Haufe.de Shop
Service & Support
Sie verwenden eine veraltete Browser-Version. Dies kann unter Umständen zu Einschränkungen in der Funktion sowie Darstellung führen. Daher empfehlen wir Ihnen, einen aktuellen Browser wie z.B. Microsoft Edge zu verwenden.
Anmelden
  • Personal
  • Steuern
  • Finance
  • Immobilien
  • Controlling
  • Öffentlicher Dienst
  • Recht
  • Arbeitsschutz
  • Sozialwesen
  • Sustainability
  • Themen
  • Haufe
  • Controlling
  • Controlling Office
  • Controllerpraxis
  • Rechnungslegung
  • Controller Magazin

DSGVO-Pflichten für Unternehmen / 8 Dokumentationspflichten

Anmelden und Beitrag in meinem Produkt lesen

Sie haben den Artikel bereits bewertet.
Dipl.-Volksw. Fritz Schmidt

Verantwortliche müssen nach Art. 5 Abs. 2 DSGVO nachweisen können, dass sie die Grundsätze für die Verarbeitung personenbezogener Daten eingehalten haben. Daraus ergeben sich Dokumentationspflichten.

8.1 Verfahrensverzeichnisse

Verantwortliche haben ein schriftliches oder elektronisches Verzeichnis aller Verarbeitungstätigkeiten (VVT) personenbezogener Daten im Unternehmen zu führen.

Nach Art. 30 Abs. 5 DSGVO haben Unternehmen mit weniger als 250 Mitarbeitern kein solches Verzeichnis zu führen, sofern die Verarbeitung personenbezogener Daten gelegentlich erfolgt und keine besonders schutzwürdigen personenbezogenen Daten (z. B. Daten zur Religion) verarbeitet werden.

Im Rahmen der Lohn- und Gehaltsabrechnung oder bei Gewinnausschüttungen von Genossenschaften an natürliche Personen werden wegen der Verpflichtung zum Kirchensteuerabzug Religionsdaten verarbeitet, sodass diese Vereinfachungsregelung in Deutschland nur in seltenen Fällen greifen wird, zumal bei 250 Beschäftigten die Verarbeitung personenbezogener Daten nicht nur gelegentlich erfolgen kann. Betroffene haben keinen Anspruch darauf, dass ihnen die Verarbeitungsübersicht ausgehändigt wird, wohl aber die Aufsichtsbehörde.

Selbst wenn im Einzelfall keine Verpflichtung zur Führung eines Verarbeitungsverzeichnisses bestehen sollte, wird es sinnvoll sein, ein solches Verzeichnis zu führen, da es jederzeit möglich sein muss, die Einhaltung der Grundsätze der Verarbeitung personenbezogener Daten (Art. 5 Abs. 1 DSGVO) und die getroffenen technischen und organisatorischen Maßnahmen gegenüber der Aufsichtsbehörde nachzuweisen (Rechenschaftspflicht).

Zu Einzelheiten zu den Verfahrensverzeichnissen siehe Dokumentationspflichten, Kap. 2 Verzeichnis der Verarbeitungstätigkeiten.

8.2 Dokumentation der technischen und organisatorischen Maßnahmen

Die getroffenen technischen und organisatorischen Maßnahmen sind zu dokumentieren. Schutzziele der Gesamtheit der getroffenen technischen und organisatorischen Maßnahmen sind die Gewährleistung der Vertraulichkeit, der Integrität, der Verfügbarkeit (Art. 32 Abs. 1 DSGVO) und der Belastbarkeit der Maßnahmen/Systeme (engl. resilience).

Nähere Angaben, wie die Belastbarkeit zu gewährleisten ist, macht die DSGVO nicht. Hinweise zur Umsetzung ergeben sich aus § 64 BDSG. Obwohl § 64 BDSG nur bei Justiz und Polizei anzuwenden ist, lassen sich daraus Hinweise zur Umsetzung der DSGVO gewinnen.

Die im Unternehmen getroffenen technischen und organisatorischen Maßnahmen sind zu erheben und zu dokumentieren, damit die Information auf Verlangen der Aufsichtsbehörde vorgelegt werden kann.

Einzelheiten zu den technischen und organisatorischen Maßnahmen ergeben sich aus Dokumentationspflichten, Kap. 3 Technische und organisatorische Maßnahmen (TOM).

8.3 Liste der Auftragsverarbeitungen

Nach Art. 30 DSGVO hat der Auftraggeber ein Verzeichnis der Auftragsverarbeitungen zu führen. Neben der Auflistung der Auftragsverarbeitungen empfiehlt es sich, in der Dokumentation auch die Verträge mit den Auftragsverarbeitern vorzuhalten.

8.3.1 Checkliste: Prüfung und Dokumentation der Auftragsverarbeitung

 

Prüfung und Dokumentation der Auftragsverarbeitung

Auftragsverarbeiter: ______________________________________

Auftragsverhältnis: _______________________________________

 

I. Geeignetheit des Auftragsverarbeiters

1. Es liegt vor:

Ja

Nein
Zertifikat (Art. 42 DSGVO) □ □
Genehmigte Verhaltensregeln (Art. 40 DSGVO) □ □
     
Liegt mindestens eine der Voraussetzungen vor, weiter zu II., andernfalls Prüfung der TOM.

