FRAGE:
Bei uns findet gerade ein Audit im Rahmen einer von uns erbrachten Auftragsverarbeitung statt. Der Auditor fordert hier auch Auskunft über meine Qualifikation. Was mich etwas stutzen lässt: Er fordert auch Kopien meiner Zertifizierungslehrgänge, etwa als Datenschutzbeauftragter. Ist das so in Ordnung?
ANTWORT:
Fragen Sie doch einfach mal nach, warum der Auditor eine Kopie braucht. Denn auch für die Verarbeitung dieser personenbezogenen Informationen benötigt der Auditor eine Rechtsgrundlage. Unabhängig davon, worauf er sich beruft, wird sich die Frage der Erforderlichkeit stellen. So wird für den Nachweis Ihrer Qualifikation gerade keine Kopie notwendig sein.
Milderes Mittel ist in diesem Fall die Einsichtnahme und die Dokumentation, dass ein Zertifikat vorgelegt wurde. Im Übrigen können Sie auch mit Art. 5 Abs. 1 Datenschutz-Grundverordnung argumentieren. Gemäß dem Grundsatz der Datenminimierung müssen personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.
Bedenken Sie abschließend noch Folgendes: Eventuell handelt es sich bei der Sache auch nur um einen Test des Auditors. Möglicherweise will dieser auf diese Weise herausfinden, wie genau Sie es mit dem Datenschutz und den Anforderungen nehmen.
Sie möchten den ganzen Artikel lesen, aber haben noch keinen Zugang?
Testen Sie ‘Datenschutz aktuell professional’ 14 Tage GRATIS und profitieren Sie von:
- praxisnahem Wissen zur Verbesserung und Erleichterung Ihrer Arbeit als betrieblicher Datenschutzbeauftragter
- Erläuterungen zu aktuellen Gesetzesänderungen
- praxisnahen Arbeitshilfen
