Suche

Bitte mit Enter bestätigen

DSGVO-Praxisreihe: Folge 1

Datenschutz-Dokumentation und Verzeichnis aller Verarbeitungstätigkeiten

Datenschutz-Dokumentation 

Eine wesentliche Pflicht des Verantwortlichen ist die Dokumentation seines Datenschutzkonzeptes. Dies spielt auch im Falle eines Datenschutzverstoßes für die Frage der Bußgeldhöhe eine entscheidende Rolle. Hier muss der Verantwortliche gedanklich seine Prozesse durchdenken und den DSGVO-konformen Umgang dokumentieren. 

Die Datenschutzdokumentation enthält insbesondere

  • eine allgemeine Beschreibung des Unternehmens und des Umgangs mit Daten,  
  • das Datenschutzverzeichnis
  • ein Löschkonzept und 
  • die Maßnahmen zur Datensicherheit (TOMs).


Folgende Inhalte sollten im Rahmen einer Datenschutzdokumentation skizziert werden:

  • Gegenstand (Produkte und DL) des Unternehmens, Standorte, Standorte außerhalb der EU?, Anzahl Mitarbeiter
  • Nennung der Verantwortlichen und des Datenschutzbeauftragten (Wenn kein Datenschutzbeauftragter benannt ist: Erklärung, warum dies nach Ihrer Meinung nicht erforderlich ist)
  • Werden Daten automatisiert verarbeitet? Werden Daten von Kindern oder solche besonderer Art (Art. 9 DSGVO) verarbeitet? 
  • Vorlage des Verarbeitungsverzeichnisses
  • Erklärung des Umgangs mit etwaigen Datenschutzverstößen (Meldewege, Fristeneinhaltung etc.)
  • Erklärung des Löschkonzeptes 
  • Erläuterung des Rollen- und Rechtekonzeptes (Wer legt Zugriffsrechte und technische und organisatorische Maßnahmen [TOMs] fest?). 
  • Erklärung des Konzeptes zur Sicherstellung der Erfüllung der Betroffenenrechte (insb. auf Auskunft und Löschung)
  • Wie gestaltet sich der Umgang mit der Internet­nutzung der Mitarbeiter?
  • Übersicht über die IT-Infrastruktur und die TOMs 


Verzeichnis aller Verarbeitungstätigkeiten 

Jeder Verantwortliche muss ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen (Art. 30 DSGVO). 

Das Verzeichnis aller Verarbeitungstätigkeiten enthält folgende Angaben:

  • den Namen und die Kontaktdaten des Verantwortlichen und ggf.  des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten,
  • die Zwecke der Verarbeitung,
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden einschließlich Empfänger in Dritt­ländern oder internationalen Organisationen;
  • ggf. Übermittlungen von personenbezogenen Daten an ein Drittland,
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien sowie
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (Art. 32 Abs. 1 DSGVO).



Zahlreiche Beispiele wie dieses Verzeichnis beispielsweise in Form einer Tabelle geführt werden könnte zeigen wir Ihnen ab Seite 5 unseres E-Books „DSGVO-Praxisguide“, der Ihnen hier zum Download bereitsteht.


Weitere Folgen unserer DSGVO-Praxisreihe finden Sie hier:

Autor
  • Tim Günther
    Tim Günther berät in Fragen des gewerblichen Rechtsschutzes und des Versicherungsrechts und vertritt Angehörige der freien Berufe in berufsrechtlichen Angelegenheiten.
    mehr ...