2. Prüfung der TOM

    
Einhaltung vertraglich zugesichert □ □
Aktuelle TOM des Auftraggebers in der Vereinbarung dokumentiert □ □
     

II. Prüfung der vertraglichen Grundlage
1. Vertrag in Textform liegt vor □ □
2. Handeln auf dokumentierte Weisung    
Vertrag enthält Festlegungen    
  zum Gegenstand der Verarbeitung □ □
  zur Dauer □ □
  Vereinbarung zur Hinweispflicht des Auftragsverarbeiters, wenn Weisung des Auftraggebers rechtswidrig sein sollte □ □
  betroffene Personen □ □
  Datenkategorien □ □
3. Verpflichtung der Mitarbeiter auf Vertraulichkeit    
Zusicherung der Verpflichtung der Mitarbeiter des Auftragsverarbeiters auf Vertraulichkeit □ □
4. Unterstützung des Auftraggebers bei der Einhaltung der Rechte des Betroffenen    
Unterstützung durch    
  Hilfe bei Auskunftsrecht □ □
  Berichtigung/Vervollständigung □ □
  Löschung □ □
5. Löschung oder Rückgabe der personenbezogenen Daten    
Vereinbarung vorhanden □ □
6. Überprüfungsmöglichkeit    
Vertraglich ist vereinbart, dass der Auftraggeber befugt ist, die Einhaltung der Vorgaben des Datenschutzes, der Datensicherheit und der vertraglichen Vereinbarungen beim Auftragsverarbeiter zu prüfen □ □
7. Einschaltung eines Subunternehmers    
7.1 Schriftliche Einzelgenehmigung erforderlich □ □
Wenn nein:    
Allgemeine Genehmigung im Vertrag enthalten □ □
Wenn ja:    
Informationspflicht vorab bei beabsichtigter Hinzuziehung oder Ersetzung eines Subunternehmers □ □
Einspruchsrecht bei Hinzuziehung oder Ersetzung eines Subunternehmers □ □
7.2 Auferlegung der Pflicht aus Art. 28 DSGVO auf den Subunternehmer □ □
8. Unterstützung bei der Erfüllung der Pflichten vertraglich zugesichert bei    
  Datenschutzverstößen

Dieser Inhalt ist unter anderem im Controlling Office enthalten. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen


Meistgelesene Beiträge
  • Aktuelle Schwerpunktthemen
    23
  • Aktuelle Schwerpunktthemen / Data Driven Controlling: Grundlagen – Werkzeuge – Einsatzmöglichkeiten
    5
  • Campus-Planung im Rahmen der Mehrjahresplanung am Beispiel der BLANCO-Gruppe
    4
  • Planung und Forecasting in einer komplexen und dynamischen Umwelt effektiv umsetzen
    4
  • Aktuelle Schwerpunktthemen / Projektcontrolling mit agilen Instrumenten
    3
  • Unternehmensplanung: Umgang mit Unsicherheit und Risiko
    3
  • Aktuelle Schwerpunktthemen / Controlling Challenge 2025: Agil – digital – effektiv
    2
  • Aktuelle Schwerpunktthemen / Verrechnungspreise - Praxisleitfaden für Controller und Steuerexperten, 4. Aufl. 2023
    2
  • Aktuelle Schwerpunktthemen / Nachhaltigkeitscontrolling
    1
  • Künstliche Intelligenz in der Unternehmensplanung
    1
  • Planung und Forecasting in einer komplexen und dynamisch ... / 2 Wesentliche Anforderungen an Planung und Forecasting im aktuellen Umfeld
    1
  • AIM-DO-Modell zur BSC & OKR Integration: Weiterentwicklung des Performance Managements
    0
  • Aktuelle Schwerpunktthemen / Agiles Controlling - Leitfaden für die agile Transformation in Controlling und Finance
    0
  • Aktuelle Schwerpunktthemen / Aktuelle Controlling-Agenda
    0
  • Aktuelle Schwerpunktthemen / Einkaufscontrolling
    0
  • Aktuelle Schwerpunktthemen / Entscheidungen systematisch und erfolgreich treffen
    0
  • Aktuelle Schwerpunktthemen / Organisation des Controllings
    0
  • Aktuelle Schwerpunktthemen / Planung und Forecasting
    0
  • Aktuelle Schwerpunktthemen / Prozess- und Funktionscontrolling
    0
  • Aktuelle Schwerpunktthemen / Schritt für Schritt zum Nachhaltigkeitscontrolling
    0
Top-Themen
Downloads
Zum Haufe Shop
Produktempfehlung

Zum Thema Controlling
Corona-Testpflicht: Umsetzung der Corona-Testpflicht unter Beachtung des Datenschutzes
Corona-Schnelltest und Stäbchen
Bild: Pixabay

