Abo
  • Services:

Dokumentations-, Nachweis- und Rechenschaftspflichten

Die neuen Verpflichtungen der DSGVO erschöpfen sich jedoch nicht in der Feststellung einer Rechtsgrundlage. Über das Dokumentieren von Einwilligungen hinaus müssen Unternehmen mit 250 oder mehr Mitarbeitern ein umfangreiches Verzeichnis aller dort stattfindenden Datenverarbeitungsvorgänge führen. Unter bestimmten Voraussetzungen kann diese Pflicht sogar für kleinere Unternehmen gelten.

Stellenmarkt
  1. NOVO Data Solutions GmbH & Co. KG, Bamberg
  2. Giesecke+Devrient Currency Technology GmbH, München

Zwar macht die Verordnung keine Vorgaben dazu, wie ein solches Verzeichnis auszusehen hat, es ist aber ratsam, dieses im Zweifel eher zu detailliert zu führen. Zu jedem Datenverarbeitungsvorgang sollte festgehalten werden, auf welcher Rechtsgrundlage er durchgeführt wird, welche Art personenbezogener Daten zu welchem Zweck verarbeitet werden, auf welche Art und Weise sie gesammelt wurden und wie lange sie aufbewahrt werden. Die deutschen Landesdatenschutzbehörden stellen ein Musterverzeichnis über Verarbeitungstätigkeiten gemäß DSGVO zum Download zur Verfügung, an dem sich Unternehmen orientieren können.

  • Screenshot der Datenschutzeinstellungen in Firefox 58 (Quelle: Golem.de)
  • Ausschnitt des Musterverzeichnisses für Datenverarbeitungstätigkeiten (Quelle: Landesdatenschutzbeauftragte Niedersachsen)
  • Eine Übersicht verschiedener Arten personenbezogener Daten (Quelle: Enterprivacy.com)
  • Beispiel eines Anmeldeformulars mit Werbe-Opt-in (Quelle: otto.de)
Ausschnitt des Musterverzeichnisses für Datenverarbeitungstätigkeiten (Quelle: Landesdatenschutzbeauftragte Niedersachsen)

Selbst in überschaubar großen Unternehmen mit einer limitierten Anzahl vorhandener Datenverarbeitungsvorgänge wird deutlich, dass ein solches Verzeichnis schnell beachtliche Ausmaße annehmen kann. Wer jetzt erst mit dessen Erstellung beginnt, ist bereits spät dran.

Weitergabe personenbezogener Daten und Outsourcing der Verarbeitung an Dritte

Insbesondere für IT-Unternehmen, Plattform- und App-Anbieter hält die DSGVO noch eine weitere Herausforderung bereit. Sobald personenbezogene Daten an Dritte zur Verarbeitung weitergegeben werden - sogenannte Auftragsverarbeitung -, sollte ein Auftragsverarbeitungsvertag her. Dieser regelt die Rechte und Pflichten des Auftragsverarbeiters und bestätigt, dass dieser ebenfalls DSGVO-konform arbeitet, wozu unter anderem wiederum ein eigenes Verzeichnis der Datenverarbeitungsvorgänge zählt.

Achtung: Schon das einfache Speichern personenbezogener Daten in einem S3-Bucket von Amazon oder in einer Dropbox gilt als Auftragsverarbeitung. "Bereits die Möglichkeit eines Zugriffs zum Beispiel durch einen Hoster reicht, damit man eine Datenverarbeitung annehmen kann", erklärt Martin Schirmbacher. "Wenn die Daten nicht verschlüsselt sind, fallen sie unter die Auftragsverarbeitung." Weitere Beispiele für eine Auftragsverarbeitung sind die Verwaltung von Kundendaten auf einer extern gehosteten CRM-Plattform, das Speichern von E-Mail-Adressen bei Mailchimp oder der Einsatz eines externen Projektmanagement-Dienstes wie Podio.

