Zum Inhalt springen
Resilience Platform DORA · MaRisk · ISO 27001

Trust Center

Datenschutz-Governance

Datenschutz-Governance-Modell — Organisation, VVT, DSFA, TOMs, AVV, Betroffenenrechte, Löschfristen und jährlicher Überprüfungszyklus.

Zurück zum Trust Center

Datenschutzorganisation

Die Datenschutzorganisation stellt die Erfüllung der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) und die operative Umsetzung der DSGVO-Anforderungen sicher.

DSB / Privacy Lead

Datenschutzbeauftragter (Art. 37 DSGVO)

  • Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten
  • Überwachung der Einhaltung der DSGVO und interner Datenschutzvorschriften
  • Beratung bei der Datenschutz-Folgenabschätzung (DSFA)
  • Zusammenarbeit mit der Aufsichtsbehörde und Anlaufstelle für Betroffene
  • Risikoorientierte Prüfung der Verarbeitungstätigkeiten

Reporting: Direkte Berichtslinie an die Geschäftsführung

Independence: Weisungsfrei in der Ausübung der DSB-Tätigkeit; keine Interessenkonflikte

Datenschutzkoordinatoren

Dezentrale Ansprechpersonen in Fachbereichen, die den DSB bei der operativen Umsetzung unterstützen.

  • Erstansprechperson für Datenschutzfragen im Fachbereich
  • Unterstützung bei der Erstellung und Pflege des Verarbeitungsverzeichnisses
  • Meldung von Datenschutzverletzungen an den DSB
  • Durchführung von Löschfristen-Checks
  • Koordination von Betroffenenanfragen im Fachbereich

Qualification: Grundkenntnisse Datenschutzrecht und DSGVO, regelmäßige Fortbildung

Geschäftsführung — Accountability

Die Geschäftsführung trägt die Gesamtverantwortung für die Einhaltung der DSGVO (Art. 5 Abs. 2, Art. 24).

  • Bereitstellung ausreichender Ressourcen für Datenschutz
  • Genehmigung der Datenschutzstrategie und -richtlinien
  • Regelmäßige Befassung mit Datenschutzrisiken (mind. jährlich)
  • Freigabe von DSFA-Ergebnissen und Risikoakzeptanz
  • Sicherstellung der Dokumentation der Rechenschaftspflicht

Schulung und Sensibilisierung

Regelmäßige Schulungen aller Mitarbeitenden sind Kernbestandteil der DSGVO-Compliance (Art. 39 Abs. 1 lit. b).

Group Frequency Content
Alle Mitarbeitenden Jährlich Grundlagen DSGVO, Betroffenenrechte, Datenschutzverletzungen
Datenschutzkoordinatoren Jährlich + anlassbezogen Vertiefung DSGVO, VVT-Pflege, DSFA-Methodik
IT-Entwicklung Jährlich + on-boarding Privacy by Design, Art. 25 DSGVO, Testdatenmanagement
Personalabteilung Jährlich Bewerberdaten, Beschäftigtendatenschutz, § 26 BDSG
Geschäftsführung Jährlich Accountability, Haftungsrisiken, aktuelle Entwicklungen

Dokumentation

Die Dokumentation der Verarbeitungstätigkeiten und der Nachweis der DSGVO-Compliance sind Kernbestandteile der Rechenschaftspflicht.

VVT — Verzeichnis von Verarbeitungstätigkeiten

Art. 30 DSGVO
  • Name und Kontaktdaten des Verantwortlichen und DSB
  • Zwecke der Verarbeitung
  • Kategorien betroffener Personen und personenbezogener Daten
  • Kategorien von Empfängern
  • Übermittlungen in Drittländer mit Garantienachweis
  • Vorgesehene Löschfristen
  • Beschreibung der technischen und organisatorischen Maßnahmen (TOMs)

Maintenance: Laufende Aktualisierung bei Änderungen; jährliche Vollprüfung

DSFA-Screening und Datenschutz-Folgenabschätzung

Art. 35 DSGVO
  • Umfangreiche Verarbeitung besonderer Datenkategorien (Art. 9 DSGVO)
  • Systematische und umfassende Bewertung persönlicher Aspekte (Profiling)
  • Umfangreiche Verarbeitung von sensiblen Daten mit hohem Risiko
  • Neue Technologien oder innovative Verarbeitungsformen
  • Verarbeitung, die Betroffene an der Ausübung ihrer Rechte hindern könnte
  • Kombination mehrerer der genannten Kriterien

DSFA-Screening bei jeder neuen oder geänderten Verarbeitung. Positives Screening führt zur vollständigen DSFA mit Risikoanalyse, Bewertung und Maßnahmenplan.

Legitimate Interest Assessment (LIA)

Art. 6 Abs. 1 lit. f DSGVO
  • Identifikation des berechtigten Interesses
  • Prüfung der Erforderlichkeit der Verarbeitung
  • Abwägung mit den Interessen und Grundrechten der Betroffenen
  • Dokumentation des Abwägungsergebnisses
  • Information der Betroffenen über das Widerspruchsrecht

TOMs — Technische und Organisatorische Maßnahmen

Art. 32 DSGVO
  • Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • Vertraulichkeit (Zugriffskontrolle, Zutrittskontrolle)
  • Integrität (Eingabekontrolle, Weitergabekontrolle)
  • Verfügbarkeit und Belastbarkeit der Systeme
  • Wiederherstellbarkeit nach physischen oder technischen Vorfällen
  • Regelmäßige Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d)

AVV — Auftragsverarbeitungsvertrag / DPA

Art. 28 DSGVO
  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Kategorien personenbezogener Daten und betroffener Personen
  • Weisungsgebundenheit des Auftragsverarbeiters
  • Vertraulichkeitsverpflichtung der Mitarbeitenden des Auftragsverarbeiters
  • Unterstützungspflichten bei Betroffenenrechten und DSFA
  • Nachweis der TOMs durch den Auftragsverarbeiter
  • Regelungen zu Subunternehmern und Ketten-AVV
  • Löschung oder Rückgabe der Daten nach Vertragsende
  • Auditrechte und Kontrollmöglichkeiten des Verantwortlichen

Prozesse

Operative Prozesse zur Umsetzung der DSGVO-Anforderungen im Tagesgeschäft.

Betroffenenrechte (Art. 15–22 DSGVO)

Response Deadline: 30 Tage (Art. 12 Abs. 3 DSGVO)

Right Article Description Process Note
Auskunft Art. 15 DSGVO Bestätigung der Verarbeitung und Kopie der personenbezogenen Daten. Identitätsprüfung des Antragstellers vor Auskunftserteilung.
Berichtigung Art. 16 DSGVO Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten. Prüfung der Richtigkeit; ggf. Benachrichtigung von Empfängern (Art. 19).
Löschung Art. 17 DSGVO Löschung unter den Voraussetzungen des Art. 17 Abs. 1 DSGVO. Abgleich mit gesetzlichen Aufbewahrungspflichten; Sperrung statt Löschung prüfen.
Einschränkung Art. 18 DSGVO Einschränkung der Verarbeitung unter den Voraussetzungen des Art. 18 Abs. 1. Kennzeichnung eingeschränkter Daten; Information bei Aufhebung der Einschränkung.
Datenübertragbarkeit Art. 20 DSGVO Herausgabe der Daten in strukturiertem, gängigen und maschinenlesbarem Format. Nur bei Einwilligung oder Vertrag und automatisierter Verarbeitung.
Widerspruch Art. 21 DSGVO Widerspruch gegen Verarbeitung, insbesondere bei Direktwerbung und Art. 6 Abs. 1 lit. f. Bei Direktwerbung: sofortige Einstellung; sonst: Interessenabwägung.

Löschfristen und Datenaufbewahrung

Definition und Überwachung von Löschfristen je Datenkategorie.

Category Retention Legal Basis
Bewerberdaten 6 Monate nach Abschluss des Verfahrens § 15 Abs. 4 AGG
Vertragsdaten (Kunden) 10 Jahre nach Vertragsende § 147 AO, § 257 HGB
Server-Logfiles 7 Tage Art. 6 Abs. 1 lit. f DSGVO
Einwilligungen Dauer der Verarbeitung + 3 Jahre nach Widerruf Art. 7 Abs. 1 DSGVO i.V.m. § 195 BGB
Betroffenenanfragen 3 Jahre nach Abschluss Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht)

Datenschutzverletzungen (Art. 33, 34 DSGVO)

  1. 1 Erkennung und Erstbewertung durch über 72-Stunden-Frist
  2. 2 Dokumentation im Data-Breach-Register
  3. 3 Bewertung des Risikos für Betroffene
  4. 4 Meldung an Aufsichtsbehörde innerhalb 72 Stunden
  5. 5 Benachrichtigung Betroffener bei hohem Risiko (Art. 34)
  6. 6 Root-Cause-Analyse und Maßnahmenplan

Art. 33 Abs. 5: Vollständige Dokumentation aller Verletzungen.

Testdatenverwaltung

Datenschutzkonforme Bereitstellung von Testdaten für Entwicklungs- und Testumgebungen.

  • Vorrang synthetischer Testdaten vor Produktivdaten
  • Anonymisierung/Pseudonymisierung bei Nutzung von Produktivdaten
  • Zugriffsbeschränkung auf Testumgebungen
  • Regelmäßige Prüfung auf Re-Identifikationsrisiken
  • Löschung von Testdaten nach Testabschluss
  • Dokumentation der Testdatenherkunft und -verarbeitung

Jährliche Überprüfung

Der Datenschutz-Governance-Rahmen wird jährlich auf Aktualität, Wirksamkeit und regulatorische Änderungen überprüft.

  • Vollständigkeit des VVT (Art. 30 DSGVO)
  • Aktualität der TOMs (Art. 32 DSGVO)
  • DSFA-Screening aller neuen Verarbeitungen
  • Löschfristen-Einhaltung und -Überwachung
  • Wirksamkeit der Schulungsmaßnahmen
  • Audit und Überprüfung von Auftragsverarbeitern
  • Data-Breach-Prozess und Reaktionszeiten
  • Betroffenenrechte-Prozess (Antwortzeiten)
  • Regulatorische Änderungen (neue Leitlinien, EuGH-Urteile)
  • Abstimmung mit Informationssicherheit (ISMS-Integration)

Dieses Datenschutz-Governance-Modell stellt eine generische Methodik zur DSGVO-Compliance dar. Es ersetzt keine individuelle Rechtsberatung und muss an die spezifischen Verarbeitungssituationen des jeweiligen Finanzinstituts angepasst werden.

Governance Overview

Legal Basis
DSGVO (EU) 2016/679, BDSG-neu, DORA (EU) 2022/2554, MaRisk
Scope
Resilience Platform — Umsetzungshilfe für Finanzinstitute
Last Review
2026-05-16
Next Review
2026-08-16
Review Status
reviewed

Sources

  • Regulation DSGVO (EU) 2016/679
  • Regulation BDSG (2018)
  • Guideline Kurzpapier DSK — VVT