Haufe.de Shop
Service & Support
Sie verwenden eine veraltete Browser-Version. Dies kann unter Umständen zu Einschränkungen in der Funktion sowie Darstellung führen. Daher empfehlen wir Ihnen, einen aktuellen Browser wie z.B. Microsoft Edge zu verwenden.
Personal
Steuern
Finance
Immobilien
Controlling
Themen
Öffentlicher Dienst
Recht
Arbeitsschutz
Sozialwesen
Sustainability
Haufe.de
Shop
Service & Support
Newsletter
Kontakt & Feedback
Login
Personal Steuern Finance Immobilien Controlling Öffentlicher Dienst Recht Arbeitsschutz Sozialwesen
Immobilien
Controlling
Öffentlicher Dienst
Recht
Arbeitsschutz
Sozialwesen
Sustainability
Themen

ZAP 9/2022, Die digitale Kanzlei: Datenschutz-Bestandsau ... / V. Datenschutz-Dokumentation

Anmelden und Beitrag in meinem Produkt lesen

Sie haben den Artikel bereits bewertet.

Aufgrund der Rechenschaftspflicht Art. 5 Abs. 2 DSGVO hat die Datenschutz-Dokumentation einen im Vergleich zur alten Rechtslage einen deutlich höheren Stellenwert erlangt. Herzstück bildet hier das Verzeichnis von Verarbeitungstätigkeiten (VVT) oder kurz: das Verarbeitungsverzeichnis gem. Art. 30 DSGVO. In welcher Form das VVT geführt wird, spielt nur eine Nebenrolle, d.h. es kann auf Papier, in Form von Word- bzw. Excel-Dateien oder auch mit Hilfe von Spezialsoftware umgesetzt werden.

 

Praxistipp:

Wer sich einen Überblick über die unterschiedliche, am Markt erhältliche Datenschutz-Spezialsoftware verschaffen will, wird auf dem Youtube-Kanal "mth training" fündig ( www.youtube.com/mthtraining ).

1. Verzeichnis von Verarbeitungstätigkeiten

Wichtiger als die Form ist der Umstand, dass die in Art. 30 Abs. 1 DSGVO genannten Pflichtangaben im VVT enthalten sind.

Es müssen somit zumindest die folgenden Informationen aufgenommen werden:

  • Name und Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten;
  • Zwecke der Verarbeitung;
  • Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  • ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation;
  • vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien;
  • allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOMs).
 

Praxistipp:

Auf der Website des Deutschen AnwaltVereins wird auch eine Vorlage für ein typisches "Anwalts-VVT" bereitgestellt ( www.anwaltverein.de/de/praxis/datenschutz ). Diese kann naturgemäß nur als Orientierungshilfe dienen und muss an die eigenen Belange angepasst werden.

Die Pflichtangaben gem. Art. 30 Abs. 1 S. 1 lit. b)-f) DSGVO sind im VVT für jede einzelne Verarbeitungstätigkeit anzugeben. Eine Verarbeitungstätigkeit ergibt sich aus Zweck und Rechtsgrundlage für einen Datenverarbeitungsvorgang. Beispielsweise werden Mandantendaten in aller Regel zur Erfüllung des Mandatsvertrages verarbeitet (Art. 6 Abs. 1 S. 1 lit. b) DSGVO), Daten von Beschäftigten hingegen auf Basis von § 26 BDSG. Typische Verarbeitungstätigkeit in einer Kanzlei sind daher z.B. die Aktenführung, das Bewerbermanagement, die Finanzbuchhaltung, der Betrieb der Kanzlei-Website oder auch das Fuhrparkmanagement.

Zusätzlich zu den oben genannten gesetzlich geforderten Pflichtinhalten sind weitere Angaben im VVT sinnvoll, wie etwa die jeweilige Rechtsgrundlage oder eine Risikoeinstufung.

Anzumerken sei noch, dass das VVT ein rein internes Dokument ist, welches nur der Datenschutz-Aufsichtsbehörde auf Anfrage auszuhändigen ist. Dritte haben keinen Anspruch auf Einsicht, auch nicht i.R.d. Ausübung von Betroffenenrechten (z.B. gem. Art. 15 DSGVO).

2. Technische und organisatorische Maßnahmen

Art. 30 Abs. 1 S. 2 lit. g) DSGVO verlangt eine allgemeine Beschreibung der TOMs, die von der verantwortlichen Stelle umzusetzen sind. In Art. 32 Abs. 1 DSGVO werden diesbzgl. folgende Gewährleistungsziele genannt:

  • Pseudonymisierung;
  • Verschlüsselung;
  • dauerhafte Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung;
  • Fähigkeit zur raschen Wiederherstellung der Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall;
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOMs zur Gewährleistung der Sicherheit der Verarbeitung.