Zum 24. November sind neue Corona-Regelungen in Kraft getreten. Diese sehen unter anderem vor, dass nur noch geimpfte, genesene oder getestete Beschäftigte Zugang zur Betriebsstätte erhalten. Wer keinen Impf- oder Genesenenstatus und auch keinen Test nachweisen kann, kann sich vor Ort testen lassen. Doch aufgepasst: Bei der Durchführung der Tests gilt es einige wichtige Dinge zu beachten - vor allem auch in Sachen Datenschutz.
Datenschutz-Grundverordnung: Verantwortlichkeit und Pflichten des Verantwortlichen nach der DSGVO
DSGVO_Buisness Mann zeigt auf Schriftzug DSGVO mit Schloss
Bild: Gerd Altmann/ pixabay.com

Bei der Datenverarbeitung bedienen sich Unternehmen regelmäßig der Unterstützung durch verschiedene Dienstleister. Damit ergibt sich die Frage, welche der beteiligten Akteure welche Datenschutzvorgaben zu beachten haben.
Datenschutz-Grundverordnung: Verantwortlichkeit und Pflichten des Verantwortlichen nach der DSGVO
DSGVO_Buisness Mann zeigt auf Schriftzug DSGVO mit Schloss
Bild: Gerd Altmann/ pixabay.com

Bei der Datenverarbeitung bedienen sich Unternehmen regelmäßig der Unterstützung durch verschiedene Dienstleister. Damit stellt sich in Praxis vielfach die Frage, welche der beteiligten Akteure welche Datenschutzvorgaben zu beachten haben. 
Haufe Shop: Controlling Canvas
Controlling Canvas
Bild: Haufe Shop

Das Controlling Canvas bietet einen barrierefreien Zugang in das Controlling. Der Einsatz eines visuell geprägten Canvas unterstützt Sie mit einem einfachen Vorgehensmodell, vorgegebenen Bausteinen, Strukturen und Leitfragen bei der Entwicklung eines passgenauen Controllings.
DSGVO-Pflichten für Unternehmen
DSGVO-Pflichten für Unternehmen

Zusammenfassung Überblick Aus der DSGVO ergeben sich zahlreiche Verpflichtungen für Unternehmen. Diese Verpflichtungen können folgendermaßen systematisiert werden: Einhaltung der Vorgaben der DSGVO bei der Verarbeitung personenbezogener Daten (Art. 5 ...

4 Wochen testen
Newsletter Finance
Bild: Haufe Online Redaktion
Newsletter Finance

Aktuelle Informationen aus dem Bereich Rechnungswesen frei Haus - abonnieren Sie unseren Newsletter:

  • Neuigkeiten aus dem Finanz- und Rechnungswesen
  • Bilanzierung nach Handels- und Steuerrecht
  • Fragen aus der Praxis - beantwortet von unseren Autoren
Pflichtfeld: Bitte geben Sie eine gültige E-Mail Adresse ein.
Sie müssen den AGB zustimmen
Haufe Fachmagazine
Zum Controlling Archiv
Themensuche A B C D E F G H I J K L M N O P Q R S T U V W X Y Z #
Haufe Group
Haufe Onboarding Software
Haufe Fachwissen
Haufe Onlinetraining
Haufe HR Services
Haufe Digitale Personalakte
Haufe Akademie
rudolf.ai - Haufe meets AI
Weiterführende Links
RSS
Newsletter
FAQ
Mediadaten
Presse
Editorial Code of Conduct
Redaktionsrichtlinie zum KI-Einsatz
Netiquette
Sitemap
Buchautor:in werden bei Haufe
Kontakt

Kontakt & Feedback
Datenschutz

AGB
Impressum
Haufe Shop Controlling
Controlling Software
strategisches & operatives Controlling
Praxiswissen Kostenrechnung & Kalkulation
Best Practice
Alle Controlling Produkte
Haufe Shop Buchwelt
 

    Weitere Produkte zum Thema:

    × Profitieren Sie von personalisierten Inhalten, Angeboten und Services!

    Unser Ziel ist es, Ihnen eine auf Ihre Bedürfnisse zugeschnittene Website anzubieten. Um Ihnen relevante und nützliche Inhalte, Angebote und Services präsentieren zu können, benötigen wir Ihre Einwilligung zur Nutzung Ihrer Daten. Wir nutzen den Service eines Drittanbieters, um Ihre Aktivitäten auf unserer Website zu analysieren.

    Mit Ihrer Einwilligung profitieren Sie von einem personalisierten Website-Erlebnis und Zugang zu spannenden Inhalten, die Sie informieren, inspirieren und bei Ihrer täglichen Arbeit unterstützen.

    Wir respektieren Ihre Privatsphäre und schützen Ihre Daten. Sie können sich jederzeit darüber informieren, welche Daten wir erheben und wie wir sie verwenden. Sie können Ihre Einwilligung jederzeit widerrufen. Passen Sie Ihre Präferenzen dafür in den Cookie-Einstellungen an.

    Mehr Informationen Nein, Danke Akzeptieren