Abo
  • Services:

Dokumentations-, Nachweis- und Rechenschaftspflichten

Die neuen Verpflichtungen der DSGVO erschöpfen sich jedoch nicht in der Feststellung einer Rechtsgrundlage. Über das Dokumentieren von Einwilligungen hinaus müssen Unternehmen mit 250 oder mehr Mitarbeitern ein umfangreiches Verzeichnis aller dort stattfindenden Datenverarbeitungsvorgänge führen. Unter bestimmten Voraussetzungen kann diese Pflicht sogar für kleinere Unternehmen gelten.

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart
  2. CSL Behring GmbH, Marburg, Hattersheim am Main

Zwar macht die Verordnung keine Vorgaben dazu, wie ein solches Verzeichnis auszusehen hat, es ist aber ratsam, dieses im Zweifel eher zu detailliert zu führen. Zu jedem Datenverarbeitungsvorgang sollte festgehalten werden, auf welcher Rechtsgrundlage er durchgeführt wird, welche Art personenbezogener Daten zu welchem Zweck verarbeitet werden, auf welche Art und Weise sie gesammelt wurden und wie lange sie aufbewahrt werden. Die deutschen Landesdatenschutzbehörden stellen ein Musterverzeichnis über Verarbeitungstätigkeiten gemäß DSGVO zum Download zur Verfügung, an dem sich Unternehmen orientieren können.

  • Screenshot der Datenschutzeinstellungen in Firefox 58 (Quelle: Golem.de)
  • Ausschnitt des Musterverzeichnisses für Datenverarbeitungstätigkeiten (Quelle: Landesdatenschutzbeauftragte Niedersachsen)
  • Eine Übersicht verschiedener Arten personenbezogener Daten (Quelle: Enterprivacy.com)
  • Beispiel eines Anmeldeformulars mit Werbe-Opt-in (Quelle: otto.de)
Ausschnitt des Musterverzeichnisses für Datenverarbeitungstätigkeiten (Quelle: Landesdatenschutzbeauftragte Niedersachsen)

Selbst in überschaubar großen Unternehmen mit einer limitierten Anzahl vorhandener Datenverarbeitungsvorgänge wird deutlich, dass ein solches Verzeichnis schnell beachtliche Ausmaße annehmen kann. Wer jetzt erst mit dessen Erstellung beginnt, ist bereits spät dran.

Weitergabe personenbezogener Daten und Outsourcing der Verarbeitung an Dritte

Insbesondere für IT-Unternehmen, Plattform- und App-Anbieter hält die DSGVO noch eine weitere Herausforderung bereit. Sobald personenbezogene Daten an Dritte zur Verarbeitung weitergegeben werden - sogenannte Auftragsverarbeitung -, sollte ein Auftragsverarbeitungsvertag her. Dieser regelt die Rechte und Pflichten des Auftragsverarbeiters und bestätigt, dass dieser ebenfalls DSGVO-konform arbeitet, wozu unter anderem wiederum ein eigenes Verzeichnis der Datenverarbeitungsvorgänge zählt.

Achtung: Schon das einfache Speichern personenbezogener Daten in einem S3-Bucket von Amazon oder in einer Dropbox gilt als Auftragsverarbeitung. "Bereits die Möglichkeit eines Zugriffs zum Beispiel durch einen Hoster reicht, damit man eine Datenverarbeitung annehmen kann", erklärt Martin Schirmbacher. "Wenn die Daten nicht verschlüsselt sind, fallen sie unter die Auftragsverarbeitung." Weitere Beispiele für eine Auftragsverarbeitung sind die Verwaltung von Kundendaten auf einer extern gehosteten CRM-Plattform, das Speichern von E-Mail-Adressen bei Mailchimp oder der Einsatz eines externen Projektmanagement-Dienstes wie Podio.

"Das ist an sich keine Katastrophe", sagt Schirmbacher. Auftragsverarbeiter müssten eben eine Vereinbarung anbieten, die die Kunden mit ihnen schließen können. Unternehmen, die personenbezogene Daten verarbeiten, sollten also bei der Auswahl ihres Cloud-Anbieters darauf achten, sich abzusichern. Auch hier gilt laut Schirmbacher: "Ich muss den Dienstleister ordentlich auswählen. Das heißt, ich muss mich selbst davon überzeugen, dass es technische und organisatorische Maßnahmen zum Schutz der Daten gibt und dass nicht jeder Praktikant in die Daten reinschauen kann."

