M 7.14 Aufrechterhaltung des Datenschutzes im laufenden Betrieb
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung
Verantwortlich für Umsetzung: Datenschutzbeauftragter, IT-Sicherheitsbeauftragter
Abgesehen von der Bestellung eines betrieblichen bzw. behördlichen Datenschutzbeauftragten (bDSB) ist die Einrichtung einer internen IT-Revision und Datenschutzkontrolle eine wichtige Maßnahme im Rahmen der durch die Datenschutzgesetze vorgeschriebenen Organisationskontrolle. Sie hilft dabei, vor Ort und zeitnah die Sicherheit der Datenverarbeitung und die Einhaltung der datenschutzrechtlichen Anforderungen zu gewährleisten.
Die IT-Revision überprüft die Ordnungsmäßigkeit der Datenverarbeitung durch Kontrolle der Umsetzung des IT-Sicherheitskonzeptes. Dazu gehören insbesondere eine Kontrolle der Dokumentation der Verfahren, der vorgeschriebenen Verfahrensanwendung und der gesamten Sicherheitsmaßnahmen.
Die interne Datenschutzkontrolle, die meist dem Datenschutzbeauftragten obliegt (vergleiche M 7.2 Regelung der Verantwortlichkeiten im Bereich Datenschutz), überprüft hingegen die Einhaltung der aus den Datenschutzgesetzen herrührenden Anforderungen. Dazu gehören:
- die Kontrolle der Verfahren auf Einhaltung der Rechtsgrundlage und der Zweckbestimmung,
- die Sicherstellung der Rechte des Betroffenen auf Auskunft, Berichtigung, Sperrung, Löschung und Schadensersatz,
- die Unterrichtung über bzw. die Verpflichtung der Mitarbeiter auf den Datenschutz,
- das Führen von Datei- bzw. Verfahrensübersichten und Geräteverzeichnissen und
- die Kontrolle der aus den gesetzlichen Vorschriften abgeleiteten technisch-organisatorischen Maßnahmen zur Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und "getrennte Verarbeitung gemäß der Zweckbestimmung".
IT-Revision und Datenschutzkontrolle arbeiten sinnvollerweise zusammen und ergänzen sich. Durch zeitnahe Überprüfung der Protokolldaten helfen sie z. B. mit, einen möglichen Missbrauch schnell aufzudecken und die Aufbewahrungszeit und den Umfang der Protokolldaten so gering wie möglich zu halten. Sie können die Leitung der datenverarbeitenden Stelle bei der Neukonzeption und der Fortentwicklung von Verfahren beraten und dienen als kompetente Ansprechpartner bei Kontrollbesuchen der Aufsichtsbehörden oder des Bundes- und der Landesbeauftragten für Datenschutz. Beide Funktionen können Mitarbeitern auch im Nebenamt übertragen und bei kleinen Stellen auch in einer Hand zusammengelegt werden. Grundsätzlich ist aber darauf zu achten, dass keine Interessenkollision mit sonst wahrgenommenen Aufgaben eintritt (siehe auch M 7.2 Regelung der Verantwortlichkeiten im Bereich Datenschutz).