In Folge 1 und Folge 2 der Artikel-Serie beschreiben wir, wie Sie ein Verzeichnis der Verarbeitungstätigkeiten anlegen und die dort dokumentierten Prozesse analysieren. Die Ergebnisse der Analyse müssen nun bewertet werden, um aufzudecken, ob es im Unternehmen Verarbeitungstätigkeiten gibt, die nicht datenschutzkonform ablaufen. Kann die Zuarbeit für Bestandsaufnahme und Analyse auch von fachfremden Mitarbeitern erfolgen, ist bei der Bewertung die Expertise des Datenschutzbeauftragten gefragt. Er muss beurteilen, ob ein Analyseergebnis im Widerspruch zu den gesetzlichen Bestimmungen steht. Zusätzlich muss er aufgedeckte Mängel beschreiben, damit im Anschluss konkrete Maßnahmen abgeleitet werden können.
Datenschutz einführen – Schritt für Schritt
(Folge 3: Bewerten)

Schritt 3
Nach der Analyse einer Verarbeitungstätigkeit muss das Ergebnis bewertet werden, um Schwachstellen aufzudecken.
Wie bei den vorherigen Schritten (Bestandsaufnahme und Analyse) besteht auch bei der Bewertung eine weitere, grundsätzliche Herausforderung darin, den Überblick zu behalten. Eine gründliche Bestandsaufnahme fördert in der Regel eine Vielzahl an Prozessen zutage, die datenschutzrechtlich relevant sind. Bestandsaufnahme, Analyse und Bewertung erfolgen in den meisten Fällen parallel, da Verarbeitungstätigkeiten nicht gleichzeitig, sondern nach und nach in das Verzeichnis aufgenommen und aktualisiert werden. Als Datenschutzbeauftragter müssen Sie diese Komplexität durch Datenschutzmanagement bewältigen. Sie sollten jederzeit nachvollziehen können, ob ein Prozess bereits in das Verzeichnis aufgenommen wurde und in welcher nachfolgenden Stufe er sich befindet (Analysieren, Bewerten, Aktualisieren). Die Datenschutz-Software otris privacy dokumentiert automatisiert sämtliche Arbeiten, die Sie mit dem System durchführen. Der aktuelle Zustand Ihrer Datenschutz-Organisation ist somit kontinuierlich nachvollziehbar und Sie sind auf Knopfdruck auskunftsfähig – sowohl intern als auch extern. Welche Verarbeitungstätigkeit bereits analysiert, jedoch noch nicht bewertet wurde, sehen Sie beim Blick in das Verzeichnis: Ein Klick auf die jeweilige Verarbeitungstätigkeit zeigt den Stand der Bearbeitung.

Stand der Bearbeitung
Diese Verarbeitungstätigkeit ist in der Analysephase. Nach Abschluss wird die Analyse bewertet bzw. kontrolliert.
Bewerten mit otris privacy
Nachdem der Fachbereich (oder eine andere zuständige Person) die zugeordneten Checklisten-Fragen für eine Verarbeitungstätigkeit beantwortet hat, wechselt sie vom Zustand „analysieren“ zu „kontrollieren“. Als Datenschutzbeauftragter müssen Sie nun die Antworten bewerten. Hierzu öffnen Sie ein Formular, in dem Sie jede einzelne Frage mit der jeweiligen Antwort sehen und Checkboxen zur Bewertung anklicken: OK, bedingt OK, nicht OK, nicht bewertet. Bewerten Sie mit „nicht OK“ oder „bedingt OK“, ist es sinnvoll, zusätzlich den Grund für die Abweichung in dem Feld „Mängelbeschreibung/Bemerkung“ zu hinterlegen. Das vereinfacht die anschließende Definition von Maßnahmen.

Bewertung der Antworten durch den Datenschutzbeauftragten
Nach der Bewertung der Antworten fasst die Datenschutz-Software otris privacy das Ergebnis übersichtlich zusammen. Ampelsymbole verdeutlichen, an welchen Stellen es Verbesserungsbedarf gibt. Haben Sie auf diese Weise Schwachstellen in Ihrer Datenschutz-Organisation identifiziert, müssen Sie konkrete Maßnahmen zur Behebung entwickeln. Wie Sie vorgehen können und wie Sie otris privacy hierbei unterstützt, ist Thema der nächsten Folge dieser Artikel-Serie.