Leider nennt das Gesetz hier keine konkreten Einzelmaßnahmen, die zur Erreichung der genannten Ziele umgesetzt werden können. Einzige Ausnahmen bilden hier die Pseudonymisierung und die Verschlüsselung, die jedoch nicht bei jeder Datenverarbeitung im Anwaltsalltag in Frage kommen. Hieraus ergibt sich aber auch keine Pflicht zur Verschlüsselung oder zur Pseudonymisierung von Daten. Allerdings ist es ratsam, diese beiden Methoden zwecks Absicherung von Daten einzusetzen, sofern möglich und sinnvoll.

Ein Blick in § 64 BDSG bringt mehr Licht ins Dunkel, denn in dessen Abs. 3 werden insgesamt 14 Einzelmaßnahmen näher beschrieben. Es sei jedoch darauf hingewiesen, dass § 64 BDSG weder auf die allgemeine unternehmerische noch speziell auf die anwaltliche Tätigkeit Anwendung findet. Denn diese Vorschrift befindet sich in Teil 3 des BDSG und ist somit nur auf Strafverfolgungsbehörden o.Ä. anzuwenden. Gleichwohl spricht nichts dagegen, sich von dieser Norm Anregungen für die eigenen TOMs zu holen. Denn darin werden im Hinblick auf die Anforderungen an die Sicherheit der Datenverarbeitung folgende Maßnahmen beschrieben:

  • Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle);
  • Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle);
  • Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie...

Dieser Inhalt ist unter anderem im Deutsches Anwalt Office Premium enthalten. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen


Meistgelesene Beiträge
  • Haushaltsnahe Dienstleistungen und Handwerkerleistungen / 7.3 Begünstigte Aufwendungen
    3.025
  • § 13 Zinsloses Darlehen unter nahen Angehörigen / B. Schenkungsteuer
    2.576
  • Lebensalter / 1 Vollendung eines Lebensjahres
    2.203
  • Abgrenzung von Anschaffungskosten, Herstellungskosten un ... / 5 Anschaffungsnaher Aufwand
    2.186
  • § 2 Die Gebühren nach dem RVG / 1. Einigungsgebühr, Nr. 1000, 1003, 1004 VV RVG
    2.007
  • Rohrverstopfung (Mietrecht)
    1.786
  • Gewerblicher Grundstückshandel / 2.2 Erwerb und Veräußerung innerhalb von 5 Jahren
    1.767
  • Die verbilligte Vermietung von Wohnungen
    1.647
  • § 57 Zivilprozessrecht / II. Muster: Klageschriften
    1.582
  • Kündigungsfristen (Miete) / 3 Kündigungsfrist bei Geschäftsräumen
    1.557
  • Schwangerschaft: Beschäftigungsverbot oder Arbeitsunfähigkeit
    1.470
  • § 4 Arbeitsrecht / 9. Muster: Anschreiben Urlaubsansprüche und deren drohender Verfall
    1.449
  • § 2 Die Gebühren nach dem RVG / III. Anerkenntnis
    1.395
  • Die Befreiung von den Beschränkungen des § 181 BGB
    1.357
  • Garage/Stellplatz im Mietrecht / 6 Umsatzsteuerbefreiung?
    1.310
  • § 4 Arbeitsrecht / b) Muster: Fortbildungsvertrag
    1.266
  • Zahlungsverzug – Kündigung bereits bei einem Monat Mietrückstand möglich
    1.265
  • § 4 Arbeitsrecht / 8. Muster: Anzeige eines Reduzierungswunsches nach § 8 Abs. 1 TzBfG
    1.241
  • § 57 Zivilprozessrecht / I. Muster: Anzeige der Verteidigungsbereitschaft
    1.212
  • Kindesunterhalt / 2.10.5 Berufsbedingte Aufwendungen
    1.163
Top-Themen
Downloads
Zum Haufe Shop
Produktempfehlung

Zum Thema Recht
Standard-Datenschutzmodel (SDM Version 3.0): Aufgaben und Funktion des Standard- Datenschutzmodells
weibliche Hände am PC Datenschutz Zeichen
Bild: Sy_Sarayut

Das SDM ist ein von den „unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder“ entwickeltes Modell zur Unterstützung von Organisationen bei der Umsetzung ihrer Datenschutzpraktiken und -prozesse. Es soll die Einhaltung von Datenschutzgesetzen und -vorschriften erleichtern und Datenschutzrisiken minimieren.
Optimal gestaltet: Schiedsverfahren in der Unternehmenspraxis
Schiedsverfahren in der Unternehmenspraxis
Bild: Haufe Shop

