Logo

GMDS Arbeitsgruppe
„Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG)

Datenschutzhinweise   Cookie-Hinweise   Impressum   Kontakt   Sitemap
Veranstaltungskalender

Umgang mit Checklisten unter der DS-GVO

Checklisten werden im Bereich des Datenschutzes oft zur Überprüfung der Umsetzung der gesetzlichen Anforderungen eingesetzt, häufig bzgl. der Sicherheit der Verarbeitung in Gestant der Abbildung der Anlage zu § 9 BDSG. Die Datenschutz-Grundverordnung (DS-GVO) kennt diesen listenhaften Maßnahmenkatalog jedoch nicht, sondern fordert vielmehr ein individuell entsprechend der jeweiligen Risikoanalyse angepasstes Maßnahmenpaket.
Die bisherigen heutigen Maßnahmen sind natürlich nicht obsolet, denn die Technik ändert sich ja nicht mit der Einführung eines neuen Gesetzes. Jedoch muss geprüft werden, ob die bisherigen Maßnahmen dem vorhandenen Risiko angemessen sind. Oder ob eine Maßnahme nur gefordert wurde, um dem Katalog zur Anlage zu § 9 BDSG zu genügen; in diesem Fall ist die Maßnahme nicht länger zu fordern und muss aus der Checkliste entfernt werden.
Dies heißt für heutige Checklisten, man muss prüfen, ob die Maß im jeweiligen Fall zur Gewährleistung eines angemessenen Schutzniveaus erforderlich ist.
  1. Falls nicht erforderlich: in Checkliste Begründung aufnehmen
  2. Falls erforderlich: in Checkliste darstellen, wie abgebildet

Art. 32 DS-GVO fordert die Berücksichtigung ("schließen ein"): Die dem zur Behandlung des Risikos angemessenen Maßnahmen, Fähigkeiten und Verfahren muss eine Checkliste abbilden, wenn diese Checkliste zur Überprüfung der Umsetzung der Anforderungen der DS-GVO eingesetzt werden soll.

Als Beispiel, wie man künftig mit Checklisten umgehen kann, wurde eine Checkliste zur Abbildung des Nachweises der Anforderungen bzgl. der Sicherheit der Verarbeitung (Art. 32 DS-GVO) im Rahmen der Auftagsverarbeitung (Art. 28 DS-GVO) erstellt. In Form einer Excel-Tabelle wurden die Anforderungen zusammengetragen und entsprechend den Vorgaben der DS-GVO in Tabellenblättern aufgeteilt abgebildet. Die Excel-Tabelle kann hier heruntergeladen werden:

Zusammenfassung

Checklisten bleiben ein wichtiges Hilfsmittel für den Datenschutzbeauftragten. Auch unter DS-GVO können bisherige Anforderungen wie Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle, Mandantentrennung gefordert sein – wenn die Risikoanalyse hier Handlungsbedarf ergibt. "Starre" Checklisten sind jedoch unter dem Risikoansatz der DS-GVO nicht mehr zielführend. Künftige Checklisten müssen dem Risiko angemessene Maßnahmen abbildet, insbesondere müssen Anforderungen/Aussagen bzgl. berücksichtigt werden.