Haufe.de Shop
Service & Support
Sie verwenden eine veraltete Browser-Version. Dies kann unter Umständen zu Einschränkungen in der Funktion sowie Darstellung führen. Daher empfehlen wir Ihnen, einen aktuellen Browser wie z.B. Microsoft Edge zu verwenden.
Anmelden
  • Personal
  • Steuern
  • Finance
  • Immobilien
  • Controlling
  • Öffentlicher Dienst
  • Recht
  • Arbeitsschutz
  • Sozialwesen
  • Sustainability
  • Themen
  • Haufe
  • Controlling
  • Controlling Office
  • Controllerpraxis
  • Rechnungslegung
  • Controller Magazin

DSGVO-Pflichten für Unternehmen / 8 Dokumentationspflichten

Beitrag unter anderem enthalten im Controlling Office
Sie haben den Artikel bereits bewertet.

Anmelden und Beitrag in meinem Produkt lesen

Dipl.-Volksw. Fritz Schmidt

Verantwortliche müssen nach Art. 5 Abs. 2 DSGVO nachweisen können, dass sie die Grundsätze für die Verarbeitung personenbezogener Daten eingehalten haben. Daraus ergeben sich Dokumentationspflichten.

8.1 Verfahrensverzeichnisse

Verantwortliche haben ein schriftliches oder elektronisches Verzeichnis aller Verarbeitungstätigkeiten (VVT) personenbezogener Daten im Unternehmen zu führen.

Nach Art. 30 Abs. 5 DSGVO haben Unternehmen mit weniger als 250 Mitarbeitern kein solches Verzeichnis zu führen, sofern die Verarbeitung personenbezogener Daten gelegentlich erfolgt und keine besonders schutzwürdigen personenbezogenen Daten (z. B. Daten zur Religion) verarbeitet werden.

Im Rahmen der Lohn- und Gehaltsabrechnung oder bei Gewinnausschüttungen von Genossenschaften an natürliche Personen werden wegen der Verpflichtung zum Kirchensteuerabzug Religionsdaten verarbeitet, sodass diese Vereinfachungsregelung in Deutschland nur in seltenen Fällen greifen wird, zumal bei 250 Beschäftigten die Verarbeitung personenbezogener Daten nicht nur gelegentlich erfolgen kann. Betroffene haben keinen Anspruch darauf, dass ihnen die Verarbeitungsübersicht ausgehändigt wird, wohl aber die Aufsichtsbehörde.

Selbst wenn im Einzelfall keine Verpflichtung zur Führung eines Verarbeitungsverzeichnisses bestehen sollte, wird es sinnvoll sein, ein solches Verzeichnis zu führen, da es jederzeit möglich sein muss, die Einhaltung der Grundsätze der Verarbeitung personenbezogener Daten (Art. 5 Abs. 1 DSGVO) und die getroffenen technischen und organisatorischen Maßnahmen gegenüber der Aufsichtsbehörde nachzuweisen (Rechenschaftspflicht).

Zu Einzelheiten zu den Verfahrensverzeichnissen siehe Dokumentationspflichten, Kap. 2 Verzeichnis der Verarbeitungstätigkeiten.

8.2 Dokumentation der technischen und organisatorischen Maßnahmen

Die getroffenen technischen und organisatorischen Maßnahmen sind zu dokumentieren. Schutzziele der Gesamtheit der getroffenen technischen und organisatorischen Maßnahmen sind die Gewährleistung der Vertraulichkeit, der Integrität, der Verfügbarkeit (Art. 32 Abs. 1 DSGVO) und der Belastbarkeit der Maßnahmen/Systeme (engl. resilience).

Nähere Angaben, wie die Belastbarkeit zu gewährleisten ist, macht die DSGVO nicht. Hinweise zur Umsetzung ergeben sich aus § 64 BDSG. Obwohl § 64 BDSG nur bei Justiz und Polizei anzuwenden ist, lassen sich daraus Hinweise zur Umsetzung der DSGVO gewinnen.

Die im Unternehmen getroffenen technischen und organisatorischen Maßnahmen sind zu erheben und zu dokumentieren, damit die Information auf Verlangen der Aufsichtsbehörde vorgelegt werden kann.

Einzelheiten zu den technischen und organisatorischen Maßnahmen ergeben sich aus Dokumentationspflichten, Kap. 3 Technische und organisatorische Maßnahmen (TOM).

8.3 Liste der Auftragsverarbeitungen

Nach Art. 30 DSGVO hat der Auftraggeber ein Verzeichnis der Auftragsverarbeitungen zu führen. Neben der Auflistung der Auftragsverarbeitungen empfiehlt es sich, in der Dokumentation auch die Verträge mit den Auftragsverarbeitern vorzuhalten.