"Das ist an sich keine Katastrophe", sagt Schirmbacher. Auftragsverarbeiter müssten eben eine Vereinbarung anbieten, die die Kunden mit ihnen schließen können. Unternehmen, die personenbezogene Daten verarbeiten, sollten also bei der Auswahl ihres Cloud-Anbieters darauf achten, sich abzusichern. Auch hier gilt laut Schirmbacher: "Ich muss den Dienstleister ordentlich auswählen. Das heißt, ich muss mich selbst davon überzeugen, dass es technische und organisatorische Maßnahmen zum Schutz der Daten gibt und dass nicht jeder Praktikant in die Daten reinschauen kann."

Darunter könnten in Zukunft möglicherweise kleinere Cloud-Anbieter leiden, wenn es ihnen nicht gelingt, ihre Kunden von der Rechtssicherheit der Datenverarbeitung auf ihren Systemen zu überzeugen. Um den Prozess zu vereinfachen, bietet die niedersächsische Landesdatenschutzbeauftragte ein Muster für einen DSGVO-konformen Auftragsverarbeitungsvertrag auf ihrer Webseite zum Download an.

 Keine Datenverarbeitung ohne RechtsgrundlagePermanente Auskunftspflicht 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Blu-ray-Angebote
  1. 9,99€
  2. (u. a. Spider-Man 1-3 für 8,49€, X-Men 1-6 für 23,83€ und Batman 1-4 für 14,97€)
  3. (2 Monate Sky Ticket für nur 4,99€)
  4. 4,25€

mathew 17. Apr 2018

Das Stichwort hierzu lautet Bundesmeldegesetz. (https://www.gesetze-im-internet.de/bmg...

Auspuffanlage 17. Apr 2018

Soweit ich weiß besteht hier bereits länger die Möglichkeit https zu benutzen also...

Auspuffanlage 17. Apr 2018

Wo steht das mit dem zwingenden Zeitstempel? Ich möchte das gerne einmal überprüfen!

Auspuffanlage 17. Apr 2018

Wenn man sich einmal intensiv damit befasst hat, merkt man schnell wieviel Blödsinn...

Avarion 14. Apr 2018

Probleme mit der DSGVO sind meiner Meinung nach nur die Bereiche "Berechtigtes...


Folgen Sie uns
       


BMW i3s - Test

Er ist immer noch ein Hingucker: Der knallrote BWM i3s zieht die Blicke anderer Verkehrsteilnehmer auf sich. Doch man muss sich mit dem Hinschauen beeilen. Denn das kleine Elektroauto der Münchner ist mit 185 PS ziemlich flott in der Stadt unterwegs.

BMW i3s - Test Video aufrufen
Anthem angespielt: Action in fremder Welt und Abkühlung im Wasserfall
Anthem angespielt
Action in fremder Welt und Abkühlung im Wasserfall

E3 2018 Eine interessante Welt, schicke Grafik und ein erstaunlich gutes Fluggefühl: Golem.de hat das Actionrollenspiel Anthem von Bioware ausprobiert.

  1. Dying Light 2 Stadtentwicklung mit Schwung
  2. E3 2018 Eindrücke, Analysen und Zuschauerfragen
  3. Control Remedy Entertainment mit übersinnlichen Räumen

IT-Jobs: Fünf neue Mitarbeiter in fünf Wochen?
IT-Jobs
Fünf neue Mitarbeiter in fünf Wochen?

Startups müssen oft kurzfristig viele Stellen besetzen. Wir waren bei dem Berliner Unternehmen Next Big Thing dabei, als es auf einen Schlag Bewerber für fünf Jobs suchte.
Ein Bericht von Juliane Gringer

  1. Frauen in IT-Berufen Programmierte Klischees
  2. Bitkom Research Höherer Frauenanteil in der deutschen IT-Branche
  3. Recruiting IT-Experten brauchen harte Fakten

Business-Festival: Cebit verliert 70.000 Besucher und ist hochzufrieden
Business-Festival
Cebit verliert 70.000 Besucher und ist hochzufrieden

Cebit 2018 Zur ersten neuen Cebit sind deutlich weniger Besucher als im Vorjahr gekommen. Dennoch feiern Messe AG, Bitkom und Aussteller den Relaunch der Veranstaltung als Erfolg. Die Cebit 2019 wird erneut etwas verlegt.

  1. Festival statt Technikmesse "Die neue Cebit ist ein Proof of Concept"

    •  /