Datenschutzbeauftragte sind ein grundlegender Bestandteil der umfassenderen Cyber-Sicherheitsmaßnahmen eines Unternehmens.
DSGVO Artikel 37 betont die Bedeutung der Rolle und bietet Leitlinien dazu, wie ein Datenschutzbeauftragter ernannt werden sollte, welche Kernaktivitäten die Rolle ausübt und wie solche Ernennungen kommuniziert werden.
Benennung des Datenschutzbeauftragten
- Der Verantwortliche und der Auftragsverarbeiter benennen in jedem Fall einen Datenschutzbeauftragten:
- (a) die Verarbeitung durch eine öffentliche Behörde oder Stelle durchgeführt wird, mit Ausnahme von Gerichten, die in ihrer rechtsprechenden Funktion handeln;
- (b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht aus Verarbeitungsvorgängen, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang erfordern; oder
- (c) Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Datenkategorien gemäß Artikel 9 und personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten gemäß Artikel 10.
- Eine Unternehmensgruppe kann einen einzigen Datenschutzbeauftragten benennen, sofern ein Datenschutzbeauftragter von jedem Betrieb aus leicht erreichbar ist.
- Handelt es sich bei dem Verantwortlichen oder Auftragsverarbeiter um eine Behörde oder Stelle, kann unter Berücksichtigung ihrer Organisationsstruktur und Größe ein einziger Datenschutzbeauftragter für mehrere dieser Behörden oder Stellen benannt werden.
- In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder Auftragsverarbeiter oder Verbände und andere Stellen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen bzw. müssen einen Datenschutzbeauftragten benennen, sofern dies nach dem Recht der Union oder des Mitgliedstaats erforderlich ist. Der Datenschutzbeauftragte kann für solche Verbände und andere Vertretungsorgane von Verantwortlichen oder Auftragsverarbeitern tätig werden.
- Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualitäten und insbesondere seiner Fachkenntnisse über Datenschutzgesetze und -praktiken sowie der Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben ernannt.
- Der Datenschutzbeauftragte kann Mitarbeiter des Verantwortlichen oder Auftragsverarbeiters sein oder die Aufgaben auf Grundlage eines Dienstleistungsvertrages wahrnehmen.
- Der Verantwortliche bzw. Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese der Aufsichtsbehörde mit.
Benennung des Datenschutzbeauftragten
- Der Verantwortliche und der Auftragsverarbeiter benennen in jedem Fall einen Datenschutzbeauftragten:
- (a) die Verarbeitung durch eine öffentliche Behörde oder Stelle durchgeführt wird, mit Ausnahme von Gerichten, die in ihrer rechtsprechenden Funktion handeln;
- (b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht aus Verarbeitungsvorgängen, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang erfordern; oder
- (c) Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Datenkategorien gemäß Artikel 9 und personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten gemäß Artikel 10.
- Eine Unternehmensgruppe kann einen einzigen Datenschutzbeauftragten benennen, sofern ein Datenschutzbeauftragter von jedem Betrieb aus leicht erreichbar ist.
- Handelt es sich bei dem Verantwortlichen oder Auftragsverarbeiter um eine Behörde oder Stelle, kann unter Berücksichtigung ihrer Organisationsstruktur und Größe ein einziger Datenschutzbeauftragter für mehrere dieser Behörden oder Stellen benannt werden.
- In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder Auftragsverarbeiter oder Verbände und andere Stellen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen. Der Datenschutzbeauftragte kann für solche Verbände und andere Vertretungsorgane von Verantwortlichen oder Auftragsverarbeitern tätig werden.
- Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualitäten und insbesondere seiner Fachkenntnisse über Datenschutzgesetze und -praktiken sowie der Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben ernannt.
- Der Datenschutzbeauftragte kann Mitarbeiter des Verantwortlichen oder Auftragsverarbeiters sein oder die Aufgaben auf Grundlage eines Dienstleistungsvertrages wahrnehmen.
- Der Verantwortliche bzw. Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese dem Beauftragten mit.
Wir sind kostengünstig und schnell
DSGVO Artikel 37 beschreibt 7 Schlüsselbereiche, die Organisationen bei der Ernennung und Verwaltung der Aktivitäten eines berücksichtigen müssen Datenschutzbeauftragter:
In diesem Abschnitt sprechen wir über die DSGVO-Artikel 37 (1)(a), 37 (1)(b), 37 (1)(c), 37 (2), 37 (3), 37 (4), 37 (5). ), 37 (6), 37(7)
Organisationen sollten Rollen und Verantwortlichkeiten definieren, die spezifisch für einzelne Funktionen sind, die in ihrer Datenschutzrichtlinie enthalten sind – sowohl in ihrer allgemeinen Richtlinie als auch in themenspezifischen Richtlinien.
Personen mit besonderen Verantwortlichkeiten sollten über ausreichende Qualifikationen für die Durchführung datenschutzbezogener Aufgaben verfügen und kontinuierliche Unterstützung erhalten, die ein akzeptables Kompetenzniveau gewährleistet.
Zu den Verantwortungsbereichen sollten gehören:
ISO erkennt an, dass jede Organisation in der Art und Weise, wie sie Informationen verarbeitet, einzigartig ist. Die oben genannten Verantwortungsbereiche sollten von standort- und einrichtungsspezifischen Richtlinien begleitet werden, die reale Faktoren berücksichtigen, die sich auf den PII-Verarbeitungsvorgang einer Organisation auswirken.
Alle oben genannten Verantwortlichkeiten und Sicherheitsbereiche sollten klar dokumentiert und allen relevanten Mitarbeitern zugänglich gemacht werden.
Organisationen sollten eine Person benennen, die Kunden (und externen Behörden) als dedizierter Ansprechpartner für alle PII-bezogenen Angelegenheiten nutzen kann (siehe ISO 27701 Abschnitt 7.3.2).
Darüber hinaus sollten Organisationen die Verantwortung für den Aufbau eines organisatorischen Datenschutz-Governance-Programms, das die Einhaltung lokaler und nationaler PII-Gesetze und -Vorschriften unterstützt, an eine oder mehrere Personen delegieren.
| DSGVO-Artikel | ISO 27701-Klausel | Unterstützende Klauseln der ISO 27701 |
|---|---|---|
| EU-DSGVO Artikel 37 (1)(a) bis 37 (7) | ISO 27701 6.3.1.1 | ISO 27701 7.3.2 |
Ihre komplette DSGVO-Lösung.
Unsere vorgefertigte Umgebung fügt sich nahtlos in Ihr Managementsystem ein und ermöglicht es Ihnen, Ihren Ansatz zum Schutz Ihrer europäischen und britischen Kundendaten zu beschreiben und zu demonstrieren.
Mit ISMS.online können Sie ganz einfach ein Datenschutzniveau nachweisen, das über „angemessen“ hinausgeht, und das alles an einem sicheren, immer verfügbaren Ort.
Erfahren Sie mehr von eine Demo buchen.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
Fordern Sie ein Angebot an
