Wir setzen hiermit unsere Blogreihe zur DSGVO Zertifizierung nach dem „DSGVO – information privacy standard“ fort. Heute widmen wir uns dem Kapitel P.6 – Datenschutz-Management.
Ein funktionierendes Datenschutz-Managementsystem (DSMS) ist für jede Organisation, die personenbezogene Daten verarbeitet, eine unverzichtbare Grundlage für die Einhaltung der DSGVO. Es dient nicht nur als Beleg für Rechtskonformität gegenüber Aufsichtsbehörden und Zertifizierungsstellen, sondern stellt auch intern sicher, dass Datenschutzmaßnahmen systematisch geplant, umgesetzt und kontinuierlich verbessert werden.
Kapitel P.6 des Zertifizierungskatalogs beschreibt die organisatorischen und strukturellen Voraussetzungen, die ein Antragsteller erfüllen muss, um den Nachweis eines wirksamen Datenschutz-Managements zu erbringen. Im Folgenden werden die einzelnen Kriterien erläutert, jeweils mit einem Fokus darauf, was konkret gefordert ist, welche Nachweise erforderlich sind und worauf das Evaluationsteam bei der Prüfung achtet.
P.6.1 Fortlaufende Datenschutz-Kontinuität
Die Grundlage eines jeden DSMS ist seine Nachhaltigkeit und Anpassungsfähigkeit. Einmal eingerichtete Maßnahmen reichen nicht aus – vielmehr muss das System so strukturiert sein, dass es auf Veränderungen in der Rechtslage, der Organisation oder den Verarbeitungstätigkeiten reagieren kann. Genau das ist der Kern dieses Kriteriums.
Ihre Pflichten
Verlangt wird die Implementierung eines Datenschutz-Managementsystems, das dem sogenannten PDCA-Zyklus folgt, folglich den vier Phasen Planen, Umsetzen, Überprüfen und Handeln. Dadurch soll sichergestellt werden, dass der Datenschutz fortlaufend gesteuert und verbessert wird. Dies umfasst insbesondere die regelmäßige und anlassbezogene Überprüfung der Angaben zur Scope-Beschreibung, zum Statement of Applicability (SoA) und zu weiteren zentralen Aspekten wie Privacy by Design, Datenschutz-Folgenabschätzung oder Drittstaatentransfers.
Ihre Nachweise
Antragsteller müssen nachweisen, dass sie über dokumentierte Prozesse verfügen, die diese Überprüfungen systematisch vorsehen und tatsächlich durchführen. Ebenso wird erwartet, dass ein kontinuierlicher Verbesserungsprozess etabliert ist, der auf einer Ursachenanalyse bei Abweichungen beruht.
Worauf achtet das Evaluationsteam?
Das Evaluationsteam prüft insbesondere, ob die Scope-Beschreibung vollständig, klar abgegrenzt und aktuell ist. Ebenso wird kontrolliert, ob die Einschätzungen im SoA zu optionalen Kriterien auf einer nachvollziehbaren, dokumentierten Grundlage beruhen. Die regelmäßige Aktualisierung der Realisierungsbeschreibung sowie die Ergebnisse interner Audits und Managementbewertungen sind weitere zentrale Prüfgegenstände.
P.6.2 Datenschutzbeauftragter
In vielen Fällen ist die Bestellung eines Datenschutzbeauftragten (DSB) gesetzlich vorgeschrieben. Dieses Kriterium verlangt, dass die Bestellung nicht nur formal erfolgt, sondern auch die Rahmenbedingungen gegeben sind, damit der DSB seine Aufgaben nach Art. 39 DSGVO effektiv wahrnehmen kann.
Ihre Pflichten
Ein bestellter DSB muss fachlich qualifiziert und in der Lage sein, seine Funktion unabhängig auszuüben. Dazu gehört, dass er über angemessene materielle Ressourcen, Zugang zu Informationen, Fortbildungsmöglichkeiten und Unterstützungsleistungen verfügt. Der DSB muss direkt der obersten Managementebene berichten und darf bei der Erfüllung seiner Aufgaben keinen fachlichen Weisungen unterliegen.