Im Fokus des Buches stehen die Gestaltung des gesamten Schiedsverfahrens, ​in der Praxis auftretende Probleme, ​Anforderungen an die Vertragsestaltung sowie praktikable Lösungen. Konkrete Handlungsanweisungen und Formulierungsvorschläge unterstützen die Parteien bei der praktischen Umsetzung. ​
Sonderveröffentlichung: Kanzleien im Arbeitsrecht 2022
PM plus Kanzleien im Arbeitsrecht 2022
Bild: Haufe Online Redaktion

Die Ampelkoalition hat ein anspruchsvolles Programm aufgelegt, das erahnen lässt, was an Neuregelungen in nächster Zeit zu erwarten ist. Nachweisgesetz, Hinweisgeberschutz, Arbeitnehmerdatenschutz, Mindestlohn, neue Homeoffice-Regelungen, Einführung einer Bildungs(teil)zeit und eine Modernisierung der Betriebsverfassung sind nur einige der Vorhaben, die in Planung sind. Spannende Zeiten für HR, in denen sicherlich hier und da eine gute Beratung vonnöten sein wird. Die mittlerweile zwölfte Auflage dieses Kompendiums wird Sie bei der Auswahl eines arbeitsrechtlichen Beraters unterstützen.
Verfahrensverzeichnis für W... / Verfahrensverzeichnisse
Verfahrensverzeichnis für W... / Verfahrensverzeichnisse

Die "Verantwortlichen" haben ein schriftliches oder elektronisches Verzeichnis aller Verarbeitungstätigkeiten (VVT) personenbezogener Daten im Unternehmen zu führen. Nach Art. 30 Abs. 5 DSGVO haben Unternehmen mit weniger als 250 Mitarbeitern kein Verzeichnis ...

4 Wochen testen
Newsletter Recht
Bild: Haufe Online Redaktion
Newsletter Recht - Wirtschaftsrecht

Aktuelle Informationen aus dem Bereich Wirtschaftsrecht frei Haus - abonnieren Sie unseren Newsletter:

  • Handels- und Gesellschaftsrecht
  • Gewerblicher Rechtsschutz
  • Vertriebsrecht
Pflichtfeld: Bitte geben Sie eine gültige E-Mail Adresse ein.
Sie müssen den AGB zustimmen
Haufe Fachmagazine
Zum Recht Archiv
Themensuche A B C D E F G H I J K L M N O P Q R S T U V W X Y Z #
Haufe Group
Haufe Onboarding Software
Haufe Fachwissen
Haufe HR Services
Haufe Digitale Personalakte
Advolux
Haufe Onlinetraining
rudolf.ai - Haufe meets AI
Weiterführende Links
RSS
Newsletter
FAQ
Mediadaten
Presse
Editorial Code of Conduct
Redaktionsrichtlinie zum KI-Einsatz
Compliance
Netiquette
Sitemap
Buchautor:in werden bei Haufe
Kontakt

Kontakt & Feedback
Datenschutz

AGB
Impressum
Haufe Shop Recht
Anwaltssoftware
Anwaltliches Fachwissen Software
Gesellschafts- & Wirtschaftsrecht Lösungen
Alle Recht Produkte

    Weitere Produkte zum Thema:

    × Profitieren Sie von personalisierten Inhalten, Angeboten und Services!

    Unser Ziel ist es, Ihnen eine auf Ihre Bedürfnisse zugeschnittene Website anzubieten. Um Ihnen relevante und nützliche Inhalte, Angebote und Services präsentieren zu können, benötigen wir Ihre Einwilligung zur Nutzung Ihrer Daten. Wir nutzen den Service eines Drittanbieters, um Ihre Aktivitäten auf unserer Website zu analysieren.

    Mit Ihrer Einwilligung profitieren Sie von einem personalisierten Website-Erlebnis und Zugang zu spannenden Inhalten, die Sie informieren, inspirieren und bei Ihrer täglichen Arbeit unterstützen.

    Wir respektieren Ihre Privatsphäre und schützen Ihre Daten. Sie können sich jederzeit darüber informieren, welche Daten wir erheben und wie wir sie verwenden. Sie können Ihre Einwilligung jederzeit widerrufen. Passen Sie Ihre Präferenzen dafür in den Cookie-Einstellungen an.

    Mehr Informationen Nein, Danke Akzeptieren