8.3.1 Checkliste: Prüfung und Dokumentation der Auftragsverarbeitung

 

Prüfung und Dokumentation der Auftragsverarbeitung

Auftragsverarbeiter: ______________________________________

Auftragsverhältnis: _______________________________________

 

I. Geeignetheit des Auftragsverarbeiters

1. Es liegt vor:

Ja

Nein
Zertifikat (Art. 42 DSGVO) □ □
Genehmigte Verhaltensregeln (Art. 40 DSGVO) □ □
     
Liegt mindestens eine der Voraussetzungen vor, weiter zu II., andernfalls Prüfung der TOM.

2. Prüfung der TOM

    
Einhaltung vertraglich zugesichert □ □
Aktuelle TOM des Auftraggebers in der Vereinbarung dokumentiert □ □
     

II. Prüfung der vertraglichen Grundlage
1. Vertrag in Textform liegt vor □ □
2. Handeln auf dokumentierte Weisung    
Vertrag enthält Festlegungen    
  zum Gegenstand der Verarbeitung □ □
  zur Dauer □ □
  Vereinbarung zur Hinweispflicht des Auftragsverarbeiters, wenn Weisung des Auftraggebers rechtswidrig sein sollte □ □
  betroffene Personen □ □
  Datenkategorien □ □
3. Verpflichtung der Mitarbeiter auf Vertraulichkeit    
Zusicherung der Verpflichtung der Mitarbeiter des Auftragsverarbeiters auf Vertraulichkeit □ □
4. Unterstützung des Auftraggebers bei der Einhaltung der Rechte des Betroffenen    
Unterstützung durch    
  Hilfe bei Auskunftsrecht □ □
  Berichtigung/Vervollständigung □ □
  Löschung □ □
5. Löschung oder Rückgabe der personenbezogenen Daten    
Vereinbarung vorhanden □ □
6. Überprüfungsmöglichkeit    
Vertraglich ist vereinbart, dass der Auftraggeber befugt ist, die Einhaltung der Vorgaben des Datenschutzes, der Datensicherheit und der vertraglichen Vereinbarungen beim Auftragsverarbeiter zu prüfen □ □
7. Einschaltung eines Subunternehmers    
7.1 Schriftliche Einzelgenehmigung erforderlich □ □
Wenn nein:    
Allgemeine Genehmigung im Vertrag enthalten □ □
Wenn ja:    
Informationspflicht vorab bei beabsichtigter Hinzuziehung oder Ersetzung eines Subunternehmers □ □
Einspruchsrecht bei Hinzuziehung oder Ersetzung eines Subunternehmers □ □
7.2 Auferlegung der Pflicht aus Art. 28 DSGVO auf den Subunternehmer □ □
8. Unterstützung bei der Erfüllung der Pflichten vertraglich zugesichert bei    
  Datenschutzverstößen

Dieser Inhalt ist unter anderem im Controlling Office enthalten. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen


Meistgelesene Beiträge
  • Aktuelle Schwerpunktthemen
    24
  • Aktuelle Schwerpunktthemen / Controlling Challenge 2025: Agil – digital – effektiv
    4
  • Aktuelle Schwerpunktthemen / Data Driven Controlling: Grundlagen – Werkzeuge – Einsatzmöglichkeiten
    4
  • Business Development
    2
  • Aktuelle Schwerpunktthemen / Aktuelle Controlling-Agenda
    1
  • Aktuelle Schwerpunktthemen / Schritt für Schritt zum Nachhaltigkeitscontrolling
    1
  • KI-basiertes Dashboarding / 1.1 Vorteile der Nutzung intelligenter KI-Dashboard Technologien
    1
  • Aktuelle Schwerpunktthemen / Agiles Controlling - Leitfaden für die agile Transformation in Controlling und Finance
    0
  • Aktuelle Schwerpunktthemen / Einkaufscontrolling
    0
  • Aktuelle Schwerpunktthemen / Organisation des Controllings
    0
  • Aktuelle Schwerpunktthemen / Projektcontrolling mit agilen Instrumenten
    0
  • Aktuelle Schwerpunktthemen / Prozess- und Funktionscontrolling
    0
  • Aktuelle Schwerpunktthemen / Servitization - Rolle des Controllings im Transformationsprozess zum Service-Champion (ICV-Leitfaden)
    0
  • Aktuelle Schwerpunktthemen / Strategien erfolgreich entwickeln und umsetzen
    0
  • Aktuelle Schwerpunktthemen / Verrechnungspreise - Praxisleitfaden für Controller und Steuerexperten, 4. Aufl. 2023
    0
  • BI Target Operating Model: 5 Elemente für modernes Daten ... / 1.3 Relevante Trends im Bereich Datenarchitektur- und-organisation
    0
  • BI Target Operating Model: 5 Elemente für modernes Daten ... / 2 BI Target Operating Model
    0
  • Dienstleistungscontrolling
    0
  • ESG Reporting der Zukunft: Steigende Anforderungen & Erf ... / 2.2.3 Entwicklungen und Änderungen der CSRD
    0
  • Ganzheitliches ESG-Management: kundenorientiert und stru ... / 2.3 Modell der People- und Stakeholder Centricity
    0
Top-Themen
Downloads
Zum Haufe Shop
Produktempfehlung

