Checklisten werden im Bereich des Datenschutzes oft zur Überprüfung der Umsetzung der gesetzlichen Anforderungen eingesetzt, häufig bzgl. der Sicherheit der Verarbeitung in Gestant der Abbildung der Anlage zu § 9 BDSG. Die Datenschutz-Grundverordnung (DS-GVO) kennt diesen listenhaften Maßnahmenkatalog jedoch nicht, sondern fordert vielmehr ein individuell entsprechend der jeweiligen Risikoanalyse angepasstes Maßnahmenpaket.
Die bisherigen heutigen Maßnahmen sind natürlich nicht obsolet, denn die Technik ändert sich ja nicht mit der Einführung eines neuen Gesetzes. Jedoch muss geprüft werden, ob die bisherigen Maßnahmen dem vorhandenen Risiko angemessen sind. Oder ob eine Maßnahme nur gefordert wurde, um dem Katalog zur Anlage zu § 9 BDSG zu genügen; in diesem Fall ist die Maßnahme nicht länger zu fordern und muss aus der Checkliste entfernt werden.
Dies heißt für heutige Checklisten, man muss prüfen, ob die Maß im jeweiligen Fall zur Gewährleistung eines angemessenen Schutzniveaus erforderlich ist.
Falls nicht erforderlich: in Checkliste Begründung aufnehmen
Falls erforderlich: in Checkliste darstellen, wie abgebildet
Art. 32 DS-GVO fordert die Berücksichtigung ("schließen ein"):
Maßnahmen
Pseudonymisierung
Verschlüsselung
Fähigkeiten
Vertraulichkeit
Integrität
Verfügbarkeit
Belastbarkeit
Wiederherstellbarkeit
Notallmanagement
Verfahren
Überprüfbarkeit
Bewertung
Evaluierung
Die dem zur Behandlung des Risikos angemessenen Maßnahmen, Fähigkeiten und Verfahren muss eine Checkliste abbilden, wenn diese Checkliste zur Überprüfung der Umsetzung der Anforderungen der DS-GVO eingesetzt werden soll.
Als Beispiel, wie man künftig mit Checklisten umgehen kann, wurde eine Checkliste zur Abbildung des Nachweises der Anforderungen bzgl. der Sicherheit der Verarbeitung (Art. 32 DS-GVO) im Rahmen der Auftagsverarbeitung (Art. 28 DS-GVO) erstellt. In Form einer Excel-Tabelle wurden die Anforderungen zusammengetragen und entsprechend den Vorgaben der DS-GVO in Tabellenblättern aufgeteilt abgebildet. Die Excel-Tabelle kann hier heruntergeladen werden:
Excel-Tabelle zum Nachweis der Sicherheit der Verarbeitung bei ADV
Stand der Bearbeitung: 17. Februar 2018
Autoren (alphabetisch)
David Koeppe,
Michael Letter,
Susanne Pelka,
Bernd Schütze,
Gerald Spyra,
Marina Wefer
Zusammenfassung
Checklisten bleiben ein wichtiges Hilfsmittel für den Datenschutzbeauftragten. Auch unter DS-GVO können bisherige Anforderungen wie Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle, Mandantentrennung gefordert sein – wenn die Risikoanalyse hier Handlungsbedarf ergibt. "Starre" Checklisten sind jedoch unter dem Risikoansatz der DS-GVO nicht mehr zielführend. Künftige Checklisten müssen dem Risiko angemessene Maßnahmen abbildet, insbesondere müssen Anforderungen/Aussagen bzgl.