3

Inhaltsverzeichnis

1. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

2. Verantwortung und Accountability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

3. Datenschutz und Risikomanagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

4. Die Aufgaben des Datenschutzbeauftragten . . . . . . . . . . . . . . . . . . . . . . . . . 11

5. Zielsetzung und Gegenstand der Überwachung . . . . . . . . . . . . . . . . . . . . . . 14

6. Überwachungsinstrumente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176.1 Überwachungsfunktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176.2 Datenschutzkontrollen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176.3 Datenschutzaudits. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

6.3.1 Begriffsbestimmung und Zielsetzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186.3.2 Durchführung von Datenschutzaudits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186.3.3 Arten von Audits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196.3.4 Audittypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

6.4 Zertifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216.5 Sonstige Überwachungsinstrumente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

7. Organisatorische Rahmenbedingungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247.1 Voraussetzungen für die Überwachung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247.2 Datenschutzleitlinie und -richtlinien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247.3 Datenschutz-Managementsystem. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257.4 Datenschutzkontrollen in den Prozessen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267.5 Auditfunktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277.6 Datenschutzbeauftragter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287.7 Überwachungskonzept . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307.8 Zusammenfassung der Aufgaben und Verantwortlichkeiten. . . . . . . . . . . . . . . . . . 32

8. Datenschutz Audits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348.1 Erstellen einer Prüflandkarte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348.2 Risikoorientierte Planung von Datenschutzaudits . . . . . . . . . . . . . . . . . . . . . . . . . . 358.3 Durchführung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408.4 Maßnahmen-Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438.5 Überwachung von Datenschutz-Audits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

© des Titels „Die Überwachungsaufgabe des Datenschutzbeauftragten nach DS-GVO“ ISBN (978-3-89577-853-7) 2019 by DATAKONTEXT GmbH, Frechen Nähere Info unter: http://datakontext.com

Inhaltsverzeichnis

4

9. Implementierung von Datenschutzkontrollen . . . . . . . . . . . . . . . . . . . . . . . . 459.1 Zielsetzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459.2 Ermittlung der Datenschutzrisiken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459.3 Definition von Datenschutzkontrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469.4 Implementierung der Datenschutzkontrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479.5 Durchführung der Datenschutzkontrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

10. Überwachung in ausgewählten Bereichen . . . . . . . . . . . . . . . . . . . . . . . . . . . 4810.1 Abgrenzung der Aufgaben des Datenschutzbeauftragten . . . . . . . . . . . . . . . . . . . . 4810.2 Datenschutzorganisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4810.3 Datenschutzprozesse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

10.3.1 Prozess(e) zur Wahrung der Betroffenenrechte. . . . . . . . . . . . . . . . . . . . . . 5110.3.2 Prozess für Datenschutzverletzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5510.3.3 Datenschutz-Folgenabschätzung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

10.4 Datenschutz in Prozessen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6110.4.1 Einführung oder Änderung von Verarbeitungen. . . . . . . . . . . . . . . . . . . . . . 6110.4.2 Auftragsverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6610.4.3 Technische und organisatorische Maßnahmen . . . . . . . . . . . . . . . . . . . . . . 7110.4.4 Verzeichnis der Verarbeitungstätigkeiten. . . . . . . . . . . . . . . . . . . . . . . . . . . 73

Abbildungsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

© des Titels „Die Überwachungsaufgabe des Datenschutzbeauftragten nach DS-GVO“ ISBN (978-3-89577-853-7) 2019 by DATAKONTEXT GmbH, Frechen Nähere Info unter: http://datakontext.com

81

Stichwortverzeichnis

AAblauforganisation 7, 15Accountability 6Anweisungen 7Anweisungsverschulden 6Art. 29 Gruppe 12, 13Audit 11, 18, 21, 31

externes 20integriertes 20internes 20joint 20

Auditbericht 19Auditfunktion 27Auditprozess 43Aufbauorganisation 7, 14Aufgaben und Verantwortlichkeiten 32Aufgabenverteilung 26, 28, 32Aufsichtsbehörde 8, 28, 34, 55Auftragsverarbeitung 66Auskunftsersuchen 14

BBenennung des DSB 28Benutzerberechtigungen 17Beratungsauftrag 12Berichte 23Beschwerdemanagement 23Betriebsrat 8Betroffene 8, 13Betroffenenrechte 14, 15, 17Bewertungsskala 36

CCompliance 9, 18Compliance-Abteilung 11Corporate Governance-Modelle 14

DData-Breach-Management 15Datenschutz in Prozessen 16Datenschutz in Verarbeitungen/Prozessen

34Datenschutzablauforganisation 16Datenschutz-Audit 9, 13, 17, 18, 19, 23, 27,

31, 34, 50, 54Überwachung 43

Datenschutzauditoren 19Datenschutzaufbauorganisation 16, 34

Datenschutzaufsichtsbehörde 18, 21Datenschutzbeauftragter 8, 9, 12, 28Datenschutz-Change Management 15Datenschutz-Folgenabschätzung 15, 18,

29, 30, 32, 49, 58Datenschutzkontrollen 9, 17, 23, 26, 30, 45,

50Implementierung 45

Datenschutzleitlinien 7, 24, 25, 30, 48Datenschutz-Management 9Datenschutz-Managementsystem 24, 25Datenschutz-Organisation 14, 48Datenschutzpolicies 24Datenschutzprozesse 7, 15, 34, 51Datenschutzrichtlinien 7, 9, 15, 24, 30, 48Datenschutzrisiken 13, 45Datenschutzverantwortung 14Datenschutzverletzungen 15, 30, 49, 55Datenschutzvorfälle 32Datenschutzvorschriften 24Datenschutz-Zertifikat 20Datenschutzziele 24delegieren 6DIN EN ISO 19011 11

EEinführung oder Änderung von Verarbei-

tungen 61Eintrittswahrscheinlichkeit 13

FFachkunde 12, 19Fremdkontrolle 8Funktionen der Internal Governance 9

GGarantien 23Geheimhaltungspflichten 28geringer Risikograd 13

HHandlungsanweisungen 14Hinweisgeberverfahren 23

IIndustriestandard 22Information des Datenschutzbeauftragten

18

© des Titels „Die Überwachungsaufgabe des Datenschutzbeauftragten nach DS-GVO“ ISBN (978-3-89577-853-7) 2019 by DATAKONTEXT GmbH, Frechen Nähere Info unter: http://datakontext.com

Stichwortverzeichnis

82

Informationssicherheit 21, 26Informationssicherheitsaudit 31Informationssicherheitsaudits und IT-Audits

23, 31Informationssicherheitsmanagement 9, 14,

23innerbetriebliches Überwachungsorgan 8Integriertes Audit 20Interessenkonflikte 17, 18, 28, 30Interne Revision 9, 18Internes Kontrollsystem 7, 8, 14, 18ISO 27000 14ISO 27001 26ISO 27701 26IT-Audit 31IT-Revision

interne 27

KKomplexität einer Verarbeitung 36kontinuierliche Verbesserung 24kontinuierlicher Verbesserungsprozess 18,

34Kontrollbeschreibung 47Kontrolldurchführender 47Kontrollen 7

aufdeckende 17, 46automatisierte 17, 46manuelle 17, 46vorbeugende 17, 46

Kontrollgegenstand 47Kontrollnachweis 26, 47Kontrollvorgehen 47Kontrollzeitpunkt 47Kontrollziel 47

LLeitlinien 14Löschtermine 18

MMaßnahmen-Monitoring 31, 43, 69Meldepflichten 32Meldung 28Meldung an die Aufsichtsbehörde 55

