• IT-Karriere:
  • Services:

Dokumentations-, Nachweis- und Rechenschaftspflichten

Die neuen Verpflichtungen der DSGVO erschöpfen sich jedoch nicht in der Feststellung einer Rechtsgrundlage. Über das Dokumentieren von Einwilligungen hinaus müssen Unternehmen mit 250 oder mehr Mitarbeitern ein umfangreiches Verzeichnis aller dort stattfindenden Datenverarbeitungsvorgänge führen. Unter bestimmten Voraussetzungen kann diese Pflicht sogar für kleinere Unternehmen gelten.

Stellenmarkt
  1. ARRI Media GmbH, München
  2. Dental Wings GmbH, Berlin

Zwar macht die Verordnung keine Vorgaben dazu, wie ein solches Verzeichnis auszusehen hat, es ist aber ratsam, dieses im Zweifel eher zu detailliert zu führen. Zu jedem Datenverarbeitungsvorgang sollte festgehalten werden, auf welcher Rechtsgrundlage er durchgeführt wird, welche Art personenbezogener Daten zu welchem Zweck verarbeitet werden, auf welche Art und Weise sie gesammelt wurden und wie lange sie aufbewahrt werden. Die deutschen Landesdatenschutzbehörden stellen ein Musterverzeichnis über Verarbeitungstätigkeiten gemäß DSGVO zum Download zur Verfügung, an dem sich Unternehmen orientieren können.

  • Screenshot der Datenschutzeinstellungen in Firefox 58 (Quelle: Golem.de)
  • Ausschnitt des Musterverzeichnisses für Datenverarbeitungstätigkeiten (Quelle: Landesdatenschutzbeauftragte Niedersachsen)
  • Eine Übersicht verschiedener Arten personenbezogener Daten (Quelle: Enterprivacy.com)
  • Beispiel eines Anmeldeformulars mit Werbe-Opt-in (Quelle: otto.de)
Ausschnitt des Musterverzeichnisses für Datenverarbeitungstätigkeiten (Quelle: Landesdatenschutzbeauftragte Niedersachsen)

Selbst in überschaubar großen Unternehmen mit einer limitierten Anzahl vorhandener Datenverarbeitungsvorgänge wird deutlich, dass ein solches Verzeichnis schnell beachtliche Ausmaße annehmen kann. Wer jetzt erst mit dessen Erstellung beginnt, ist bereits spät dran.

Weitergabe personenbezogener Daten und Outsourcing der Verarbeitung an Dritte

Insbesondere für IT-Unternehmen, Plattform- und App-Anbieter hält die DSGVO noch eine weitere Herausforderung bereit. Sobald personenbezogene Daten an Dritte zur Verarbeitung weitergegeben werden - sogenannte Auftragsverarbeitung -, sollte ein Auftragsverarbeitungsvertag her. Dieser regelt die Rechte und Pflichten des Auftragsverarbeiters und bestätigt, dass dieser ebenfalls DSGVO-konform arbeitet, wozu unter anderem wiederum ein eigenes Verzeichnis der Datenverarbeitungsvorgänge zählt.

Achtung: Schon das einfache Speichern personenbezogener Daten in einem S3-Bucket von Amazon oder in einer Dropbox gilt als Auftragsverarbeitung. "Bereits die Möglichkeit eines Zugriffs zum Beispiel durch einen Hoster reicht, damit man eine Datenverarbeitung annehmen kann", erklärt Martin Schirmbacher. "Wenn die Daten nicht verschlüsselt sind, fallen sie unter die Auftragsverarbeitung." Weitere Beispiele für eine Auftragsverarbeitung sind die Verwaltung von Kundendaten auf einer extern gehosteten CRM-Plattform, das Speichern von E-Mail-Adressen bei Mailchimp oder der Einsatz eines externen Projektmanagement-Dienstes wie Podio.

"Das ist an sich keine Katastrophe", sagt Schirmbacher. Auftragsverarbeiter müssten eben eine Vereinbarung anbieten, die die Kunden mit ihnen schließen können. Unternehmen, die personenbezogene Daten verarbeiten, sollten also bei der Auswahl ihres Cloud-Anbieters darauf achten, sich abzusichern. Auch hier gilt laut Schirmbacher: "Ich muss den Dienstleister ordentlich auswählen. Das heißt, ich muss mich selbst davon überzeugen, dass es technische und organisatorische Maßnahmen zum Schutz der Daten gibt und dass nicht jeder Praktikant in die Daten reinschauen kann."

Darunter könnten in Zukunft möglicherweise kleinere Cloud-Anbieter leiden, wenn es ihnen nicht gelingt, ihre Kunden von der Rechtssicherheit der Datenverarbeitung auf ihren Systemen zu überzeugen. Um den Prozess zu vereinfachen, bietet die niedersächsische Landesdatenschutzbeauftragte ein Muster für einen DSGVO-konformen Auftragsverarbeitungsvertrag auf ihrer Webseite zum Download an.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Keine Datenverarbeitung ohne RechtsgrundlagePermanente Auskunftspflicht 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 7 5800X für 469€)

Anonymer Nutzer 17. Apr 2018

Das Stichwort hierzu lautet Bundesmeldegesetz. (https://www.gesetze-im-internet.de/bmg...

Auspuffanlage 17. Apr 2018

Soweit ich weiß besteht hier bereits länger die Möglichkeit https zu benutzen also...

Auspuffanlage 17. Apr 2018

Wo steht das mit dem zwingenden Zeitstempel? Ich möchte das gerne einmal überprüfen!

Auspuffanlage 17. Apr 2018

Wenn man sich einmal intensiv damit befasst hat, merkt man schnell wieviel Blödsinn...

Avarion 14. Apr 2018

Probleme mit der DSGVO sind meiner Meinung nach nur die Bereiche "Berechtigtes...


Folgen Sie uns
       


Razer Kyio Pro Webcam - Test

Webcams müssen keine miese Bildqualität haben, wie Razers Kyio Pro in unserem Test beweist.

Razer Kyio Pro Webcam - Test Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /