Die LfD Niedersachsen hat in den vergangenen Monaten in 50 großen und mittelgroßen Unternehmen geprüft, wie umfassend diese die Anforderungen der Datenschutz-Grundverordnung (DS-GVO) umgesetzt haben. Diese Prüfung steht kurz vor dem Abschluss. Als Hilfestellung für alle Unternehmen hat die LfD jetzt ihren detaillierten Bewertungskatalog veröffentlicht.
Um die geprüften Unternehmen einheitlich bewerten zu können, wurde zu den zehn Fragekomplexen ein Katalog mit circa 200 Einzelkriterien entwickelt, eingeteilt in zehn Fragenkomplexe. Mit der Veröffentlichung der Kriterien macht die LfD Niedersachsen transparent, was ein Verantwortlicher beachten muss, um die DS-GVO korrekt anzuwenden.
Am Anfang steht immer die offizielle Fragestellung, die die Behörde an das Unternehmen richtet. Darunter werden jeweils in Form von weiteren Einzelfragen die Beurteilungskriterien der Behörde deutlich. So wird in Frage 2 etwa erhoben, wie ein Unternehmen das Verzeichnis der Verarbeitungstätigkeiten pflegt. Zudem soll zur Erläuterung auch ein Muster übermittelt werden.
Im Kriterienkatalog wird anschließend ersichtlich, worauf die Behörde bei den Antworten der verantwortlichen Stelle achtet. Einerseits geht es um Formalien wie Angabe der Kontaktdaten des Verantwortlichen oder die Benennung des Verarbeitungszwecks.
Zum anderen will die Prüfung Transparenz und Verständnis kontrollieren. Aus der Antwort und dem Muster muss hervorgeht, dass das Verzeichnis regelmäßig geprüft und aktualisiert wird. Außerdem muss erkennbar sein, dass die Standardverfahren in Personalverwaltung, Lohnabrechnung oder Kundenverwaltung dokumentiert werden.
Dank der Erläuterungen bzw. der ergänzenden Fragen ist das Dokument eine kostenlose Vorlage, nach der ein Unternehmen seine Bemühungen um den Datenschutz optimieren kann – etwa wenn es um die Darlegung der Plausibilität der genannten Rechtsgrundlagen einer Datenverarbeitung geht. Besonders hilfreich sind die Erläuterungen in Hinblick auf den technischen Datenschutz, da hier die Auffassung einer Behörde konkret wird.
Hier müssen Unternehmen u. a. zeigen, dass ihnen die Bedeutung einer kontinuierlichen Anpassung und Verbesserung der Maßnahmen bewusst ist. Marktgängige Techniken sind anzuwenden, die einen hohen Sicherheitsstandard aufweisen, auch wenn sie sich in der Praxis noch nicht allgemein durchgesetzt haben.