Ihre Nachweise
Die Nachweise für dieses Kriterium umfassen insbesondere die Bestellungsurkunde, Fachkundenachweise, eine Aufgabenbeschreibung sowie die Mitteilung an die Aufsichtsbehörde. Ebenso relevant ist die Darlegung der organisatorischen Einbindung, der Ressourcenzuteilung und der Maßnahmen zur Vermeidung von Interessenkonflikten.
Worauf achtet das Evaluationsteam?
Das Evaluationsteam prüft, ob die Bestellung des DSB formell korrekt erfolgt ist und ob der DSB tatsächlich über die im Standard genannten Ressourcen verfügt. Ebenso relevant ist, ob der DSB regelmäßig in datenschutzrelevante Prozesse eingebunden wird und ob seine Unabhängigkeit durch die organisatorische Struktur und tatsächliche Praxis gesichert ist.
P.6.3 Verpflichtung auf Vertraulichkeit und Schulungen
Datenschutz kann nur dann wirksam umgesetzt werden, wenn alle Mitarbeitenden, die mit personenbezogenen Daten arbeiten, über ihre Pflichten informiert sind.
Ihre Pflichten
Dieses Kriterium verlangt, dass eine systematische Schulung der Beschäftigten erfolgt und dass sie zur Einhaltung datenschutzrechtlicher Vorgaben verpflichtet werden. Vor Aufnahme der Tätigkeit sowie in regelmäßigen Abständen – mindestens jährlich – müssen die Beschäftigten geschult werden. Die Inhalte der Schulungen müssen auf die jeweilige Rolle und den jeweiligen Verantwortungsbereich zugeschnitten sein. Zusätzlich sind die Mitarbeitenden schriftlich auf Vertraulichkeit und die Einhaltung gesetzlicher Vorgaben zu verpflichten.
Ihre Nachweise
Als Nachweise dienen Schulungspläne, -unterlagen und Teilnahmebescheinigungen. Darüber hinaus müssen die Verpflichtungserklärungen vorgelegt werden können und sollten datiert sowie individuell unterschrieben sein.
Worauf achtet das Evaluationsteam?
Das Evaluationsteam kontrolliert, ob die Schulungen nicht nur geplant, sondern tatsächlich durchgeführt und dokumentiert wurden. Die Inhalte müssen angemessen, aktuell und zielgruppenspezifisch sein. Die Verpflichtung auf Vertraulichkeit muss rechtlich korrekt und individuell nachvollziehbar erfolgen.
P.6.4 Verzeichnis von Verarbeitungstätigkeiten
Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist ein zentrales Dokument, das die Übersicht über sämtliche Datenverarbeitungen im Unternehmen bietet. Es dient sowohl internen Zwecken der Transparenz als auch als Nachweis gegenüber der Aufsichtsbehörde.
Ihre Pflichten
Ein solches Verzeichnis ist grundsätzlich verpflichtend. Das VVT muss bestimmte Pflichtinhalte enthalten, darunter Informationen über den Verantwortlichen oder Auftragsverarbeiter, die Zwecke der Verarbeitung, die Kategorien von Daten und betroffenen Personen, mögliche Empfänger, Drittlandübermittlungen sowie technische und organisatorische Maßnahmen.
Die gesetzlichen Mindestanforderungen an das VVT ergeben sich aus Art. 30 Abs. 1 oder aus Abs. 2 DSGVO. Die selten greifende Ausnahme, dass kein VVT geführt werden braucht, findet sich in Art. 30 Abs. 5 DSGVO.
Ihre Nachweise
Nachgewiesen werden muss, dass das VVT schriftlich oder elektronisch geführt wird, aktuell ist und regelmäßig überprüft wird.
Worauf achtet das Evaluationsteam?
Das Evaluationsteam wird kontrollieren, ob das Verzeichnis alle gesetzlich geforderten Inhalte umfasst, ob es der Realität im Unternehmen entspricht und ob es regelmäßig angepasst wurde. Auch die formale Ausgestaltung, etwa die Möglichkeit zur Vorlage bei der Aufsichtsbehörde, ist ein Prüfpunkt.
P.6.5 Datenschutz-Folgenabschätzung
Bei bestimmten Verarbeitungsvorgängen ist vor deren Durchführung eine Datenschutz-Folgenabschätzung (DSFA) erforderlich. Dies betrifft vor allem solche Verarbeitungen, die mit einem hohen Risiko für die Rechte und Freiheiten betroffener Personen verbunden sind – etwa bei der Nutzung neuer Technologien, umfangreichem Profiling oder der Verarbeitung besonderer Kategorien personenbezogener Daten.
