Behördengerechte Datenschutz-Dokumentation
- Unterstützung bei Datenschutz-Dokumentation durch zertifizierte Experten
- DSGVO erfordert detaillierte Datenschutz-Dokumentation und Verarbeitungsverzeichnis (VVT)
- Nutzung der Datenschutzsoftware Proliance 360 für einfache Dokumentation und Management
- Rechenschafts- und Nachweispflichten umfassen VVT, AV-Verträge, TOM, DSFA und Schulungen
- Missachtung der DSGVO-Pflichten kann zu hohen Bußgeldern führen, Unterstützung empfohlen
- Item A
- Item B
- Item C
Datenschutz Dokumentation als wichtiger Bestandteil der DSGVO
Die DSGVO erfordert von Unternehmen, die personenbezogene Daten verarbeiten, d.h. beispielsweise erheben, speichern oder auslesen, eine intensive Auseinandersetzung mit den Datenschutzvorschriften. Insbesondere kleine und mittelständische Unternehmen sind aufgrund des Gesetzes von erweiterten Nachweispflichten und detaillierter Datenschutz Dokumentation betroffen.
Um die Vorschriften der Datenschutzgrundverordnung (DSGVO) rechtmäßig zu erfüllen, bleibt eine umfassende Dokumentation aller Datenschutzaktivitäten und Verarbeitungstätigkeiten für jedes Unternehmen unerlässlich. datenschutzexperte.de überprüft für Sie Ihr Verzeichnis von Verarbeitungstätigkeiten und unterstützt Sie bei der Dokumentation der technischen und organisatorischen Maßnahmen, um Rechtskonformität zu erreichen.
Die Notwendigkeit eines Verzeichnisses von Verarbeitungstätigkeiten (VVT)
Die Verarbeitung von personenbezogenen Daten muss laut Art. 30 Abs. 1 DSGVO in einem Verzeichnis dokumentiert werden. Die einzelnen Verarbeitungstätigkeiten müssen dabei die wesentlichen Angaben der jeweiligen Verarbeitung enthalten. Hierzu zählen unter anderem Informationen wie die Kategorien der Betroffenen, die Datenkategorie, der Zweck der Verarbeitung oder die Empfänger der Daten.
Die wichtigsten Rechenschafts- und Dokumentationspflichten inkl. Muster für die Datenschutz Dokumentation
Die allgemeine Rechenschafts- und Nachweispflicht (Art. 5 Abs. 2, 24 DSGVO) muss vom jeweiligen Verantwortlichen im Unternehmen umgesetzt werden. Rechenschaftspflicht bedeutet, dass die Einhaltung der DSGVO nachgewiesen werden können muss. Vor allem folgende Punkte sind für Unternehmen von großer Bedeutung:
Pflicht zur Führung von Verarbeitungsverzeichnissen (VVT) (Art. 30 DSGVO): Ein Verzeichnis von Verarbeitungstätigkeiten muss angelegt werden, wenn personenbezogene Daten Dritter verarbeitet werden. Alle Bestandteile des Verzeichnisses von Verarbeitungstätigkeiten sind ausführlich hier zu finden.
Auftragsverarbeitungsvertrag (AV-Vertrag): Wenn Unternehmen personenbezogene Daten zur Verarbeitung an Dritte weitergeben, so muss mit diesem Dritten ein sogenannter AV-Vertrag geschlossen werden, um die personenbezogenen Daten zu schützen. Beispielsweise bei der Verwendung von Google Analytics ist ein solcher AV-Vertrag mit Google abzuschließen. Ein Muster für einen Auftragsverarbeitungsvertrag gibt’s hier.
Technische und organisatorische Maßnahmen (TOM): TOM befassen sich insbesondere mit der technischen Voreinstellung, damit ein angemessener Datenschutz im Unternehmen gewährleistet werden kann. Die technischen und organisatorischen Maßnahmen umfassen ein großes Bündel an Maßnahmen: Zugriffskontrolle, Zugangskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und Zwecktrennungsgebot. Hier sind die wichtigsten Maßnahmen, die es im technischen und organisatorischen Bereich zu beachten gibt, nachzulesen und hier gibt es ein Dokumentations-Muster für technische und organisatorische Maßnahmen.
Datenschutz-Folgeabschätzung: werden besonders sensible Daten verarbeitet, muss vorher vom Verantwortlichen das Risiko und deren Folgen für die Betroffenen evaluiert und dokumentiert werden. Alles, was bei einer DSFA als Datenschutz Dokumentationspflicht beachtet werden muss, ist hier zu finden.
Meldung des Datenschutzbeauftragten: Sobald ein Unternehmen einen (externen) Datenschutzbeauftragten bestellt, muss diese Bestellung schriftlich erfolgen und bei der Aufsichtsbehörde gemeldet werden. Ein Muster für die Bestellung eines Datenschutzbeauftragten gibt es hier.
