DSGVO-Pflichten für Unternehmen / 8.3 Liste der Auftragsverarbeitungen

Nach Art. 30 DSGVO hat der Auftraggeber ein Verzeichnis der Auftragsverarbeitungen zu führen. Neben der Auflistung der Auftragsverarbeitungen empfiehlt es sich, in der Dokumentation auch die Verträge mit den Auftragsverarbeitern vorzuhalten.

8.3.1 Checkliste: Prüfung und Dokumentation der Auftragsverarbeitung

Prüfung und Dokumentation der Auftragsverarbeitung

Auftragsverarbeiter: ______________________________________

Auftragsverhältnis: _______________________________________

I. Geeignetheit des Auftragsverarbeiters
1. Es liegt vor:		Ja	Nein
Zertifikat (Art. 42 DSGVO)		□	□
Genehmigte Verhaltensregeln (Art. 40 DSGVO)		□	□
Liegt mindestens eine der Voraussetzungen vor, weiter zu II., andernfalls Prüfung der TOM.
2. Prüfung der TOM
Einhaltung vertraglich zugesichert		□	□
Aktuelle TOM des Auftraggebers in der Vereinbarung dokumentiert		□	□
II. Prüfung der vertraglichen Grundlage
1. Vertrag in Textform liegt vor		□	□
2. Handeln auf dokumentierte Weisung
Vertrag enthält Festlegungen
	zum Gegenstand der Verarbeitung	□	□
	zur Dauer	□	□
	Vereinbarung zur Hinweispflicht des Auftragsverarbeiters, wenn Weisung des Auftraggebers rechtswidrig sein sollte	□	□
	betroffene Personen	□	□
	Datenkategorien	□	□
3. Verpflichtung der Mitarbeiter auf Vertraulichkeit
Zusicherung der Verpflichtung der Mitarbeiter des Auftragsverarbeiters auf Vertraulichkeit		□	□
4. Unterstützung des Auftraggebers bei der Einhaltung der Rechte des Betroffenen
Unterstützung durch
	Hilfe bei Auskunftsrecht	□	□
	Berichtigung/Vervollständigung	□	□
	Löschung	□	□
5. Löschung oder Rückgabe der personenbezogenen Daten
Vereinbarung vorhanden		□	□
6. Überprüfungsmöglichkeit
Vertraglich ist vereinbart, dass der Auftraggeber befugt ist, die Einhaltung der Vorgaben des Datenschutzes, der Datensicherheit und der vertraglichen Vereinbarungen beim Auftragsverarbeiter zu prüfen		□	□
7. Einschaltung eines Subunternehmers
7.1 Schriftliche Einzelgenehmigung erforderlich		□	□
Wenn nein:
Allgemeine Genehmigung im Vertrag enthalten		□	□
Wenn ja:
Informationspflicht vorab bei beabsichtigter Hinzuziehung oder Ersetzung eines Subunternehmers		□	□
Einspruchsrecht bei Hinzuziehung oder Ersetzung eines Subunternehmers		□	□
7.2 Auferlegung der Pflicht aus Art. 28 DSGVO auf den Subunternehmer		□	□
8. Unterstützung bei der Erfüllung der Pflichten vertraglich zugesichert bei
	Datenschutzverstößen	□	□
	Datenschutzfolgeabschätzung	□	□

8.3.2 Muster: Dokumentation der Auftragsverarbeitungen

Stammdaten

Name oder Firma der verantwortlichen Stelle ___________________________

Anschrift der verantwortlichen Stelle ___________________________

Datenschutzbeauftragter

Externer Datenschutzbeauftragter

bestellt über WTS Wohnungswirtschaftliche Treuhand Stuttgart GmbH

Herdweg 52/54, 70174 Stuttgart

Telefon: 0711/16345410

Mail: dsb-wts@wts-vbw.de

Aufsichtsbehörde

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit

Lautenschlagerstraße 20

70173 Stuttgart

Telefon: 0711/6155410

E-Mail: poststelle@lfdi.bwl.de

Verzeichnis Auftragsverarbeitung

Wohnungsunternehmen ___________________

Tätigkeit*)	Dienstleister (Firma, Anschrift)	Vereinbarung nach DSGVO vom
Lohn- und Gehaltsabrechnung
Heizkostenabrechnung
Rechenzentrum/IT-Support
Dokumentenvernichtung
Reichweitenanalyse
ERP-System
___________
___________
___________

*) Anmerkung: Die Aufzählung ist nicht vollständig, sondern nur beispielhaft.