Brain-Media.de/Compliance-Lexikon/Verantwortlicher/Praxis
Ebene 1 · DefinitionEbene 2 · PraxisEbene 3 · Strategie

Compliance-Lexikon · Praxis

Verantwortlicher – Praxis

Die Rolle des Verantwortlichen ist im Datenschutz-Audit ein Querschnittsthema: Fast jeder andere Pruefpunkt haengt davon ab, dass die Verantwortlichkeit korrekt eingeordnet und dokumentiert ist. Was Auditoren und Behoerden konkret pruefen, zeigt dieser Abschnitt.

Was Auditoren konkret pruefen

Bei einer Pruefung des Verantwortlichen prueft der Auditor, ob die Organisation ihre eigene Rolle korrekt eingeordnet hat und alle sich daraus ergebenden Pflichten erfuellt. Das BAM-Objekt CROSS-VE-01 definiert im Evidence-Feld, was konkret vorgelegt werden muss.

BAM-Objekt · Praxis CROSS-VE-01
Gap-CheckLiegt ein datierter, vollstaendiger Nachweis der Wirksamkeit vor?
RemediationDokumentierter Prozess mit Eigentuemerverantwortung und Aktualisierungsnachweis
EvidenceDatiertes Protokoll oder Systemauszug mit Zeitstempel, Scope und Verantwortlichem -- mindestens jaehrlich.

Haeufige Fehler

  • Datenschutzerklaerung benennt keine Kontaktdaten des Verantwortlichen oder falsche Angaben
  • Rechenschaftspflicht nicht gelebt -- keine Dokumentation der Konformitaet
  • Gemeinsame Verantwortlichkeit mit Partnerunternehmen nicht erkannt
  • Verantwortlicher-Status in Konzernsachverhalten unklar

Praxis-Tipp

Fuer den Verantwortlichen gilt: Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO ist keine Selbstverstaendlichkeit -- sie muss aktiv gelebt werden. Wer keine Dokumentation der Datenschutz-Konformitaet hat, verstosst gegen Art. 5 Abs. 2 DSGVO, auch wenn die Verarbeitungen selbst korrekt sind.

Pflichten des Verantwortlichen im Ueberblick

Als Verantwortlicher muss die Organisation: Rechtmaessigkeit jeder Verarbeitung sicherstellen (Art. 6), Betroffenenrechte ermoeglichen (Art. 15-22), technisch-organisatorische Massnahmen implementieren (Art. 32), Datenpannen erkennen und melden (Art. 33-34), Datenschutz-Folgenabschaetzungen durchfuehren (Art. 35), Auftragsverarbeiter sorgfaeltig auswaehlen und durch AVVs binden (Art. 28), und all das dokumentieren und nachweisen koennen (Art. 5 Abs. 2).

Evidence-Anforderungen im Audit

Der Auditor erwartet: korrekte und vollstaendige Datenschutzerklaerung mit Angabe des Verantwortlichen, Verarbeitungsverzeichnis (Art. 30), Dokumentation aller technisch-organisatorischen Massnahmen, Nachweise ueber durchgefuehrte Datenschutz-Schulungen, AVV-Verzeichnis und -- bei gemeinsamer Verantwortlichkeit -- die Art.-26-Vereinbarungen.

Naechster Schritt

Stresstest starten

Kostenloser Compliance-Stresstest -- DSGVO und technische Sicherheit in 20 Minuten.

Die strategische Einordnung -- warum die Verantwortlichenrolle langfristig mehr als ein Compliance-Pflichtprogramm ist -- findet sich auf Ebene 3.

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.

Stresstest starten Whitepaper