Rechtliche Grundlagen zum Prüfauftrag
Vorgehensweise bei Prüfungen (Audits)
- Internes / externes Auditieren
- Umfang und Planung eines Audits
- Risikoansatz gem. Art. 39 (2) DS-GVO
- Kriterien und Nachweise
- Empfehlungen und Folgemaßnahmen
Prinzipien bei Prüfungen
- Kompetenzen, Integrität und Unabhängigkeit des DSB
- Abstimmung der Ressourcen
- Angemessene Sorgfalt
- Vertraulichkeit der Beteiligten
- Das Abschlussgespräch
Mögliche Informationsquellen
- Befragungen / Beobachtungen
- Sichtung von Dokumenten
- Einbezug Außenstehender
- Datenbanken / Webseiten
Planung von Standortbegehungen
- Genehmigungen (Zutritt, Fotos, etc.)
- Terminplanung mit Ansprechpartnern
- Vermeidung unnötiger Störungen
- Einweisungen und Schutzausrüstungen
Grundsätzliche Überwachungsaufgaben
- Strategien des Verantwortlichen zum Schutz personenbezogener Daten
- Betriebsvereinbarungen, Richtlinien, Anweisungen, Branchenstandards, etc.
Praxisbeispiele zur Durchführung konkreter Prüfhandlungen:
Organisatorische Grundlagen
- Das "Datenschutz-Managementsystem"
- Verzeichnis von Verarbeitungstätigkeiten
- Rechtmäßigkeiten von Verarbeitungen
Wahrung der Rechte Betroffener
- Informationsrecht
- Auskunfts- und Widerspruchsrecht
- Berichtigung, Einschränkung, Löschung und Datenübertragbarkeit
Sensibilisierung der Beschäftigten
- Durchführungen von Schulungen
- Verpflichtung auf Vertraulichkeit
Umgang mit Datenschutzverletzungen
Durchführung der Datenschutz-Folgenabschätzung
Technische und organisatorische Maßnahmen
Konkrete Verarbeitungen
- Personalsoftware
- Zeiterfassung
- Videoüberwachung
- Profilbildung / Marketing
- Entsorgung
Korrekter Umgang mit Protokolldaten
- Protokolle und Log-Daten
- Protokolldaten bei E-Mail, Proxys oder Admin-Tätigkeiten
- Möglichkeiten der Auswertung
Anforderungen an externe Dienstleister (AV, Joint Controller, etc.)
- Vertragsinhalte
- Geeignete Garantien
- Maßnahmen des Dienstleisters
- Prozesse zur Wahrung der Pflichten und Rechte des Auftraggebers