Compliance - 6-Schritte-Methode der CNIL

Die französische Datenschutzbehörde (CNIL) hat am 15.3.2017 die "methodologie en 6 etapes" (6-Schritte-Methode, 6 steps methodology) veröffentlicht.

Die französische Datenschutzbehörde CNIL hat am 15.3.2017 eine 6-Schritte-Methode zur Vorbereitung auf die DSGVO veröffentlicht. Diese soll es Unternehmen ermöglichen, sich rechtzeitig auf die Verpflichtungen und Vorgaben der DSGVO vorzubereiten, und die Vorgaben korrekt umzusetzen.

Dieser „Fahrplan“ stellt eine (inoffizielle) Übersetzung und Zusammenfassung der Veröffentlichung der CNIL dar; die Übersetzung wurde mit Links zu www.dataprotect.at versehen.

Die „methodologie en 6 etapes“ („6-Schritte-Methode“) umfasst:

Datenschutzbeauftragen bestellen („Désigner un pilote“)
Datenstruktur erheben („Cartographer“)
Maßnahmen priorisieren („Prioriser“)
Risiko managen („Gerer le risques“)
Organisieren („Organiser“)

Dokumentieren („Documenter“)

Schritt 1: Datenschutzbeauftragen bestellen („Désigner un pilote“)

Es wird empfohlen eine verantwortliche Person (als DSB) zu benennen, die Informations-, Beratungs- und Kontrollaufgaben wahrnimmt.

Die verantwortliche Person soll die Compliance mit der DSGVO sicherstellen.

Auch wenn das Unternehmen nicht verpflichtet sein sollte (nach Art. 37 DSGVO) einen DSB zu bestellen, sei es sinnvoll, jemanden zu benennen, der als verantwortliche Person tätig ist.

Die verantwortliche Person soll als „Pilot“ die Umsetzung der Verpflichtungen der DSGVO auf Basis einer Verpflichtungserklärung ermöglichen, und das Unternehmen hat ihm/ihr die notwendigen Ressourcen zur Verfügung zu stellen.

Anmerkung:

Auch wenn ein DSB nicht verpflichtend zu bestellen ist, sollte sich die Organisation damit auseinandersetzen und dokumentieren, aus welchen Überlegungen kein DSB (verpflichtend) Bestellt werden muss.

Der "Pilot" sollte mE nicht "Datenschutzbeauftragter" genannt werden.

Schritt 2: Datenstruktur erheben („Cartographer“)

In diesem Schritt soll die Organisation die Daten im Detail identifizieren, und zwar in der Form, dass ein Verzeichnis von Verarbeitungstätigkeiten iSd Art 30 DSGVO erstellt wird.

Es ist eine umfassende Dokumentation der Datenverarbeitungen notwendig, die in ein Verzeichnis von Verarbeitungstätigkeiten aufgenommen wird. Die CNIL hat eine Vorlage für ein Verzeichnis von Verarbeitungstätigkeiten entwickelt.

Zum nächsten Schritt können Organisationen übergehen, wenn

sie die Stellen und/oder Einheiten (in der Organisation) kontaktiert hat, die (personenbezogene) Daten innerhalb der Datenstruktur erheben und verarbeiten

sie ein Verzeichnis der Verarbeitungstätigkeiten mit den (Haupt-)Zwecken der Verarbeitungen und den Kategorien von personenbezogenen Daten erstellt haben

sie die Lieferanten/
Auftragsdatenverarbeiter, die in die Verarbeitungsaktivitäten involviert sind, identifiziert habenund wissen, dass ihre (personenbezogenen) Daten übermittelt werden und an wen, und wo und wie lange die Daten gespeichert werden.

Schritt 3: Maßnahmen priorisieren („Prioriser“)

Nach Erstellung des Verzeichnis von Verarbeitungstätigkeiten ist es notwendig, die Maßnahmen zu definieren, die erforderlich sind, um die Compliance mit der geltenden Rechtslage und der DSGVO herzustellen. Diese Maßnahmenfestlegung erfolgt unter Berücksichtigung der Risken in Bezug auf die Rechte und Freiheiten der betroffenen Personen.

