Datenschutzaudit EU-DS-GVO

Die noch zu verabschiedende europäische Datenschutzgrundverordnung (EU-DS-GVO) wird nach dem Wunsch des europäischen Parlaments, des Rates und der Kommission 2015 verabschiedet. Derzeit werden die vorhandenen Positionen im Trilog verhandelt und bereinigt.

Der Berufsverband der Datenschutzbeauftragten Deutschlands (BVD) e. V. hat hat Informationen zum aktuellen Gesetzgebungsverfahren zusammengestellt.

Im Artikel 26 wird die Normierung zur Auftragsdatenverarbeitung vorhanden sein. Es zeichnet sich der Trend ab, das die für Verarbeitung Verantwortliche (verantwortliche Stelle, Auftraggeber) ihre Auftragsverarbeiter mit hinreichenden Garantien auszuwählen haben, die

  • seine technischen und organisatorischen Maßnahmen im Einklang mit der EU-DS-GVO durchgeführt werden sowie
  • Rechte der Betroffenen durch geeignete Sicherheitsmaßnahmen geschützt werden.

Der Artikel 26 enthält deutliche Parallelen zum § 11 des Bundesdatenschutzgesetzes auf die konkreten Anforderungen an Auftragsverarbeiter, so unter anderem:

  • die Sicherstellung einer weisungsmäßigen Auftragsausführung
  • die Ermöglichung einer Überprüfung der getroffenen und vereinbarten Maßnahmen durch den Auftraggeber
  • den Nachweis zur Einhaltung der gesetzlichen Vorgaben
  • die Unterstützung des Auftraggebers bei der Wahrung von Rechten der Betroffenen
    (Information, Auskunft, Berichtigung, Löschung, Datenpartabilität, Widerspruch)
  • das Vorhalten unterstützender Maßnahmen bei Sicherheitsvorfällen und hierbei erforderliche Meldepflichten gegenüber Aufsichtsbehörden und Betroffenen
  • Vereinbarung zur Kontrolle der technisch-organisatorischer Maßnahmen bei Subunternehmern
  • verpflichtende Maßnahmen nach Vertragsbeendigung, wie Datenlöschung oder Rückgabe

sowie neu hinzukommende Verpflichtungen wie

  • die Risikobewertung der technisch-organisatorischen Maßnahmen nach Stand der Technik auf Basis einer vorherigen Risikoabschätzung sowie
  • Durchführung von der Datenschutz-Folgenabschätzung (Artikel 33)

Nach  Verabschiedung  einer  EU-DS-GVO  wird  der Datenschutzstandard als Prüfgrundlage der Zertifizierung an relevante gesetzliche Neuerungen einer EU-DS-GVO angepasst werden, so dass eine Zertifizierung auch mit einer neuen europäischen Vorgabe stattfinden wird.

Die Bestärkung bestehender Pflichten auf Seiten des Auftragsdatenverarbeiters machen die  Einführung standardisierter Maßnahmen, Prozesse und Kontrollen auf Seiten des Dienstleisters im Sinne des Datenschutzstandards DS-BvD-GDD-01 damit umso notwendiger.

Siegel-50P

Wie beraten oder auditieren Ihr Unternehmen zur Zertifizierung nach diesem Standard, der von der Initiative Mittelstand mit dem Innovationspreis „Best of 2015“ im Bereich Qualitätsmanagement verleihen wurde.