Bundesamt für Sicherheit in der Informationstechnik

M 2.514 Aufrechterhaltung des Datenschutzes im laufenden Betrieb

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Datenschutzbeauftragter, IT-Sicherheitsbeauftragter

Abgesehen von der Bestellung eines betrieblichen bzw. behördlichen Datenschutzbeauftragten (bDSB) ist die Einrichtung einer internen IT-Revision und Datenschutzkontrolle eine wichtige Maßnahme im Rahmen der durch die Datenschutzgesetze vorgeschriebenen Organisationskontrolle. Sie hilft dabei, vor Ort und zeitnah die Sicherheit der Datenverarbeitung und die Einhaltung der datenschutzrechtlichen Anforderungen zu gewährleisten.

Die IT-Revision überprüft die Ordnungsmäßigkeit der Datenverarbeitung durch Kontrolle der Umsetzung des IT-Sicherheitskonzeptes. Dazu gehören insbesondere eine Kontrolle der Dokumentation der Verfahren, der vorgeschriebenen Verfahrensanwendung und der gesamten Sicherheitsmaßnahmen.

Die interne Datenschutzkontrolle, die meist dem Datenschutzbeauftragten obliegt (vergleiche M 2.502 Regelung der Verantwortlichkeiten im Bereich Datenschutz ), überprüft hingegen die Einhaltung der aus den Datenschutzgesetzen herrührenden Anforderungen. Dazu gehören:

  • die Kontrolle der Verfahren auf Einhaltung der Rechtsgrundlage und der Zweckbestimmung,
  • die Sicherstellung der Rechte des Betroffenen auf Auskunft, Berichtigung, Sperrung, Löschung und Schadensersatz,
  • die Unterrichtung über bzw. die Verpflichtung der Mitarbeiter auf den Datenschutz,
  • das Führen von Datei- bzw. Verfahrensübersichten und Geräteverzeichnissen und
  • die Kontrolle der aus den gesetzlichen Vorschriften abgeleiteten technisch-organisatorischen Maßnahmen zur Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und "getrennte Verarbeitung gemäß der Zweckbestimmung".

IT-Revision und Datenschutzkontrolle arbeiten sinnvollerweise zusammen und ergänzen sich. Durch zeitnahe Überprüfung der Protokolldaten helfen sie z. B. mit, einen möglichen Missbrauch schnell aufzudecken und die Aufbewahrungszeit und den Umfang der Protokolldaten so gering wie möglich zu halten. Sie können die Leitung der datenverarbeitenden Stelle bei der Neukonzeption und der Fortentwicklung von Verfahren beraten und dienen als kompetente Ansprechpartner bei Kontrollbesuchen der Aufsichtsbehörden oder des Bundes- und der Landesbeauftragten für Datenschutz. Beide Funktionen können Mitarbeitern auch im Nebenamt übertragen und bei kleinen Stellen auch in einer Hand zusammengelegt werden. Grundsätzlich ist aber darauf zu achten, dass keine Interessenkollision mit sonst wahrgenommenen Aufgaben eintritt (siehe auch M 2.502 Regelung der Verantwortlichkeiten im Bereich Datenschutz ).

Prüffragen:

  • Wird die Einhaltung der datenschutzrechtlichen Anforderungen regelmäßig überprüft?

  • Sind die Zuständigkeiten und Kompetenzen von IT-Revision und Datenschutzkontrolle abgestimmt?

Stand: 13. EL Stand 2013