Datenschutz
Beratung, Prüfung und Erstellung der notwendigen Datenschutzdokumentation
Aufgrund der Komplexität der Datenschutzthematik inkl. laufender Änderungen der gesetzlichen Anforderungen sind aufkommende Fragen unvermeidbar. Sie können sich mit allen aufkommenden Fragen bzw. Problemen an uns jederzeit wenden. Vielleicht haben Sie Spezialthemen in Ihrem Unternehmen oder keine ausreichende Zeit, um sich nebenbei effizient in die Datenschutzthematik einzuarbeiten. Gern unterstützen wir aber auch Ihren evtl. bereits vorhandenen internen Datenschutzbeauftragten und stehen diesem beratend zur Seite.
Um den Rechenschaft- bzw. Nachweispflichten nach der DS-GVO nachzukommen sind verschiedene Dokumentationen erforderlich. Nachfolgende Dokumentationen sind wichtig, um mehr Sicherheit im Bereich Datenschutz zu erzielen:
Abschluss von Auftragsverarbeitungsvereinbarungen
Wenn personenbezogene Daten durch Ihre Dienstleister in Ihrem Auftrag verarbeitet werden ist einiges zu berücksichtigen. Der Auftragsverarbeiter verarbeitet die Daten im Auftrag des Verantwortlichen. Gemäß Artikel 28 DS-GVO ist ein datenschutzkonformer Vertrag nach bestimmten Regeln zwischen den Auftragverarbeiter und Ihnen abzuschließen. Die DS-GVO ist hier ausnahmsweise relativ spezifisch, wenn es darum geht wie die Zusammenarbeit gestaltet werden soll (Auszug, näheres regelt Artikel 28, Abs. 3 DS-GVO):
- Daten sollen nur auf Weisung des Verantwortlichen weiterverarbeitet werden.
- Die mit der Verarbeitung befassten Personen müssen der Vertraulichkeit verpflichtet sein und dürfen nur auf Weisung des Verantwortlichen handeln.
- Der Verantwortliche muss vor Beginn der Zusammenarbeit sicherstellen, dass die beauftragten Verarbeiter die erforderlichen technischen und organisatorischen Maßnahmen sicherstellen können.
- Der Vertrag über die Zusammenarbeit bzw. die Verarbeitung der Daten kann schriftlich oder elektronisch erfolgen.
Auftragsverarbeiter dürfen nur Stellen sein, die geeignete technische und organisatorische Maßnahmen gewährleisten können. Daher müssen die seitens des Auftragsverarbeiter implementierten technischen und organisatorischen Maßnahmen dokumentiert und kontrolliert werden. In diesem Zusammenhang führen wir für Sie gern auch Datenschutz Audits bei den für Sie als Auftragsverarbeiter tätigen externen Dienstleistern durch.
Wenn sich Verantwortlicher und Auftragsverarbeiter die Verarbeitung der Daten teilen, muss zudem transparent festgehalten werden, wer die Verantwortung für die Verarbeitung welcher Daten übernimmt, wer die Betroffenen über die Verarbeitung der Daten informiert und wer
die Daten wann wieder löscht. Das Verhältnis beider Parteien in dieser Vereinbarung muss der betroffenen Person sichtbar widergespiegelt werden, da die betroffene Partei regelmäßig ein Recht auf Einblick in diese Vereinbarung hat.
Der Auftragsverarbeiter kann einen Dritten damit beauftragen die Daten zu verarbeiten. Dieser muss allerdings dann dieselben technischen und organisatorischen Maßnahmen umgesetzt werden wie der Auftragsverarbeiter.
Verfahrensverzeichnis
Jeder Verantwortliche und ggf. seine Vertreter müssen ein Verzeichnis über die Verarbeitungstätigkeiten führen, das auf Anfrage der Datenschutzaufsichtsbehörde zur Verfügung gestellt werden muss. Im Verfahrensverzeichnis hat ein Unternehmen sämtliche im Unternehmen stattfindende Verarbeitungstätigkeiten, deren Zweck, Rechtsgrundlage und Dauer im Einzelnen zu dokumentieren. Mit Verarbeitungstätigkeit sind Prozesse und IT-Systeme gemeint, in denen personenbezogene Daten verarbeitet werden. Zum Beispiel ist die Lohn- und Gehaltsabrechnung eine solche Verarbeitungstätigkeit. Dieses Verzeichnis kann sowohl schriftlich als auch elektronisch geführt werden und muss folgende Mindestangaben enthalten (Artikel 30 Abs. 1 DS-GVO ):
- Name und Kontaktdaten des Verantwortlichen, ggf. dessen Vertreter und deren Datenschutzbeauftragte
- Den Zweck der Verarbeitung
- Eine Beschreibung der Kategorien betroffener Personen sowie die Kategorien personenbezogener Daten
- Die Kategorien von Empfängern denen die Daten der Betroffenen bereits offengelegt wurden bzw. voraussichtlich offengelegt werden, inkl. aller Drittländer
- Dokumentation über Übermittlung der Daten in ein Drittland
- sofern möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
- eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen
Datenschutzfolgenabschätzung
Die Datenschutzaufsichtsbehörden habe eine Liste von Verarbeitungstätigkeiten festgelegt für die eine Datenschutzfolgenabschätzung zwingend durchgeführt werden muss. Hiervon unabhängig haben jedoch sämtliche Unternehmen auf Basis des Verzeichnisses der Verarbeitungstätigkeiten zu entscheiden, welche Datenverarbeitungen vermutlich ein hohes Risiko für die betroffenen Personen beinhalten. Insoweit kann man sich die Datenschutzfolgenabschätzung als eine Art Risikobewertung vorstellen, dessen Durchführung der Datenschutzbeauftragte überwacht.
Insbesondere im Falle einer Einbeziehung von Dienstleistern aus Drittländer hat das Unternehmen grundsätzlich stets eine Risikofolgenabschätzung durchzuführen.
Datenschutzkonzept (technische und organisatorische Maßnahmen)
Jedes Unternehmen hat ein Datenschutzkonzept zu erstellen und auf Verlangen den Behörden vorzulegen. In diesem Datenschutzkonzept werden alle datenschutzrechtlichen Aspekte eines Unternehmen zusammenfassend beschrieben und interne einzuhaltende Regeln im Zusammenhang mit Datenschutz für die Mitarbeiter festgelegt. Es sollte nachfolgenden Mindestinhalt haben:
- Datenschutzpolitik und Verantwortlichkeiten im Unternehmen festlegen.
- Rechtliche Rahmenbedingungen im Unternehmen beschreiben.
- Dokumentation des Schutzbedarfs der Daten inkl. interner und externer Überprüfungen.
- Bestehende technische und organisatorische Maßnahmen bzgl. Vertraulichkeit, Verfügbarkeit und Integrität beschreiben.
- Organisatorische Mindestregelungen festlegen.
Unsere Expertin
Myriam Kirschner
Erfahrung: Anwältin bei CMS Hasche Sigle und Skadden Arps, TÜV-Zertifizierte Datenschutzbeauftragte und Geldwäschepräventionsbeauftragte.
Ausbildung: Studium der Rechtswissenschaften an den Universitäten Passau, LMU München und ITAM (Mexiko). Zugelassen als Rechtsanwältin an der Rechtsanwaltskammer Frankfurt am Main seit Anfang 2014.
Rechtliches
Über uns
DataProtectPlus hat es sich zur Aufgabe gemacht, Unternehmen bei der Umsetzung der DS-GVO und der GWG und der Implementation entsprechender datenschutzrechtlicher Prozesse sowie Maßnahmen zur Geldwäscheprävention zu unterstützen.