Ihre Pflichten
Die DSFA muss strukturiert und nachvollziehbar durchgeführt werden. Dazu gehören die Beschreibung der Verarbeitung, die Analyse der Risiken und die Ableitung geeigneter Maßnahmen zur Risikominimierung. Ist nach der Bewertung ein hohes Risiko nicht auszuschließen, muss die Aufsichtsbehörde vorab konsultiert werden.
Ihre Nachweise
Nachweise umfassen vollständige DSFA-Berichte, Risikoanalysen, die rechtzeitige Einbindung des Datenschutzbeauftragten sowie die Umsetzung der empfohlenen Maßnahmen.
Worauf achtet das Evaluationsteam?
Das Evaluationsteam achtet darauf, ob die Bewertung sachlich fundiert und aktuell ist. Ebenso wird geprüft, ob die Ergebnisse der DSFA in den tatsächlichen Datenschutzmaßnahmen berücksichtigt wurden und ob der Konsultationsprozess korrekt durchgeführt wurde, sofern erforderlich.
P.6.6 Meldung von Datenschutzverletzungen
Dieses Kriterium verlangt, dass der Antragsteller über klar definierte Prozesse zur Erkennung, Bewertung und Meldung von Datenschutzverletzungen verfügt.
Ihre Pflichten
Diese Prozesse müssen gewährleisten, dass Verstöße gegen den Schutz personenbezogener Daten erkannt und innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden – sofern ein Risiko für die Rechte und Freiheiten der Betroffenen besteht.
Darüber hinaus ist – bei hohem Risiko – auch eine Benachrichtigung der betroffenen Personen erforderlich, es sei denn, es greift eine der in Art. 34 Abs. 3 DSGVO genannten Ausnahmen. Die Anforderungen gelten sowohl für Verantwortliche als auch für Auftragsverarbeiter, wobei Letztere verpflichtet sind, unverzüglich den Verantwortlichen zu informieren.
Ihre Nachweise
Nachweise umfassen Prozessdokumentationen, Handlungsanweisungen, Vorlagen für Meldungen und – falls vorhanden – die Dokumentation konkreter Vorfälle.
Worauf achtet das Evaluationsteam?
Das Evaluationsteam prüft, ob der Prozess geeignet ist, die gesetzlichen Fristen einzuhalten, ob er intern bekannt ist und ob bereits Erfahrungswerte oder Tests vorliegen. Auch die Risikoabwägung und das Meldeverhalten im konkreten Fall sind relevante Prüfgegenstände.
P.6.7 Zusammenarbeit mit Aufsichtsbehörden
Dieses Kriterium ist auf den ersten Blick unspektakulär, aber dennoch essenziell. Es verlangt, dass der Antragsteller über organisatorische Vorkehrungen verfügt, um auf Anfragen der Aufsichtsbehörden konstruktiv und zeitnah reagieren zu können. Dies umfasst insbesondere die Benennung eines Ansprechpartners und die Definition interner Abläufe für die behördliche Kommunikation.
Ihre Nachweise
Nachgewiesen werden müssen Verfahrensbeschreibungen und, sofern vorhanden, die Dokumentation bereits geführter Dialoge mit Aufsichtsbehörden.
Worauf achtet das Evaluationsteam?
Geprüft wird, ob ein strukturierter Ablauf existiert, ob dieser bekannt ist und ob die Dokumentation bei Bedarf nachvollzogen werden kann.
Fazit
Das 6. Kapitel des Kriterienkatalogs zur Zertifizierung einer IT-gestützten Verarbeitung personenbezogener Daten DSGVO – information privacy standard stellt die strukturelle Grundlage für ein wirksames DSMS dar. Es fordert nicht nur formale Prozesse, sondern deren überprüfbare Umsetzung im Alltag. Antragsteller müssen nachweisen, dass der Datenschutz als durchgängiger Managementprozess in die Abläufe und Strukturen des Unternehmens integriert ist und als kontinuierlicher Prozess gelebt wird.
In der nächsten Folge der Blogreihe folgt Kapitel P.7 – Drittlandsübermittlung, mit Fokus auf datenschutzkonforme Transfers außerhalb der EU.