Zum Thema Controlling
Datenschutz-Grundverordnung: Verantwortlichkeit und Pflichten des Verantwortlichen nach der DSGVO
DSGVO_Buisness Mann zeigt auf Schriftzug DSGVO mit Schloss
Bild: Gerd Altmann/ pixabay.com

Bei der Datenverarbeitung bedienen sich Unternehmen regelmäßig der Unterstützung durch verschiedene Dienstleister. Damit ergibt sich die Frage, welche der beteiligten Akteure welche Datenschutzvorgaben zu beachten haben.
Datenschutz-Grundverordnung: Verantwortlichkeit und Pflichten des Verantwortlichen nach der DSGVO
DSGVO_Buisness Mann zeigt auf Schriftzug DSGVO mit Schloss
Bild: Gerd Altmann/ pixabay.com

Bei der Datenverarbeitung bedienen sich Unternehmen regelmäßig der Unterstützung durch verschiedene Dienstleister. Damit stellt sich in Praxis vielfach die Frage, welche der beteiligten Akteure welche Datenschutzvorgaben zu beachten haben. 
Datengetriebene Entscheidungsfindung: Data Driven Controlling
Data Driven Controlling
Bild: Haufe Shop

In einer dynamischen und komplexen Welt muss oft unter hoher Unsicherheit und dazu sehr schnell entschieden werden. Dieses Buch zeigt, wie Sie die richtigen Daten und Informationen ableiten und gewinnbringend für Ihr Unternehmen einsetzen.
DSGVO-Pflichten für Unternehmen
DSGVO-Pflichten für Unternehmen

Zusammenfassung Überblick Aus der DSGVO ergeben sich zahlreiche Verpflichtungen für Unternehmen. Diese Verpflichtungen können folgendermaßen systematisiert werden: Einhaltung der Vorgaben der DSGVO bei der Verarbeitung personenbezogener Daten (Art. 5 ...

4 Wochen testen
Newsletter Finance
Bild: Haufe Online Redaktion
Newsletter Finance

Aktuelle Informationen aus dem Bereich Rechnungswesen frei Haus - abonnieren Sie unseren Newsletter:

  • Neuigkeiten aus dem Finanz- und Rechnungswesen
  • Bilanzierung nach Handels- und Steuerrecht
  • Fragen aus der Praxis - beantwortet von unseren Autoren
Pflichtfeld: Bitte geben Sie eine gültige E-Mail Adresse ein.
Sie müssen den AGB zustimmen
Haufe Fachmagazine
Zum Controlling Archiv
Themensuche A B C D E F G H I J K L M N O P Q R S T U V W X Y Z #
Haufe Group
Haufe Onboarding Software
Haufe Fachwissen
Haufe Onlinetraining
Haufe HR Services
Haufe Digitale Personalakte
Haufe Akademie
rudolf.ai - Haufe meets AI
Weiterführende Links
RSS
Newsletter
FAQ
Mediadaten
Presse
Editorial Code of Conduct
Redaktionsrichtlinie zum KI-Einsatz
Netiquette
Sitemap
Buchautor:in werden bei Haufe
Kontakt

Kontakt & Feedback
Datenschutz

AGB
Impressum
Haufe Shop Controlling
Controlling Software
strategisches & operatives Controlling
Praxiswissen Kostenrechnung & Kalkulation
Best Practice
Alle Controlling Produkte
Haufe Shop Buchwelt
 

    Weitere Produkte zum Thema:

    × Profitieren Sie von personalisierten Inhalten, Angeboten und Services!

    Unser Ziel ist es, Ihnen eine auf Ihre Bedürfnisse zugeschnittene Website anzubieten. Um Ihnen relevante und nützliche Inhalte, Angebote und Services präsentieren zu können, benötigen wir Ihre Einwilligung zur Nutzung Ihrer Daten. Wir nutzen den Service eines Drittanbieters, um Ihre Aktivitäten auf unserer Website zu analysieren.

    Mit Ihrer Einwilligung profitieren Sie von einem personalisierten Website-Erlebnis und Zugang zu spannenden Inhalten, die Sie informieren, inspirieren und bei Ihrer täglichen Arbeit unterstützen.

    Wir respektieren Ihre Privatsphäre und schützen Ihre Daten. Sie können sich jederzeit darüber informieren, welche Daten wir erheben und wie wir sie verwenden. Sie können Ihre Einwilligung jederzeit widerrufen. Passen Sie Ihre Präferenzen dafür in den Cookie-Einstellungen an.

    Mehr Informationen Nein, Danke Akzeptieren