexität einer Verarbeitung 36kontinuierliche Verbesserung 24kontinuierlicher Verbesserungsprozess 18,
34Kontrollbeschreibung 47Kontrolldurchführender 47Kontrollen 7
aufdeckende 17, 46automatisierte 17, 46manuelle 17, 46vorbeugende 17, 46
Kontrollgegenstand 47Kontrollnachweis 26, 47Kontrollvorgehen 47Kontrollzeitpunkt 47Kontrollziel 47
LLeitlinien 14Löschtermine 18
MMaßnahmen-Monitoring 31, 43, 69Meldepflichten 32Meldung 28Meldung an die Aufsichtsbehörde 55
NNormadressat 6
OObjektivität 17, 18Organisation des Risikomanagements 9Organisationsverschulden 6, 11, 12, 49
PPDCA- Zyklus (Plan, Do, Check, Act) 26Planung von Datenschutz-Audits 34Planungsprozess 34Policy 14privacy by default 27privacy by design 27Prozess für Datenschutzverletzungen 55Prozess zur Wahrung der Betroffenen-
rechte 51Prozessbeteiligte 18, 26prozessimmanente Risiken 18, 37Prozessrisiken 46, 49, 52, 56, 59, 63, 68,
72, 75Prozessunabhängige 17, 18Prozessverantwortliche 17, 23Prozessvorgaben 26Prüfinstanz 27Prüflandkarte 34Prüfobjekte 34Prüfungsbericht 42Prüfungsdokumentation 43Prüfungsdurchführung 40, 42Prüfungsergebnisse 19Prüfungseröffnungsgespräch 41Prüfungsgegenstand 39Prüfungshandlungen 19Prüfungsinstanz 19Prüfungsplan 40Prüfungsschlussgespräch 42Prüfungsschwerpunkte 40Prüfungszielsetzung 39
RRechenschaftspflicht 6, 11, 14, 48Rechte der Betroffenen 51Revision 11Richtlinien 14Risiken 11, 13
prozessimmanente 18, 37Risikobehandlung 32Risikobewertung 35Risikoinventar 39
© des Titels „Die Überwachungsaufgabe des Datenschutzbeauftragten nach DS-GVO“ ISBN (978-3-89577-853-7) 2019 by DATAKONTEXT GmbH, Frechen Nähere Info unter: http://datakontext.com
83
Stichwortverzeichnis
Risikokennziffer 35, 38Risikokriterien 35
Gewichtung 38Risikomanagement 9, 23
Modelle 9Risikomanagementsystem 9risikoorientiert 12, 27, 30Risikoorientierte Planung 35Risikoorientierte Überwachung 30, 31
SSchadenausmaß 13Schulung 14Schutzbedarf 36
personenbezogener Daten 30, 36, 38Schwellwertanalyse 18, 45, 59Selbsteinschätzung 23Selbstkontrolle 8Selektionsverschulden 6Sensibilisierung 14Sicherheitsmaßnahmen
technische und organisatorische 30Sicherstellungspflicht 11Statistiken 23
Ttechnischen und organisatorischen
Maßnahmen (TOM) 12, 14, 18, 21, 49, 71Three-Lines-of-Defence-Modell 9
UÜberprüfungen durch den Verantwortlichen
11Überwachung 18, 30
durch den Datenschutzbeauftragten 11ereignisorientierte Überwachung 30, 31Gegenstände 14
Überwachungsansätze 50, 53, 57, 60, 64, 69, 76
Überwachungsauftrag 12, 30Überwachungsfunktion 17Überwachungsinstrumente 17, 18, 23, 30Überwachungskonzept 7, 21, 22, 30Überwachungspflicht 12Überwachungsverschulden 7Überwachungsziel 48, 51, 56, 59, 62, 66,
71, 74Unternehmensrisiko 13
VVerbesserung
kontinuierliche 24Verhaltensregeln 21, 22
für Auftragsverarbeiter 22Verstoß 12Verzeichnis der Verarbeitungstätigkeiten
15, 18, 35, 73
WWahrung der Betroffenenrechte 30Wirtschaftsprüfungsgesellschaft 18WP 243 12
ZZeitbudget 28Zertifizierung 17, 21, 22
Instanz 18von Datenschutzbeauftragten 22
Zuständigkeiten 32Zutritts- und Zugriffsrechten 28
© des Titels „Die Überwachungsaufgabe des Datenschutzbeauftragten nach DS-GVO“ ISBN (978-3-89577-853-7) 2019 by DATAKONTEXT GmbH, Frechen Nähere Info unter: http://datakontext.com