CNIL: Sechs Stu­fen zur DSGVO-Compliance

Die fran­zö­si­sche Daten­schutz-Auf­sichts­be­hör­de CNIL (Com­mis­si­on Natio­na­le de l’Informatique et des Liber­tés) hat einen Leit­fa­den zur Erstel­lung der DSGVO-Com­pli­an­ce ver­öf­fent­licht. Der Leit­fa­den ent­spricht in etwa dem Vor­ge­hen, das sich für Com­pli­an­ce-Pro­jek­te bereits eta­bliert hat, und umfasst sechs Schritte:

  1. Bestel­lung eines Daten­schutz­ver­ant­wort­li­chen
  2. Daten-Map­ping: Die bear­bei­te­ten Per­so­nen­da­ten und Bear­bei­tun­gen sind syste­ma­tisch und prä­zi­se zu erfassen.
  3. Prio­ri­sie­rung der Mass­nah­men: Auf Grund­la­ge des Daten-Map­pings sind die Mass­nah­men zu bestim­men, die erfor­der­lich sind, um die Com­pli­an­ce mit den Anfor­de­run­gen v.a. der DSGVO sicher­zu­stel­len. Die­se Mass­nah­men sind zu priorisieren.
  4. DSFA: Sofern beim Map­ping Bear­bei­tun­gen mit hohen Risi­ken iden­ti­fi­ziert wer­den, ist eine Daten­schutz-Fol­gen­ab­schät­zung (DSFA) durchzuführen.
  5. Gestal­tung und Imple­men­tie­rung der inter­nen Abläu­fe: Falls erfor­der­lich sind neue Abläu­fe für daten­schutz­recht­li­che Pro­zes­se zu defi­nie­ren, z.B. für den Umfang mit Aus­kunfts- oder Berichtigungsbegehren.
  6. Doku­men­ta­ti­on: Die nach der DSGVO erfor­der­li­che Doku­men­ta­ti­on ist zu erstel­len und aktu­ell zu halten.

Zu die­sen Punk­ten fin­den sich wei­ter­füh­ren­de Infor­ma­tio­nen und stel­len­wei­se auch Unter­la­gen wie bspw. ein (recht knap­pes) For­mu­lar für das Datenmapping.

Hun­ton & Wil­liams hat dazu einen aus­führ­li­che­ren Bei­trag ver­fasst (auf Englisch).