So weisen Sie die Einhaltung von Artikel 39 der DSGVO nach

Aufgaben des Datenschutzbeauftragten

Demo buchen

oben,ansicht,geschäft,leute,arbeit,von,zuhause,mit,laptop,auf

DSGVO Artikel 39 beschreibt die Mindestpflichten, die ein Datenschutzbeauftragter erfüllen muss, um als wirksam zu gelten, einschließlich seiner Pflichten gegenüber dem Gesetz und seiner Interaktion mit den Regierungsbehörden.

DSGVO Artikel 39 Gesetzestext

EU-DSGVO-Version

Aufgaben des Datenschutzbeauftragten

  1. Der Datenschutzbeauftragte hat mindestens folgende Aufgaben:

    • (a) den Verantwortlichen oder den Auftragsverarbeiter und die Mitarbeiter, die die Verarbeitung durchführen, über ihre Pflichten gemäß dieser Verordnung und anderen Datenschutzbestimmungen der Union oder der Mitgliedstaaten zu informieren und zu beraten;

    • (b) die Einhaltung dieser Verordnung, anderer Datenschutzbestimmungen der Union oder der Mitgliedstaaten sowie der Richtlinien des Verantwortlichen oder Auftragsverarbeiters in Bezug auf den Schutz personenbezogener Daten zu überwachen, einschließlich der Zuweisung von Verantwortlichkeiten, Sensibilisierung und Schulung des Personals an Verarbeitungsvorgängen und den damit verbundenen Prüfungen beteiligt;

    • (c) auf Anfrage Beratung in Bezug auf die Datenschutz-Folgenabschätzung zu leisten und deren Leistung gemäß Artikel 35 zu überwachen;

    • (d) mit der Aufsichtsbehörde zusammenzuarbeiten;

    • (e) als Kontaktstelle für die Aufsichtsbehörde in Fragen im Zusammenhang mit der Verarbeitung zu fungieren, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls in Bezug auf alle anderen Angelegenheiten zu konsultieren.

  2. Der Datenschutzbeauftragte muss bei der Wahrnehmung seiner Aufgaben das mit den Verarbeitungsvorgängen verbundene Risiko angemessen berücksichtigen und dabei Art, Umfang, Kontext und Zwecke der Verarbeitung berücksichtigen.

Britische DSGVO-Version

Aufgaben des Datenschutzbeauftragten

  1. Der Datenschutzbeauftragte hat mindestens folgende Aufgaben:

    • (a) den Verantwortlichen oder den Auftragsverarbeiter und die Mitarbeiter, die die Verarbeitung durchführen, über ihre Pflichten gemäß dieser Verordnung und anderen nationalen Datenschutzgesetzen zu informieren und zu beraten;

    • (b) die Einhaltung dieser Verordnung, anderer innerstaatlicher Datenschutzgesetze und der Richtlinien des Verantwortlichen oder Auftragsverarbeiters in Bezug auf den Schutz personenbezogener Daten zu überwachen, einschließlich der Zuweisung von Verantwortlichkeiten, Sensibilisierung und Schulung des beteiligten Personals bei Verarbeitungsvorgängen und den damit verbundenen Prüfungen;

    • (c) auf Anfrage Beratung in Bezug auf die Datenschutz-Folgenabschätzung zu leisten und deren Leistung gemäß Artikel 35 zu überwachen;

    • (d) mit dem Kommissar zusammenzuarbeiten;

    • (e) als Kontaktstelle für das Kommissionsmitglied in Fragen der Verarbeitung zu fungieren, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Konsultationen zu allen anderen Angelegenheiten durchzuführen.

  2. Der Datenschutzbeauftragte muss bei der Wahrnehmung seiner Aufgaben das mit den Verarbeitungsvorgängen verbundene Risiko angemessen berücksichtigen und dabei Art, Umfang, Kontext und Zwecke der Verarbeitung berücksichtigen.
Zum Thema springen
Einfach. Sicher. Nachhaltig.

Erleben Sie unsere Plattform in Aktion mit einer maßgeschneiderten praktischen Sitzung, die auf Ihre Bedürfnisse und Ziele zugeschnitten ist.

Buchen Sie Ihre Demo
img

Technischer Kommentar

Datenschutzbeauftragte sollten Organisationen nicht nur über Verarbeitungsaktivitäten informieren und beraten, sondern auch die Einhaltung aller geltenden Gesetze überwachen.

Der von einer Organisation benannte Datenschutzbeauftragte spielt auch eine zentrale Rolle, wenn die Notwendigkeit besteht, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen.

Es ist wichtig zu beachten, dass die Rolle eines Datenschutzbeauftragten zwar streng an die Vertraulichkeitsgrundsätze gebunden ist, er jedoch dennoch die Möglichkeit hat, sich von Regulierungs- und Justizbehörden beraten zu lassen.

ISO 27701 Abschnitt 6.3.1.1 (Rollen und Verantwortlichkeiten im Bereich der Informationssicherheit) und EU-DSGVO Artikel 39

In diesem Abschnitt sprechen wir über die DSGVO-Artikel 39 (1)(a), 39 (1)(b), 39 (1)(c), 39 (1)(d), 39 (1)(e), 39 ( 2)

Datenschutzbeauftragte sollten ausreichend qualifiziert sein, um datenschutzbezogene Aufgaben auszuführen, und ihnen sollte kontinuierliche Unterstützung angeboten werden, um ein akzeptables Kompetenzniveau aufrechtzuerhalten.

ISO erkennt an, dass jede Organisation in der Art und Weise, wie sie Informationen verarbeitet, einzigartig ist. Die oben genannten Verantwortungsbereiche sollten von standort- und einrichtungsspezifischen Richtlinien begleitet werden, die reale Faktoren berücksichtigen, die sich auf den PII-Verarbeitungsvorgang einer Organisation auswirken.

Organisationen sollten eine Person benennen, die Kunden (und externen Behörden) als dedizierter Ansprechpartner für alle PII-bezogenen Angelegenheiten nutzen kann (siehe ISO 27701 7.3.2), nämlich einen DPO.

Darüber hinaus sollten Organisationen die Verantwortung für den Aufbau einer Organisation an eine oder mehrere Personen delegieren Datenschutz-Governance-Programm Dies stärkt die Einhaltung lokaler und nationaler PII-Gesetze und -Vorschriften.

Unterstützende ISO 27701-Klauseln

  • ISO 27701 7.3.2

ISO 27701 Abschnitt 6.4.2.2 (Informationssicherheitsbewusstsein, Aus- und Weiterbildung) und EU-DSGVO Artikel 39 (1)(b)

Als allgemeinen Ansatz sollten Organisationen regelmäßige Schulungsprogramme implementieren (auch während der Onboarding-Phase), die speziell auf ihre eigenen allgemeinen und themenspezifischen Datenschutzrichtlinien und PIMS-bezogenen Anforderungen abgestimmt sind.

Zu den Schulungsformaten können gehören:

  • E-Learning.

  • Individuelle Beratung.

  • Mitarbeiter beschatten sich gegenseitig.

  • Spezielle Schulungsseminare, durchgeführt von themenspezifischen oder allgemeinen Datenschutzspezialisten.

  • Mentoring am Arbeitsplatz.

Mitarbeiter mit einer besonderen Rolle beim Schutz der Privatsphäre – z. B. IKT-Wartungspersonal – sollten von speziellen Schulungsplänen profitieren, die die integrale Rolle berücksichtigen, die sie beim Schutz personenbezogener Daten spielen.

Schulungspläne/-sitzungen sollten mit einer Bewertung abschließen, die der Organisation einen Top-Down-Überblick über die Kompetenzniveaus jedes einzelnen Mitarbeiters bietet.

Ergänzend zu Schulungen am Arbeitsplatz sollten Unternehmen auch Programme zur Sensibilisierung für den Schutz der Privatsphäre einführen, die den Mitarbeitern eine Reihe von Materialien zur Verfügung stellen, die als Informationspunkte zum Thema PII und organisatorischer Datenschutz dienen.

Sensibilisierungsprogramme können Folgendes umfassen:

  • Flugblätter.

  • Broschüren.

  • Büroplakate.

  • Dedizierte Websites.

  • Team-Briefing-Sitzungen.

Die Sensibilisierungsbemühungen sollten sich auf Folgendes konzentrieren:

  • Wie das Management die Einhaltung des Datenschutzes im gesamten Unternehmen aufrechterhalten will und wer die Hauptansprechpartner für personenbezogene Daten sind.

  • Was sind die Compliance-Anforderungen der Organisation unter Berücksichtigung von Gesetzen, behördlichen Bestimmungen, vertraglichen Verpflichtungen und Lieferantenvereinbarungen?

  • Betonung der Notwendigkeit persönlicher Verantwortung beim Schutz personenbezogener Daten und der Konsequenzen bei versehentlichen oder vorsätzlichen Verfahrensverstößen.

  • Grundlegende IKT-Sicherheitsprinzipien wie Passwortsicherheit und Vorfallmeldung.

  • Wie sich das Personal über die feineren Aspekte des Datenschutzes informieren kann (weiterführende Literatur, Ressourcenlisten usw.).

PII sollte als eigenständiges Thema in Schulungsprogrammen zum Schutz der Privatsphäre behandelt werden.

Das Personal muss sich der spezifischen rechtlichen, kommerziellen, rufschädigenden und disziplinarischen Konsequenzen bewusst sein, die sich aus der widerrechtlichen Aneignung und/oder dem Missbrauch personenbezogener Daten ergeben.

Index der verknüpften EU-DSGVO-Artikel und ISO 27701-Klauseln

DSGVO-ArtikelISO 27701-KlauselUnterstützende Klauseln der ISO 27701
EU-DSGVO Artikel 39 (1)(a) bis 39 (2)ISO 27701 6.3.1.1ISO 27701 7.3.2
EU-DSGVO Artikel 39 Absatz 1 Buchstabe bISO 27701 6.4.2.2Andere

Wie ISMS.online hilft

Unterstützen Sie umfassendere Geschäftsentscheidungen. Indem Sie alle Ihre Daten an einem Ort haben, der für die Zusammenarbeit konzipiert ist, sind Sie besser gerüstet, um die richtigen Entscheidungen zu treffen.

Bleiben Sie dem Wandel immer einen Schritt voraus. Risiken sind nicht statisch, daher müssen Ihre Tools anpassungsfähig sein. Bewältigen Sie Bedrohungen und Chancen mühelos mit einem integrierten und dynamischen Tool, das die kontinuierliche Identifizierung, Bewertung und Behandlung von Risiken vereinfacht.

Erfahren Sie mehr von Planen einer Demo.

Entdecken Sie unsere Plattform

Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo

Unternehmen auf der ganzen Welt vertrauen darauf
  • Einfach und leicht zu bedienen
  • Entwickelt für den Erfolg von ISO 27001
  • Spart Ihnen Zeit und Geld
Buchen Sie Ihre Demo
img

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren