Richtlinie zu Datenschutzrollen, Verantwortlichkeiten und Rechenschaftspflicht

Die Richtlinie zu Datenschutzrollen, Verantwortlichkeiten und Rechenschaftspflicht definiert, wie die Organisation Verantwortlichkeiten innerhalb ihres Datenschutz-Informationsmanagementsystems zuweist, dokumentiert, kommuniziert, überprüft und verbessert. Ihr Geltungsbereich umfasst Personal, Funktionen, Systeme, Lieferanten, Auftragsverarbeiter, Unterauftragsverarbeiter und Beziehungen gemeinsam Verantwortlicher, die innerhalb des PIMS-Geltungsbereichs an der Verarbeitung personenbezogener Daten beteiligt sind oder diese beeinflussen. Die Richtlinie gilt in Kontexten als Verantwortlicher, als gemeinsam Verantwortlicher, als Auftragsverarbeiter und als Unterauftragsverarbeiter und ist damit für die gesamte Bandbreite der im Dokument beschriebenen Datenschutz-Betriebsmodelle relevant. Sie stellt außerdem klar, dass sie keine neuen organisatorischen Stellenbezeichnungen schafft; stattdessen definiert sie kanonische PIMS-Rollen, die bestehenden Personen oder Funktionen zugewiesen werden können, wenn die erforderlichen Anforderungen an Zuweisung, Kompetenz, Unabhängigkeit und Interessenkonflikte dokumentiert sind. Die Richtlinie etabliert ein strukturiertes PIMS-Rollenmodell und einen nachweisbasierten Ansatz zur Rechenschaftspflicht. Die oberste Leitung muss das kanonische Rollenmodell in REG01 vor der Erstumsetzung und danach jährlich genehmigen. Der Datenschutzverantwortliche / PIMS-Manager pflegt personenbezogene Rollenzuweisungen, Verantwortungsbereiche und Befugnisebenen in REG01, einschließlich Aktualisierungen nach personellen oder organisatorischen Änderungen. Die Verantwortlichkeit für die Verarbeitung ist mit REG02 verknüpft, in dem Prozessverantwortliche / Geschäftsinhaber vor Beginn der Verarbeitung verantwortliche Eigentümer für jede Verarbeitungstätigkeit personenbezogener Daten zuweisen und Systemverantwortliche / Anwendungsverantwortliche vor der Produktivsetzung verantwortliche Systemverantwortliche dokumentieren. Die Verantwortlichkeit für Beziehungen zu Lieferanten, Auftragsverarbeitern, Unterauftragsverarbeitern, Datenweitergabe an Drittparteien und gemeinsam Verantwortlichen wird vor dem Onboarding oder der Genehmigung von Vereinbarungen in REG08 aufgezeichnet. Ein zentraler Bestandteil der Richtlinie ist das Management von Rollenkombinationen, Funktionstrennung und Unabhängigkeit. Die Richtlinie erlaubt praktikable Rollenkombinationen, auch für kleine und mittlere Organisationen, verlangt jedoch eine Dokumentation, bevor Kombinationen wirksam werden. Rollenkombinationen, die den Datenschutzverantwortlichen / PIMS-Manager, den Datenschutzbeauftragten (DPO) / Datenschutzberater, den Leiter Informationssicherheit, den Incident-Response-Koordinator oder den Prüfer für interne Audits / Einhaltungsprüfungen betreffen, erfordern die Genehmigung der obersten Leitung in REG01. Der Prüfer für interne Audits / Einhaltungsprüfungen muss vor jedem Audit oder jeder Überprüfung der Einhaltung in REG12 die Unabhängigkeit vom geprüften PIMS-Prozess dokumentieren. Wenn Konflikte der Funktionstrennung nicht vermieden werden können, müssen kompensierende Kontrollen aufgezeichnet werden, und der Datenschutzbeauftragte (DPO) / Datenschutzberater muss Bedenken hinsichtlich Unabhängigkeit oder Interessenkonflikten innerhalb von fünf Geschäftstagen nach Identifizierung aufzeichnen. Die Richtlinie definiert außerdem die Rechenschaftspflicht über Verantwortlichkeiten als Verantwortlicher, gemeinsam Verantwortlicher, Auftragsverarbeiter und Unterauftragsverarbeiter hinweg. Verarbeitung durch den Verantwortlichen erfordert vor Beginn der Verarbeitung aufgezeichnete Verantwortlichkeit für Zuständigkeiten, Zweckverantwortung und Verantwortlichkeit für Nachweise in REG02. Die Zuweisung der Verantwortlichkeit von gemeinsam Verantwortlichen, die Verantwortlichkeit für Kundenweisungen an Auftragsverarbeiter, die Verantwortlichkeit für die Aufsicht über Unterauftragsverarbeiter, der Genehmigungsstatus und Eskalationswege für Drittparteienverantwortung werden über REG08 gesteuert. Der Datenschutzverantwortliche / PIMS-Manager überprüft die Rollenklassifizierungsaufzeichnungen in REG02 und REG08 vierteljährlich und innerhalb von 15 Geschäftstagen nach einer wesentlichen Änderung. Die Richtlinie verlangt ferner, dass Datenschutzberatung, Beiträge zur Verantwortung für die Sicherheit personenbezogener Daten, Eskalationsverantwortung bei Verletzungen des Schutzes personenbezogener Daten und Datenschutzvorfällen, ungelöste Zuständigkeitsstreitigkeiten und rollenbezogene Eskalationen in definierten Nachweisobjekten dokumentiert werden. Governance, Messung, Ausnahmen, Durchsetzung und Pflege sind in das Modell der Rechenschaftspflicht integriert. Die oberste Leitung überprüft Vollständigkeit, unbesetzte Rollen, Rollenkonflikte, Ausnahmen von der Rechenschaftspflicht und Kennzahlen im Rahmen der Managementbewertung. Der Datenschutzverantwortliche / PIMS-Manager führt vierteljährliche Überprüfungen der Rechenschaftspflicht durch, verfolgt unbesetzte und kombinierte Rollen, berichtet über den Abschluss der rollenbezogenen Sensibilisierung, verwaltet Ausnahmen mit definierten Ablaufgrenzen und erfasst fehlende, unrichtige oder veraltete Zuweisungen als Nichtkonformitäten. Prozessverantwortliche / Geschäftsinhaber müssen die Produktivsetzung neuer oder geänderter Verarbeitungstätigkeiten personenbezogener Daten verhindern, wenn erforderliche Rollen- und Rechenschaftsnachweise fehlen. Prüfer für interne Audits / Einhaltungsprüfungen testen Rollennachweise, berichten Feststellungen und verifizieren die Wirksamkeit von Korrekturmaßnahmen. Die Richtlinie selbst muss jährlich und innerhalb von 30 Tagen nach einer wesentlichen Änderung des PIMS-Rollenmodells überprüft werden.