Folgende Maßnahmen sind durchzuführen bzw. Prinzipien einzuhalten:

Datenminimierung, sohin Sicherstellung, dass nur die personenbezogenen Daten erhoben und in der Folge verarbeitet werden, die zur Erfüllung des Zweckes der Datenverarbeitung notwendig sind.Festlegung der Rechtsgrundlage der Verarbeitung der personenbezogenen DatenReview der bestehenden Datenschutzerklärungen, um sicherzustellen, dass diese den Anforderungen der DSGVO entsprechenPrüfung, ob alle Lieferanten / Auftragsdatenverarbeiter mit den neuen Aufgaben und Verpflichtungen der DSGVO vertraut sind und dass angemessene Datenschutzklauseln in den Vereinbarungen enthalten sindFestlegung von Prozessabläufen bei Ausübung der Rechte einer betroffenen PersonPrüfung, ob Datensicherheitsmaßnahmen implementiert sind

Schritt 4: Risiko managen („Gerer le risques“)

Wenn sich während der bisherigen Schritte herausgestellt hat, dass eine Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben kann, dann ist eine Datenschutz-Folgenabschätzung

iSd Art. 35 DSGVO durchzuführen.

Mehr zur Datenschutz-Folgenabschätzung finden sie auf dataprotect.at.

Schritt 5: Organisieren („Organiser“)

In diesem Schritt müssen die Organisationen Prozesse festlegen, die es gewährleisten, dass jederzeit während der Laufzeit einer Datenverarbeitung unter Berücksichtigung aller möglichen Ereignisse (z.B. Sicherheitsverletzungen, Anfragen von betroffenen Personen, Veränderungen der erhobenen Daten, Veränderungen bei Lieferanten etc…) der Schutz der personenbezogenen Daten gegeben ist.

Im Einzelnen erfordert dies:

Berücksichtigung von Datenschutzprinzipien bei der Einführung einer Verarbeitung oder Verarbeitungstätigkeit.
Erhöhung des Bewusstseins von Mitarbeitern und Sicherstellung, dass datenschutzrelevante Informationen zu den korrekten Ansprechpartnern kommen (Training, Kommunikations-leitlinien etc…)
Richtlinien zur Behandlung von Datenschutzanfragen
Antizipieren von Datenschutzverletzungen und Sicherstellung, dass Data Breach Notifications durchgeführt werden können, und auch die Zeitlimits (z.B. 72 Stunden) eingehalten werden können, wobei die CNIL angibt, dass es ein Online-Meldesystem geben wird

Schritt 6: Dokumentieren („Documenter“)

Für den letzten Schritt ist es notwendig, dass die Organisationen die datenschutzrechtliche Dokumentation zusammenstellen und aufbereiten.

Die Compliance-Aktivitäten und die Dokumente, die in jedem Schritt erstellt werden, müssen in periodischen Abständen geprüft und angepasst werden, um den kontinuierlichen Datenschutz zu gewährleisten.

Im Einzelnen enthält diese Dokumentation:

Verzeichnis von Verarbeitungstätigkeiten iSd Art. 30 DSGVO
Datenschutz-Folgenabschätzungen für Verarbeitungen mit hohen Risken oder die Dokumentation, weshalb keine hohen Risken gegeben sind.
Dokumentation zu den Mechanismen der Datenübermittlungen (z.B. Standardvertragsklauseln, Binding Corporate Rules, Zertifizierungen, sofern anwendbar)
Datenschutzerklärungen
Formulare für die Einwilligungserklärungen von betroffenen Personen, und auch Nachweise, dass die betroffenen Personen die Einwilligung gegeben haben, in den Fällen, in denen die Einwilligung die Rechtsgrundlage darstellt.
Prozesse, die implementiert wurden, um sicherzustellen, dass betroffene Personen ihre Rechte ausüben können;
Vereinbarungen mit Lieferanten und Auftragsdatenverarbeitern; und
Interne Prozesse nach einer Datenschutzverletzung (inkl. Data Breach Notification)

Neue Erkenntnisse im Google Fonts Verfahren ... die Klägerin hatte keine persönlich zugeordnete IP-Adresse ... die Salzburger Nachrichten berichten am 25. März

So 26 Mär 2023

mehr lesen 0 Kommentare

dataprotect macht Werbung

Sa 18 Mär 2023

Österreichische Datenschutzbehörde (nicht rechtskräftig) - Facebook Tracking Pixel verstößt gegen die DSGVO | droht eine neue Abmahnwelle?

