Liebe Community,
mal die Frage nach einem Meinungsbild.
Wenn ein Verantwortlicher ein Verfahren nach Art. 30 DSGVO ausführlich und umfänglich - vielleicht sogar mit vielen anderen in einer Datenschutzmanagementsoftware des DSB - dokumentiert hat, wann sollte dieser Verantwortliche diese Dokumentation einer erneuten Überprüfung auf Richtigkeit unterziehen?
Klar und m.E. unstrittig ist, wenn sich verfahrensrelevante Komponenten ändern, dann hat er diese natürlich in der vorhandenen Dokumentation (in welchem System oder Dokument auch immer) anzupassen.
Aber sollte der DSB nicht seinen Verantwortlichen einmal alle X-Jahre einen “Reminder” zusenden, ob sein so damals abgelegtes Verfahren noch so passt?
Gibt es da Erfahrungswerte, wie macht das die Community?
Liegt die Aktualität beim Verantwortlichen?
In welchen Abständen wäre die Aktualität einmal dokumentierter Verfahren vorzunehmen?
Muss der DSB im Rahmen seiner Pflichten aus Art. 39 Abs. 1 b dies vielleicht sogar “Überwachen”?
Muss jede dann gemachte Änderung durch den DSB wieder einer Prüfung unterzogen werden?
Über Meinungen oder Best Practice Ideen würde ich mich freuen.
Es geht ja nicht nur um die Tätigkeit an sich, die sich womöglich nicht ändern mag. Aber zur Verarbeitung gehören auch TOMs. Und da kann bspw. aufgrund “Stand der Technik” eine Anpassung erforderlich sein. Ist einzelfallabhängig, aber 1x jährliche Kontrolle wäre schon empfehlenswert.
Die Verantwortung des VVT liegt beim Verantwortlichen. Im besten Fall gibt es im Rahmen der DSO eine Richtlinie o.ä. welche Fristen zur Kontrolle vorgibt, dann hätte auch der DSB eine Grundlage, aufgrund derer er im Rahmen des seines Überwachungsauftrages entweder Prüfprotokolle sichten kann oder die GF mal anstupst.
Ein Reminder und ein kleines Audit (ggf auch nur Stichproben) sollten schon sein (Kontrollpflicht des DSB). Auch wenn dann nix passiert oder nix gefunden wird, bist du deiner Pflicht nachgekommen und kannst das Ergebnis dokumentiert nachweisen.
Wir haben bei uns einen Prozess vorgesehen wo jährlich ein Blick drauf geworfen werden soll. Naja wie stark man Prozesse lebt ist ein anderes Thema…
Ich habe Mandanten, die machen es nach dem Risiko der Verarbeitung für Betroffene abhängig. Bei Änderungen klar - gravierende Änderungen sind einzupflegen + Informationspflichten anpassen. Aber ansonsten erfolgt eine Abstufung von 6, 12 und 24 Monaten je nach Einstufung / Schutzklasse. Daran knüpfen sich dann auch die Prüfungen in Häufkeit und Tiefe z.B. eingesetzter Auftragsverarbeiter und Durchführung der Schulungen des eingesetzten Personals… Eine entsprechende Risikobewertung ist vorab konzeptionell zu erarbeiten und pro Verarbeitungstätigkeit anzuwenden. Es gibt aber auch Tätigkeiten, wo vielleicht nicht der Datenschutz sondern eher der Schutz von Geschäftsgeheimnissen im Mittelpunkt steht, hier erfolgen die Prüfungen von IT-Systemen und Dienstleister ebenfalls häufiger.
Wie stellt man sicher, dass auch alles eingetragen wird? In größeren Unternehmen kommen ja beinahe täglich neue Verarbeitungen hinzu und die Verantwortlichen in den Fachabteilungen haben von Datenschutz und VVT in der Regel noch nie was gehört. Die werden also von allein niemals irgendwas irgendwo eintragen. Wenn man Glück hat, bekommt der DSB irgenwie Wind davon und kann darauf hinweisen - sonst vielleicht erst nach Jahren oder wenn sich ein Betroffener beschwert und man feststellt, dass es solche eine Verarbeitung gar nicht gibt …
Schulungen für Teamleads / Prozessverantwortliche - dies ist nicht die Standart Schulung oder rgelmäßige Infotermine sondern speziell auf das Thema Doku bezogen.
Für die Vollständigkeit ist ja die Stelle verantwortlich. Wie joeDS bereits geschrieben hat, ist es hilfreich, die Verantwortung an DS-Koordinatoren (nach entsprechender Schulung) zu übertragen und für diese Stelle Personen einzusetzen, die möglichst viele Änderungen mitbekommen. Also GF, “rechte Hand der GF,” Chef der iT usw. Je nach Größe auch die Rechtsabteilung, da dort die Verträge über die Tische laufen.
Dazu noch regelmäßige (jährliche) Prüfungen/Audits, um nicht in Vergessenheit zu geraten.
Auch bei den Auftragnehmern regelmäßige Prüfungen bzw. Nachfragen, ob die TOM noch so bestehen oder ob zwischenzeitlich Änderungen vorgenomen worden sind.
Das funktioniert leider nicht. Wie viele Datenschutzkoordinatoren soll man denn in einem großen Unternehmen installieren? Und selbst die bekommen im Zweifel nicht mit, wenn jemand einen Cloud-Dienst einkauft, um einen Newsletter oder Gewinnspiel zu machen. Heutzutage ist es ja nicht mehr so, dass alles über zentrale Stellen läuft und man nur wenige Ansprechpartner in der Personal-, IT- und Vertriebsabteilung braucht, um alles mitzubekommen. Heute sind alle agil und flexibel und machen einfach mal …
Genau, da sind wir wieder bei der Datenschutzorganisation. Mindestens einmal unternehmensweite Richtlinie oder halt Policy.
Und ich würde dann zumindest den Leiter IT in die Verantwortlichkeit mit reinholen. Der Koordinator kriegt von sich aus nichts mit, wie schon @bdsb sagt.
Ja, genau das ist das Problem. Allerdings hilft auch die IT immer weniger, je mehr die Sachen in die Cloud gehen. Für jede X-beliebige Aufgabe gibt es heute schöne bunte Cloud-Dienste, die von der Fachabteilung einfach genutzt werden. Meist muss man das ja nichtmal “einkaufen” - man registriert sich dort und legt los. Weder Einkauf noch IT bekommen was mit.
Wir fordern alle Abteilungen einmal jährlich auf, ihre Verfahren zu melden bzw. ihre Verfahrenseinträge zu aktualisieren. Zuständig für die Umsetzung sind die DS-Koordinatoren der Abteilungen. Das Verzeichnis führt der operative Datenschutz.
Die Überwachung durch den DSB obliegt diesem nach eigenem Ermessen.
Moin, wir handhaben es ähnlich wie von NSB beschrieben, nur nehmen wir 1, 2 oder 3 Jahre für den Monitoring-Rhythmus. Als Abwägung haben wir dazu beschrieben: bei gleichbleibendem Geschäftsbetrieb und kontinuierlich verlaufenden Prozessen und unter Betrachtung von Aufwand und Erforderlichkeit ist so ein Rhythmus bei eingerichteten Prozessen dem risikobasierten Ansatz entsprechend. Habt eine schöne Restwoche! LG
