G 2.170 Fehlende Transparenz für den Betroffenen und die Datenschutz-Kontrollinstanzen

Werden personenbezogene Daten erhoben, ohne dass der Betroffene über die vorgesehene Verarbeitung und die Rechtsgrundlage unterrichtet wird, ist die Transparenz in Frage gestellt.

Sie ist auch in Frage gestellt, wenn ihm Angaben über die Herkunft und den Empfänger dieser Daten sowie Löschungsfristen vorenthalten werden.

Werden die Datenschutz-Kontrollinstanzen nicht rechtzeitig vor

informiert, werden sie daran gehindert, Vorschläge zur Verbesserung des Datenschutzes so rechtzeitig zu unterbreiten, dass noch eine Berücksichtigung bei der Verfahrensentwicklung möglich ist. Die Verantwortung für die Einhaltung der datenschutzrechtlichen Bestimmungen verbleibt auch bei Einbeziehung der Datenschutz-Kontrollinstanzen bei der datenverarbeitenden Stelle.

Durch fehlende oder mangelhafte Protokollierung und Dokumentation bei der Verarbeitung personenbezogener Daten und durch fehlende Aktualisierung bei Verfahrensänderungen wird die Arbeit der Kontrollinstanzen beeinträchtigt. Eine effektive Kontrolle kann auch durch unvollständige oder nicht aktualisierte Verzeichnisse der eingesetzten IT-Systeme, mangelhafte Konfigurationsübersichten und fehlende Verkabelungspläne gefährdet sein.

Fehlende oder unvollständige Meldungen zu den internen Verzeichnissen und, soweit gesetzlich vorgeschrieben, zu den öffentlichen Verzeichnissen gefährden die Transparenz der Datenverarbeitung für den Betroffenen und die Kontrollinstanzen.

Beispiele: