Die fran­zö­si­sche Daten­schutz-Auf­sichts­be­hör­de CNIL (Com­mis­si­on Natio­na­le de l’Informatique et des Liber­tés) hat einen Leit­fa­den zur Erstel­lung der DSGVO-Com­pli­an­ce ver­öf­fent­licht. Der Leit­fa­den ent­spricht in etwa dem Vor­ge­hen, das sich für Com­pli­an­ce-Pro­jek­te bereits eta­bliert hat, und umfasst sechs Schrit­te:

  1. Bestel­lung eines Daten­schutz­ver­ant­wort­li­chen
  2. Daten-Map­ping: Die bear­bei­te­ten Per­so­nen­da­ten und Bear­bei­tun­gen sind syste­ma­tisch und prä­zi­se zu erfas­sen.
  3. Prio­ri­sie­rung der Mass­nah­men: Auf Grund­la­ge des Daten-Map­pings sind die Mass­nah­men zu bestim­men, die erfor­der­lich sind, um die Com­pli­an­ce mit den Anfor­de­run­gen v.a. der DSGVO sicher­zu­stel­len. Die­se Mass­nah­men sind zu prio­ri­sie­ren.
  4. DSFA: Sofern beim Map­ping Bear­bei­tun­gen mit hohen Risi­ken iden­ti­fi­ziert wer­den, ist eine Daten­schutz-Fol­gen­ab­schät­zung (DSFA) durch­zu­füh­ren.
  5. Gestal­tung und Imple­men­tie­rung der inter­nen Abläu­fe: Falls erfor­der­lich sind neue Abläu­fe für daten­schutz­recht­li­che Pro­zes­se zu defi­nie­ren, z.B. für den Umfang mit Aus­kunfts- oder Berich­ti­gungs­be­geh­ren.
  6. Doku­men­ta­ti­on: Die nach der DSGVO erfor­der­li­che Doku­men­ta­ti­on ist zu erstel­len und aktu­ell zu hal­ten.

Zu die­sen Punk­ten fin­den sich wei­ter­füh­ren­de Infor­ma­tio­nen und stel­len­wei­se auch Unter­la­gen wie bspw. ein (recht knap­pes) For­mu­lar für das Daten­map­ping.

Hun­ton & Wil­liams hat dazu einen aus­führ­li­che­ren Bei­trag ver­fasst (auf Eng­lisch).

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.