Aufgaben des DSB: Artikel 39 Absatz 1 Buchstabe c und Artikel 30 DS-GVO
In Sachen Datenschutz-Folgenabschätzung lässt sich der Verantwortliche bzw. der Auftragsverarbeiter vom DSB beraten,
- ob eine DS-Folgenabschätzung durchgeführt werden sollte oder nicht
- welche Methodik bei der Durchführung einer solchen DS-Folgenabschätzung angewandt werden sollte
- ob diese DS-Folgenabschätzung intern oder extern erfolgen sollte
- welche Sicherheitsvorkehrungen (einschließlich technischer und organisatorischer Maßnahmen) getroffen werden sollten, um bestehenden Bedrohungen der Rechte und Interessen der Betroffenen zu begegnen
- ob die Datenschutz-Folgenabschätzung ordnungsgemäß durchgeführt worden ist und ob die daraus gezogenen Schlussfolgerungen (bezüglich der Frage, ob die Datenverarbeitung fortgesetzt werden sollte oder nicht und welche Sicherheitsvorkehrungen gegebenenfalls getroffen werden sollten) im Einklang mit den Datenschutzanforderungen stehen
In Bezug auf die Verzeichnung von Verarbeitungsvorgängen liegt es in der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters und nicht des DSB, ein Verzeichnis der Verarbeitungsvorgänge zu führen. Den Verantwortlichen bzw. den Auftragsverarbeiter hindert jedoch nichts daran, dem DSB die Aufgabe zu übertragen, unter der Verantwortung des Verantwortlichen ein Verzeichnis der Verarbeitungsvorgänge zu führen. Ein solches Verzeichnis sollte als eines der Instrumente angesehen werden, die den DSB in die Lage versetzen, die ihm in Bezug auf die Überwachung der Vorschrifteneinhaltung und in Bezug auf die Unterrichtung und Beratung des Verantwortlichen bzw. des Auftragsverarbeiters obliegenden Aufgaben wahrzunehmen.
Europäische Kommission; 20.03.2018; bow
http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048