Darunter könnten in Zukunft möglicherweise kleinere Cloud-Anbieter leiden, wenn es ihnen nicht gelingt, ihre Kunden von der Rechtssicherheit der Datenverarbeitung auf ihren Systemen zu überzeugen. Um den Prozess zu vereinfachen, bietet die niedersächsische Landesdatenschutzbeauftragte ein Muster für einen DSGVO-konformen Auftragsverarbeitungsvertrag auf ihrer Webseite zum Download an.

 Keine Datenverarbeitung ohne RechtsgrundlagePermanente Auskunftspflicht 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

mathew 17. Apr 2018

Das Stichwort hierzu lautet Bundesmeldegesetz. (https://www.gesetze-im-internet.de/bmg...

Auspuffanlage 17. Apr 2018

Soweit ich weiß besteht hier bereits länger die Möglichkeit https zu benutzen also...

Auspuffanlage 17. Apr 2018

Wo steht das mit dem zwingenden Zeitstempel? Ich möchte das gerne einmal überprüfen!

Auspuffanlage 17. Apr 2018

Wenn man sich einmal intensiv damit befasst hat, merkt man schnell wieviel Blödsinn...

Avarion 14. Apr 2018

Probleme mit der DSGVO sind meiner Meinung nach nur die Bereiche "Berechtigtes...


Folgen Sie uns
       


Mit dem C64 ins Internet - Tutorial

Wir zeigen, wie man den C64 ins Netz bringt.

Mit dem C64 ins Internet - Tutorial Video aufrufen
Eden ISS: Raumfahrt-Salat für Antarktis-Bewohner
Eden ISS
Raumfahrt-Salat für Antarktis-Bewohner

Wer in der Antarktis überwintert, träumt irgendwann von frischem Grün. Bei der Station Neumayer III hat das DLR vor einem Jahr ein Gewächshaus in einem Container aufgestellt, in dem ein Forscher Salat und Gemüse angebaut hat. Das Projekt war ein Test für künftige Raumfahrtmissionen. Der verlief erfolgreich, aber nicht reibungslos.
Ein Interview von Werner Pluta

  1. Eden ISS DLR will Gewächshaus-Container am Südpol aus Bremen steuern
  2. Eu-Cropis DLR züchtet Tomaten im Weltall
  3. NGT Cargo Der Güterzug der Zukunft fährt 400 km/h

WLAN-Tracking und Datenschutz: Ist das Tracken von Nutzern übers Smartphone legal?
WLAN-Tracking und Datenschutz
Ist das Tracken von Nutzern übers Smartphone legal?

Unternehmen tracken das Verhalten von Nutzern nicht nur beim Surfen im Internet, sondern per WLAN auch im echten Leben: im Supermarkt, im Hotel - und selbst auf der Straße. Ob sie das dürfen, ist juristisch mehr als fraglich.
Eine Analyse von Harald Büring

  1. Gefahr für Werbenetzwerke Wie legal ist das Tracking von Online-Nutzern?
  2. Landtagswahlen in Bayern und Hessen Tracker im Wahl-O-Mat der bpb-Medienpartner
  3. Tracking Facebook wechselt zu First-Party-Cookie

Datenleak: Die Fehler, die 0rbit überführten
Datenleak
Die Fehler, die 0rbit überführten

Er ließ sich bei einem Hack erwischen, vermischte seine Pseudonyme und redete zu viel - Johannes S. hinterließ viele Spuren. Trotzdem brauchte die Polizei offenbar einen Hinweisgeber, um ihn als mutmaßlichen Täter im Politiker-Hack zu überführen.

  1. Datenleak Bundestagsabgeordnete sind Zwei-Faktor-Muffel
  2. Datenleak Telekom und Politiker wollen härtere Strafen für Hacker
  3. Datenleak BSI soll Frühwarnsystem für Hackerangriffe aufbauen

    •  /