Nachweis von Mitarbeiterschulungen: Nicht nur neue, auch bestehende Mitarbeiter müssen regelmäßig im Datenschutz geschult werden. So werden Datenschutzpannen vorgebeugt und Mitarbeiter für potenzielle Gefahren sensibilisiert.
Dokumentation eines Datenschutzvorfalls (Art. 33 Abs. 5 DSGVO): Tritt eine Datenschutzpanne im Unternehmen ein, muss diese innerhalb von 72 Stunden gemeldet werden. Dabei ist es irrelevant, ob es sich um einen in der U-Bahn vergessenes Laptop handelt oder einen gehackten Geschäftsaccount. Übrigens wird es von den Aufsichtsbehörden wohlwollend zur Kenntnis genommen, wenn Unternehmen zeitnah auf Datenschutzvorfälle reagieren. Sollte eine Datenschutzpanne eintreten, hilft dieser Leitfaden übersichtlich und schnell weiter.
Weitere Empfehlungen für die Datenschutz Dokumentation
Nicht vorgeschrieben, aber durchaus sinnvoll ist zudem eine Dokumentation der ausgeführten Löschungen, sofern Außenstehende, Ex-Mitarbeiter oder Kunden von ihrem Recht auf Vergessenwerden (nach Art. 17 DSGVO) Gebrauch machen.
Zudem sollten Unternehmen mit mehreren Standorten in verschiedenen Ländern sicherstellen, dass die internen Datenschutzvorschriften verbindlich an allen Standorten eingehalten werden (nach Art. 47 Abs.1, 2 DSGVO).
Wichtig: Datenschutz-Dokumentation-Muster von 2018 können, gerade wenn sie vor Mai 2018 angefertigt wurden, nicht mehr gültig sein. Unbedingt Updaten und neue Datenschutzdokumentationsvorlagen verwenden!
Welche Unterstützung bietet datenschutzexperte.de bei der Erstellung des VVT?
Bei vielen Unternehmen herrscht weiterhin große Unsicherheit, wie einzelne Verarbeitungstätigkeiten personenbezogener Daten im VVT korrekt zu erfassen und zu dokumentieren sind. Um eine datenschutzkonforme Führung des Verzeichnisses von Verarbeitungstätigkeiten zu gewährleisen, unterstützt datenschutzexperte.de Ihr Unternehmen, indem unsere zertifizierten Datenschutzbeauftragten eine gewisse Anzahl der Verarbeitungstätigkeiten prüfen, die Sie mithilfe der bereitgestellten Vorlagen anlegen können.
Die Anzahl der Verarbeitungstätigkeiten, die durch datenschutzexperte.de geprüft werden, hängt dabei vom ausgewählten Leistungspaket ab. Sollten Sie bei weiteren Verarbeitungen zusätzliche Hilfe benötigen, bietet datenschutzexperte.de weitere Beratungsleistungen an, die nach dem regulären Stundensatz abgerechnet werden. Es können auch Stundenpakete zu einem vergünstigten Stundensatz gebucht werden.
Der Tätigkeitsbericht als Nachweis Ihrer Datenschutzaktivitäten
Aufgrund der umfangreichen Rechenschaftspflichten, die mit der DSGVO eingeführt wurden, stellt ein regelmäßiger Tätigkeitsbericht ein unerlässliches Hilfsmittel für jeden Datenschutzbeauftragten dar, um die Einhaltung der Vorschriften der DSGVO in Form von erfolgten Maßnahmen ordnungsgemäß zu dokumentieren.
Die Erstellung des Tätigkeitsberichts im Rahmen der Datenschutz-Dokumentation für die DSGVO ist dabei in der Datenschutzsoftware Proliance 360 inklusive: Sie können jederzeit einen Tätigkeitsbericht, der alle Fortschritte in Ihrem Datenschutz-Management zeigt, aus der Software Proliance 360 herunterladen und ablegen.
Konsequenzen: Was passiert bei Missachtung dieser Pflichten?
Unternehmen sollten dieser Dokumentationsplicht nach der Datenschutzgrundverordnung nach bestem Wissen korrekt nachkommen, denn eine Missachtung kann enorme Konsequenzen haben. Von der Abmahnung bis hin zum siebenstelligen Bußgeld (nach Art. 84 Abs. 5 Buchst. a) DSGVO bis zu 20 Millionen Euro) ist die Bandbreite der Konsequenzen enorm groß.
Im Zweifel sollte vorher ein externer Datenschutzexperte hinzugezogen werden, um dem eigenen Unternehmen nicht aus Unwissenheit zu schaden. Am leichtesten ist die Datenschutz Dokumentation mittels einer entsprechenden Software, wie etwa Proliance 360. Denn ob die Datenschutz Dokumentationspflicht online oder offline erfolgt, bleibt den Unternehmen überlassen.
Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.