Fr 17 Mär 2023

mehr lesen 0 Kommentare

€ 10.000,-- an Schadenersatz für eine nicht erteilte Auskunft; ArbG Oldenburg erklärt, dass Art 82 DSGVO Präventivcharakter hat

Mi 15 Mär 2023

mehr lesen 1 Kommentare

Ein Kampf gegen Windmühlen ... vom 15.01.2019 bis zum 17.02.2023 und noch immer hat die betroffene Person keine Auskunft über die konkreten Empfänger.

Di 14 Mär 2023

mehr lesen 0 Kommentare

Salzburger Nachrichten berichteten am 08.03.2023 über die Streitverhandlung in Sachen Google Fonts

Fr 10 Mär 2023

mehr lesen 0 Kommentare

Videoüberwachungen in WE-Anlagen ... ein Artikel in den ÖVI News 01/2023

Do 09 Mär 2023

mehr lesen 0 Kommentare

Die GIS und der Datenskandal aus dem Jahr 2020 ... gibt es einen Anspruch auf Schadenersatz ... einige Rechtsanwälte denken, dass dies der Fall ist

Do 09 Mär 2023

mehr lesen 0 Kommentare

Am 27.3.2023 finden wieder die Grazer Datenschutzgespräche statt: Thema dieses Mal - Google Fonts

Do 09 Mär 2023

mehr lesen 2 Kommentare

Die aktuelle Rechtfrage von Thomas Schweiger in den Oberösterreichischen Nachrichten am 02.03.2023 - Anspruch auf Entschädigung trotz Videoüberwachung

Di 07 Mär 2023

mehr lesen 0 Kommentare

Medienbericht in der Krone zum Google Fonts Musterprozess am Samstag 04.03.2023

Mo 06 Mär 2023

mehr lesen 0 Kommentare

Wahlwerbung bei der Ärztekammerwahl ist Direktwerbung | Die Eintragung in einem Internetverzeichnis ist keine konkludente Einwilligung zum Erhalt von Werbemails

So 05 Mär 2023

mehr lesen 0 Kommentare

am 03. März 2023 startete der Musterprozess "Google Fonts" Unterlassung und Schadenersatz in Wien ... am 12.9.2023 geht es weiter

Fr 03 Mär 2023

mehr lesen 4 Kommentare

aktuelle Medienberichte zum Google Fonts Verfahren - Strafrechtliches Ermittlungsverfahre - morgen (03.03.2023) startet der Zivilprozess beim LG ZRS Wien

Do 02 Mär 2023

Nicht nur die Medien in Österreich zB die Salzburger Nachrichten berichten über die neuesten Entwickungen im strafrechtlichen Ermittlungsverfahren und erwähnen auch den Start des Zivilprozesses am morgigen 03.03.2023.

mehr lesen 0 Kommentare

HinweisgeberInnenschutzgesetz (HSchG) BG über das Verfahren und den Schutz bei Hinweisen auf Rechtverletzungen in bestimmten Rechtsbereichen - Countdown läuft

Mo 27 Feb 2023

mehr lesen 0 Kommentare

Ich beschäftige mich bereits seit 1995 mit dem Thema "IT-Recht" und zwar seit ich an der Duke University School of Law studiert habe.

In der weiteren Folge habe ich den Lehrgang "Fachanwalt Informationstechnologierecht" in Deutschland absolviert und bin ständig auf dem Gebiet des IT-Rechts und Datenschutz tätig.

Anfang des Jahres 2019 erschien im DatKomm meine Kommentierung der Art 77 (Beschwerdeverfahren), Art 81 (Aussetzung des Verfahrens) sowie Art 82 DSGVO (Haftung und Recht auf Schadenersatz).

Im Jahr 2020 erschien die Neuauflage des Praxishandbuch Datenschutzrecht (Manz) Verlag; mein Beitrag ist das Kapitel zum Thema: "Sanktionen und Rechtsschutz", dh Strafen Schadenersatz, negative Publicity, Beschwerdeverfahren.