Читать книгу DS-GVO/BDSG - David Klein - Страница 259

93

Die GDD hat eine Praxishilfe zur Accountability herausgegeben. Die Accountabilitiy sollte danach durch folgende Maßnahmen sichergestellt werden:[117]

–	Eine betriebliche Datenschutz-Policy soll den Mitarbeitern eine Orientierung über allgemein einzuhaltende Anforderungen geben. Sie legt u.a. Verantwortlichkeiten fest und konkretisiert die Zusammenarbeit mit dem betrieblichen oder behördlichen Datenschutzbeauftragten.
–	Eine Sensibilisierung der mit Verarbeitungsvorgängen befassten Mitarbeiter und eine zielorientierte Schulung zum Datenschutz stellen generell eines der wichtigsten Mittel der Datenschutzorganisation dar, um präventiv auf datenschutzkonformes Handeln hinzuwirken.
–	Eine Verpflichtung auf die Vertraulichkeit ist Basis Accountability und des Datenschutzmanagements nach Art. 24. Sie ersetz die Verpflichtung auf das Datengeheimnis nach § 5 BDSG a.F.[118]. Art. 28 Abs. 3 lit. b verpflichtet Auftragsverarbeiter die mit der Datenverarbeitung betrauten Personen auf die Vertraulichkeit zu verpflichten.
–	Das Herstellen einer umfassenden Transparenz der Verarbeitung der personenbezogenen Daten ist wesentliche Verpflichtung der Accountability nach Art. 5. Hierzu gehört, dass zu jedem der folgenden Artikel der Nachweis erbracht wird, wie die Umsetzung im Unternehmen erfolgt ist. Zum Nachweis der Umsetzung der Accountability ist unternehmensbezogen und risikoorientiert zu jedem einzelnen Element der Betroffenenrechte zu prüfen und zu dokumentieren, welche Prozesse und Maßnahmen bestehen.
–	Mit der DS-GVO wird die Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde und an betroffene Personen (Art. 33 und 34) auf alle verantwortlichen Stellen ausgedehnt. Die Meldung solcher „Datenpannen“, bzw. von solchen Sicherheitsvorfällen ist wesentlicher Teil der Accountability, denn nur so kann die verantwortliche Stelle den Nachweis des verantwortlichen Umgangs mit personenbezogen Daten auch für die Fälle erbringen, in denen Fehler auftreten, die „voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen“ führen. Bei einem hohen Risiko sind auch die betroffenen Personen zu informieren.
–	Herzstück eines transparenten und effizienten Datenschutzmanagements ist, wie schon bislang das Verfahrensverzeichnis, ein vollständiges, aktuell gehaltenes Verzeichnis der Verarbeitungstätigkeiten.[119]
–	Verarbeitungen, mit denen voraussichtlich ein hohes Risiko für die Persönlichkeitsrechte von Betroffenen verbunden ist, bedürfen der Datenschutzfolgenabschätzung (DSFA). Auch um zum Ergebnis zu kommen, dass/wo solche Risiken nicht vorliegen, bedarf es eines systematischen Ansatzes zur datenschutzrechtlichen Risikoanalyse. Dies geschieht sinnvollerweise im Zuge der Erfassung der einzelnen Verarbeitungstätigkeiten. Somit bietet es sich an, auch die Dokumentation der Risikoanalysen und der DSFA an das VVT anzufügen.
–	Der sog. PDCA-Zyklus („Plan-Do-Check-Act“)[120] nach Deming beschreibt einen kontinuierlichen Verbesserungsprozess und ist die Grundlage aller Qualitätsmanagement-Systeme. PDCA findet sich z.B. auch in der ISO 27001. Er findet seine Rechtsgrundlage in Art. 24.