Dipl.-Volksw. Fritz Schmidt
Verantwortliche müssen nach Art. 5 Abs. 2 DSGVO nachweisen können, dass sie die Grundsätze für die Verarbeitung personenbezogener Daten eingehalten haben. Daraus ergeben sich Dokumentationspflichten.
8.1 Verfahrensverzeichnisse
Verantwortliche haben ein schriftliches oder elektronisches Verzeichnis aller Verarbeitungstätigkeiten (VVT) personenbezogener Daten im Unternehmen zu führen.
Nach Art. 30 Abs. 5 DSGVO haben Unternehmen mit weniger als 250 Mitarbeitern kein solches Verzeichnis zu führen, sofern die Verarbeitung personenbezogener Daten gelegentlich erfolgt und keine besonders schutzwürdigen personenbezogenen Daten (z. B. Daten zur Religion) verarbeitet werden.
Im Rahmen der Lohn- und Gehaltsabrechnung oder bei Gewinnausschüttungen von Genossenschaften an natürliche Personen werden wegen der Verpflichtung zum Kirchensteuerabzug Religionsdaten verarbeitet, sodass diese Vereinfachungsregelung in Deutschland nur in seltenen Fällen greifen wird, zumal bei 250 Beschäftigten die Verarbeitung personenbezogener Daten nicht nur gelegentlich erfolgen kann. Betroffene haben keinen Anspruch darauf, dass ihnen die Verarbeitungsübersicht ausgehändigt wird, wohl aber die Aufsichtsbehörde.
Selbst wenn im Einzelfall keine Verpflichtung zur Führung eines Verarbeitungsverzeichnisses bestehen sollte, wird es sinnvoll sein, ein solches Verzeichnis zu führen, da es jederzeit möglich sein muss, die Einhaltung der Grundsätze der Verarbeitung personenbezogener Daten (Art. 5 Abs. 1 DSGVO) und die getroffenen technischen und organisatorischen Maßnahmen gegenüber der Aufsichtsbehörde nachzuweisen (Rechenschaftspflicht).
Zu Einzelheiten zu den Verfahrensverzeichnissen siehe Dokumentationspflichten, Kap. 2 Verzeichnis der Verarbeitungstätigkeiten.
8.2 Dokumentation der technischen und organisatorischen Maßnahmen
Die getroffenen technischen und organisatorischen Maßnahmen sind zu dokumentieren. Schutzziele der Gesamtheit der getroffenen technischen und organisatorischen Maßnahmen sind die Gewährleistung der Vertraulichkeit, der Integrität, der Verfügbarkeit (Art. 32 Abs. 1 DSGVO) und der Belastbarkeit der Maßnahmen/Systeme (engl. resilience).
Nähere Angaben, wie die Belastbarkeit zu gewährleisten ist, macht die DSGVO nicht. Hinweise zur Umsetzung ergeben sich aus § 64 BDSG. Obwohl § 64 BDSG nur bei Justiz und Polizei anzuwenden ist, lassen sich daraus Hinweise zur Umsetzung der DSGVO gewinnen.
Die im Unternehmen getroffenen technischen und organisatorischen Maßnahmen sind zu erheben und zu dokumentieren, damit die Information auf Verlangen der Aufsichtsbehörde vorgelegt werden kann.
Einzelheiten zu den technischen und organisatorischen Maßnahmen ergeben sich aus Dokumentationspflichten, Kap. 3 Technische und organisatorische Maßnahmen (TOM).
8.3 Liste der Auftragsverarbeitungen
Nach Art. 30 DSGVO hat der Auftraggeber ein Verzeichnis der Auftragsverarbeitungen zu führen. Neben der Auflistung der Auftragsverarbeitungen empfiehlt es sich, in der Dokumentation auch die Verträge mit den Auftragsverarbeitern vorzuhalten.
8.3.1 Checkliste: Prüfung und Dokumentation der Auftragsverarbeitung
Auftragsverarbeiter: ______________________________________
Auftragsverhältnis: _______________________________________
I. Geeignetheit des Auftragsverarbeiters |
1. Es liegt vor: |
Ja |
Nein |
Zertifikat (Art. 42 DSGVO) |
□ |
□ |
Genehmigte Verhaltensregeln (Art. 40 DSGVO) |
□ |
□ |
|
|
|
Liegt mindestens eine der Voraussetzungen vor, weiter zu II., andernfalls Prüfung der TOM. |
2. Prüfung der TOM |
|
|
Einhaltung vertraglich zugesichert |
□ |
□ |
Aktuelle TOM des Auftraggebers in der Vereinbarung dokumentiert |
□ |
□ |
|
|
|
II. Prüfung der vertraglichen Grundlage |
1. Vertrag in Textform liegt vor |
□ |
□ |
2. Handeln auf dokumentierte Weisung |
|
|
Vertrag enthält Festlegungen |
|
|
|
zum Gegenstand der Verarbeitung |
□ |
□ |
|
zur Dauer |
□ |
□ |
|
Vereinbarung zur Hinweispflicht des Auftragsverarbeiters, wenn Weisung des Auftraggebers rechtswidrig sein sollte |
□ |
□ |
|
betroffene Personen |
□ |
□ |
|
Datenkategorien |
□ |
□ |
3. Verpflichtung der Mitarbeiter auf Vertraulichkeit |
|
|
Zusicherung der Verpflichtung der Mitarbeiter des Auftragsverarbeiters auf Vertraulichkeit |
□ |
□ |
4. Unterstützung des Auftraggebers bei der Einhaltung der Rechte des Betroffenen |
|
|
Unterstützung durch |
|
|
|
Hilfe bei Auskunftsrecht |
□ |
□ |
|
Berichtigung/Vervollständigung |
□ |
□ |
|
Löschung |
□ |
□ |
5. Löschung oder Rückgabe der personenbezogenen Daten |
|
|
Vereinbarung vorhanden |
□ |
□ |
6. Überprüfungsmöglichkeit |
|
|
Vertraglich ist vereinbart, dass der Auftraggeber befugt ist, die Einhaltung der Vorgaben des Datenschutzes, der Datensicherheit und der vertraglichen Vereinbarungen beim Auftragsverarbeiter zu prüfen |
□ |
□ |
7. Einschaltung eines Subunternehmers |
|
|
7.1 Schriftliche Einzelgenehmigung erforderlich |
□ |
□ |
Wenn nein: |
|
|
Allgemeine Genehmigung im Vertrag enthalten |
□ |
□ |
Wenn ja: |
|
|
Informationspflicht vorab bei beabsichtigter Hinzuziehung oder Ersetzung eines Subunternehmers |
□ |
□ |
Einspruchsrecht bei Hinzuziehung oder Ersetzung eines Subunternehmers |
□ |
□ |
7.2 Auferlegung der Pflicht aus Art. 28 DSGVO auf den Subunternehmer |
□ |
□ |
8. Unterstützung bei der Erfüllung der Pflichten vertraglich zugesichert bei |
|
|
|
Datenschutzverstößen |