Dipl.-Volksw. Fritz Schmidt
Nach Art. 30 DSGVO hat der Auftraggeber ein Verzeichnis der Auftragsverarbeitungen zu führen. Neben der Auflistung der Auftragsverarbeitungen empfiehlt es sich, in der Dokumentation auch die Verträge mit den Auftragsverarbeitern vorzuhalten.
8.3.1 Checkliste: Prüfung und Dokumentation der Auftragsverarbeitung
Auftragsverarbeiter: ______________________________________
Auftragsverhältnis: _______________________________________
I. Geeignetheit des Auftragsverarbeiters |
1. Es liegt vor: |
Ja |
Nein |
Zertifikat (Art. 42 DSGVO) |
□ |
□ |
Genehmigte Verhaltensregeln (Art. 40 DSGVO) |
□ |
□ |
|
|
|
Liegt mindestens eine der Voraussetzungen vor, weiter zu II., andernfalls Prüfung der TOM. |
2. Prüfung der TOM |
|
|
Einhaltung vertraglich zugesichert |
□ |
□ |
Aktuelle TOM des Auftraggebers in der Vereinbarung dokumentiert |
□ |
□ |
|
|
|
II. Prüfung der vertraglichen Grundlage |
1. Vertrag in Textform liegt vor |
□ |
□ |
2. Handeln auf dokumentierte Weisung |
|
|
Vertrag enthält Festlegungen |
|
|
|
zum Gegenstand der Verarbeitung |
□ |
□ |
|
zur Dauer |
□ |
□ |
|
Vereinbarung zur Hinweispflicht des Auftragsverarbeiters, wenn Weisung des Auftraggebers rechtswidrig sein sollte |
□ |
□ |
|
betroffene Personen |
□ |
□ |
|
Datenkategorien |
□ |
□ |
3. Verpflichtung der Mitarbeiter auf Vertraulichkeit |
|
|
Zusicherung der Verpflichtung der Mitarbeiter des Auftragsverarbeiters auf Vertraulichkeit |
□ |
□ |
4. Unterstützung des Auftraggebers bei der Einhaltung der Rechte des Betroffenen |
|
|
Unterstützung durch |
|
|
|
Hilfe bei Auskunftsrecht |
□ |
□ |
|
Berichtigung/Vervollständigung |
□ |
□ |
|
Löschung |
□ |
□ |
5. Löschung oder Rückgabe der personenbezogenen Daten |
|
|
Vereinbarung vorhanden |
□ |
□ |
6. Überprüfungsmöglichkeit |
|
|
Vertraglich ist vereinbart, dass der Auftraggeber befugt ist, die Einhaltung der Vorgaben des Datenschutzes, der Datensicherheit und der vertraglichen Vereinbarungen beim Auftragsverarbeiter zu prüfen |
□ |
□ |
7. Einschaltung eines Subunternehmers |
|
|
7.1 Schriftliche Einzelgenehmigung erforderlich |
□ |
□ |
Wenn nein: |
|
|
Allgemeine Genehmigung im Vertrag enthalten |
□ |
□ |
Wenn ja: |
|
|
Informationspflicht vorab bei beabsichtigter Hinzuziehung oder Ersetzung eines Subunternehmers |
□ |
□ |
Einspruchsrecht bei Hinzuziehung oder Ersetzung eines Subunternehmers |
□ |
□ |
7.2 Auferlegung der Pflicht aus Art. 28 DSGVO auf den Subunternehmer |
□ |
□ |
8. Unterstützung bei der Erfüllung der Pflichten vertraglich zugesichert bei |
|
|
|
Datenschutzverstößen |
□ |
□ |
|
Datenschutzfolgeabschätzung |
□ |
□ |
8.3.2 Muster: Dokumentation der Auftragsverarbeitungen
Stammdaten
Name oder Firma der verantwortlichen Stelle ___________________________
Anschrift der verantwortlichen Stelle ___________________________
Datenschutzbeauftragter
Externer Datenschutzbeauftragter
bestellt über WTS Wohnungswirtschaftliche Treuhand Stuttgart GmbH
Herdweg 52/54, 70174 Stuttgart
Telefon: 0711/16345410
Mail: dsb-wts@wts-vbw.de
Aufsichtsbehörde
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit
Lautenschlagerstraße 20
70173 Stuttgart
Telefon: 0711/6155410
E-Mail: poststelle@lfdi.bwl.de
Verzeichnis Auftragsverarbeitung Wohnungsunternehmen ___________________ |
Tätigkeit*) |
Dienstleister (Firma, Anschrift) |
Vereinbarung nach DSGVO vom |
Lohn- und Gehaltsabrechnung |
|
|
Heizkostenabrechnung |
|
|
Rechenzentrum/IT-Support |
|
|
Dokumentenvernichtung |
|
|
Reichweitenanalyse |
|
|
ERP-System |
|
|
___________ |
|
|
___________ |
|
|
___________ |
|
|
*) Anmerkung: Die Aufzählung ist nicht vollständig, sondern nur beispielhaft.