NNormadressat 6

OObjektivität 17, 18Organisation des Risikomanagements 9Organisationsverschulden 6, 11, 12, 49

PPDCA- Zyklus (Plan, Do, Check, Act) 26Planung von Datenschutz-Audits 34Planungsprozess 34Policy 14privacy by default 27privacy by design 27Prozess für Datenschutzverletzungen 55Prozess zur Wahrung der Betroffenen-

rechte 51Prozessbeteiligte 18, 26prozessimmanente Risiken 18, 37Prozessrisiken 46, 49, 52, 56, 59, 63, 68,

72, 75Prozessunabhängige 17, 18Prozessverantwortliche 17, 23Prozessvorgaben 26Prüfinstanz 27Prüflandkarte 34Prüfobjekte 34Prüfungsbericht 42Prüfungsdokumentation 43Prüfungsdurchführung 40, 42Prüfungsergebnisse 19Prüfungseröffnungsgespräch 41Prüfungsgegenstand 39Prüfungshandlungen 19Prüfungsinstanz 19Prüfungsplan 40Prüfungsschlussgespräch 42Prüfungsschwerpunkte 40Prüfungszielsetzung 39

RRechenschaftspflicht 6, 11, 14, 48Rechte der Betroffenen 51Revision 11Richtlinien 14Risiken 11, 13

prozessimmanente 18, 37Risikobehandlung 32Risikobewertung 35Risikoinventar 39

© des Titels „Die Überwachungsaufgabe des Datenschutzbeauftragten nach DS-GVO“ ISBN (978-3-89577-853-7) 2019 by DATAKONTEXT GmbH, Frechen Nähere Info unter: http://datakontext.com

83

Stichwortverzeichnis

Risikokennziffer 35, 38Risikokriterien 35

Gewichtung 38Risikomanagement 9, 23

Modelle 9Risikomanagementsystem 9risikoorientiert 12, 27, 30Risikoorientierte Planung 35Risikoorientierte Überwachung 30, 31

SSchadenausmaß 13Schulung 14Schutzbedarf 36

personenbezogener Daten 30, 36, 38Schwellwertanalyse 18, 45, 59Selbsteinschätzung 23Selbstkontrolle 8Selektionsverschulden 6Sensibilisierung 14Sicherheitsmaßnahmen

technische und organisatorische 30Sicherstellungspflicht 11Statistiken 23

Ttechnischen und organisatorischen

Maßnahmen (TOM) 12, 14, 18, 21, 49, 71Three-Lines-of-Defence-Modell 9

UÜberprüfungen durch den Verantwortlichen

11Überwachung 18, 30

durch den Datenschutzbeauftragten 11ereignisorientierte Überwachung 30, 31Gegenstände 14

Überwachungsansätze 50, 53, 57, 60, 64, 69, 76

Überwachungsauftrag 12, 30Überwachungsfunktion 17Überwachungsinstrumente 17, 18, 23, 30Überwachungskonzept 7, 21, 22, 30Überwachungspflicht 12Überwachungsverschulden 7Überwachungsziel 48, 51, 56, 59, 62, 66,

71, 74Unternehmensrisiko 13

VVerbesserung

kontinuierliche 24Verhaltensregeln 21, 22

für Auftragsverarbeiter 22Verstoß 12Verzeichnis der Verarbeitungstätigkeiten

15, 18, 35, 73

WWahrung der Betroffenenrechte 30Wirtschaftsprüfungsgesellschaft 18WP 243 12

ZZeitbudget 28Zertifizierung 17, 21, 22

Instanz 18von Datenschutzbeauftragten 22

Zuständigkeiten 32Zutritts- und Zugriffsrechten 28

© des Titels „Die Überwachungsaufgabe des Datenschutzbeauftragten nach DS-GVO“ ISBN (978-3-89577-853-7) 2019 by DATAKONTEXT GmbH, Frechen Nähere Info unter: http://datakontext.com