Nach Art. 39 Abs. 1 lit. b) DSGVO überwacht der betriebliche Datenschutzbeauftragte eines Unternehmens die Einhaltung des Datenschutzes im Unternehmen. Die Überwachungshandlungen können sich während des Jahres in vielfältigen Ad-Hoc Tätigkeiten widerspiegeln, beispielsweise Beratungsgespräche bei der Einführung oder Änderung neuer IT-Systeme, Beurteilung von Verträgen und auch die Behandlung und der Umgang mit Datenschutzvorfällen führen dazu, dass der Datenschutzbeauftragte überwachen kann, ob und wie Datenschutz im Unternehmen eingehalten wird.
Sofern es das Zeitkontingent im Datenschutz erlaubt, ist es in jedem Fall sinnvoll, weitere systematisch geplante Überwachungshandlungen vorzunehmen, um risikoorientiert einen regelmäßigen Überblick zu Verfahren zur Verarbeitung personenbezogener Daten zu haben und das Niveau des Datenschutzes beurteilen zu können.
Planung von Überwachungshandlungen
Eine Planung von Überwachungshandlungen im jährlichen Turnus ermöglicht die angemessene Verteilung von Überwachungshandlungen im Laufe des Arbeitsjahres. Zwingende Vorgaben der DSGVO für Inhalte oder Zeitpunkt dafür gibt es, mit einer Ausnahme, nicht. Lediglich für die Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 sieht die DSGVO in Art. 39 Abs. 1 lit. c) ausdrücklich vor, dass der Datenschutzbeauftragte die Durchführung der DSFA überwacht. Besonders in kleineren Unternehmen wird dies in jedem Fall ohnehin erfolgen, da davon auszugehen ist, dass der Datenschutzbeauftragte, als der fachlich kompetente Ansprechpartner, unmittelbar in die Durchführung der DSFA eingebunden ist.
Für weitere Überwachungshandlungen ist ein empfehlenswerter Ansatz diese am Verzeichnis der Verarbeitungstätigkeiten (VVT) gem. Art. 30 DSGVO zu orientieren. Als zentrale Datenschutzdokumentation gibt das VVT einen guten Überblick über alle Prozesse des Unternehmens, die der Verarbeitung personenbezogener Daten dienen und enthält alle wichtigen Aspekte dazu.
Rechtsgrundlagen
Beginnen kann die Prüfung mit der Betrachtung, ob die angegebenen datenschutzrechtlichen Erlaubnistatbestände (Art. 6 DSGVO und § 26 BDSG) und die angegebenen Verarbeitungszwecke zutreffend sind. Wenn beurteilt werden soll, ob die Angaben zu den Arten der personenbezogenen Daten sowie den Betroffenengruppen zutreffend sind, dann wird häufig eine Unterstützung der für die Verarbeitung verantwortlichen Mitarbeiter notwendig sein. So können dann gemeinsam auch Einblicke in IT-Anwendungen genommen werden, um direkt beurteilen zu können, ob die vorhandenen Angaben richtig sind. Gespräche mit den Verantwortlichen wiederum sind auch von Bedeutung, um die weitere Entwicklung der Prozesse im Unternehmen schon im Vorfeld ausreichend im Blick zu haben. Sollten anstehende Veränderungen zu einer Erhöhung der Risiken für die Betroffenen führen, kann an dieser Stelle auch eine DSFA in die Wege geleitet werden.
Auftragsverarbeiter
Bei der Überprüfung der Übermittlung von personenbezogenen Daten kann eine Einbeziehung der bestehenden Auftragsverarbeitungsverträge nach Art. 28 DSGVO erfolgen. Sofern der Datenschutzbeauftragte beim Abschluss jedes Auftragsverarbeitungsvertrags einbezogen wurde, kann er sich bei den regelmäßigen Überwachungshandlungen auf das Anfordern von Datenschutzbestätigungen der Auftragsverarbeitung oder auf eigene Prüfungshandlungen beim Auftragnehmer beschränken.
Speicherbegrenzung
Schließlich ist es bei einer Beurteilung der festgelegten Speicherfristen vorteilhaft auch die Durchführung von Datenlöschungen nach Ende der Speicherfrist zu beurteilen. Dazu sind die Löschkonzepte und -protokolle die zu würdigenden Unterlagen. Außerdem kann auch hierzu ein direkter Blick in die IT-Systeme helfen, sich davon zu überzeugen, dass die personenbezogenen Daten gelöscht wurden.
Anhand der Ergebnisse der Überwachungshandlungen können Rückschlüsse darauf gezogen werden, an welcher Stelle eine Optimierung der Datenschutzmaßnahmen oder ggf. Anpassungen des VVT erforderlich sind.
In jedem Fall haben regelmäßige Überwachungshandlugen positive Effekte auf den Datenschutz im Unternehmen. Sofern der Datenschutzbeauftragte selbst nicht über ausreichend Zeit verfügt, können die Überwachungshandlungen auch auf einen externen Datenschutzberater ausgelagert werden, dessen Tätigkeiten durch den Datenschutzbeauftragten begleitet werden.
Autorin: Linda Liesum
