Dokumente prüfen
Verzeichnis von Verarbeitungstätigkeiten
Generischer Aufbau prüfen
- Hauptblatt
- Das eigentliche Verzeichnis
- Risikoanalyse
- Technische und organisatorische Maßnahmen
- Löschkonzept
Mindestbestandteile prüfen
- Anschrift und Vertreter der verantwortlichen Stelle
- Ggf. Niederlassung in der EU
- Informationen zum Datenschutzbeauftragten
- Verweis auf die technischen und organisatorischen Maßnahmen
- Grundsätzliches Datenlöschungskonzept, welches für alle Verfahren gilt
- Grundsätzliches Vorgehen bei Übermittlungen in Drittstaaten
Das eigentliche Verfahrensverzeichnis prüfen
- Bezeichnung des Verfahrens
- Name der eingesetzten Tools oder Dienstleistung
- Datum des Beginns der Nutzung des Verfahrens
- Datum der letzten Überprüfung des Verfahrens
- Verantwortliche Abteilung innerhalb des Unternehmens
- Name und Kontaktdaten des Verantwortlichen innerhalb des Unternehmens
- Zwecke der Verarbeitungstätigkeit
- Betroffenengruppen
- Datenpunkte / -kategorien
- Empfänger / Kategorien von Empfängern
- Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung (Rechtsgrundlage)
- Übermittlung Drittstaaten
- Spezielle Löschfristen
- Spezielle technische und organisatorische Maßnahmen
- Unterschrift des Verantwortlichen.
Details und DSGVO nachschlagen
- Die Inhalte gemäß Art. 30 DSGVO und § 70 neues BDSG
Das Vorwort oder Hauptblatt
- den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten; (Art. 30 (1) a) DSGVO)
Das eigentliche Verarbeitungsverzeichnis
die Zwecke der Verarbeitung; (Art. 30 (1) b) DSGVO)
eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten; (Art. 30 (1) c) DSGVO)
die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien; (Art. 30 (1) d) und e) DSGVO)
Zusätzliche Bestandteile
- wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien; (Art. 30 (1) f) DSGVO)
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1. (Art. 30 (1) g) DSGVO)
Dokumentenprüfung TOMs
Existiert überhaupt eine Dokumentation zu allen umgesetzten TOM?
Existiert ein Löschkonzept und wird dies für alle personenbezogenen Daten umgesetzt?
Wurden alle Maßnahmen zur Umsetzung der Zutrittskontrolle dokumentiert und durchgeführt?
Wurden alle Maßnahmen zur Umsetzung der Zugangskontrolle dokumentiert und durchgeführt?
Wurden alle Maßnahmen zur Umsetzung der Zugriffskontrolle dokumentiert und durchgeführt?
Wurden alle Maßnahmen zur Umsetzung der Weitergabekontrolle dokumentiert und durchgeführt?
Wurden alle Maßnahmen zur Umsetzung der Eingabekontrolle dokumentiert und durchgeführt?
Wurden alle Maßnahmen zur Umsetzung der Verfügbarkeitskontrolle dokumentiert und durchgeführt?
Wurden alle Maßnahmen zur Umsetzung des Trennungsgebots dokumentiert und durchgeführt?
Prüfen Sie alle Ihre Auftragsverarbeiter hinsichtlich der Einhaltung der Datenschutzgrundsätze?
Bestehen Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall?
Gibt es Vertretungsregelungen für die IT-Verantwortlichen?
Sind die Verantwortlichen für die IT-Sicherheit angemessen ausgebildet und in alle Unternehmensstrukturen eingebunden, die mit personenbezogenen Daten zu tun haben?
Existieren Verfahren zur Gewährleistung der Belastbarkeit der Systeme und Dienste?
Existiert ein Datensicherheitskonzept bzw. eine Datensicherheitsrichtlinie?
Wurden alle Mitarbeiter, die mit personenbezogenen Daten zu tun haben, auf das Datengeheimnis verpflichtet und wurden im Umgang mit den Daten geschult?
Existieren Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen?
Entsprechen die TOM dem aktuellen Stand des technischen Fortschritts und sind gemäß festgelegten Schutzzielen und Risikoprofil angemessen?
Datenschutz-Folgenabschätzung/Risikoanalyse
- Muster-Vorgehen
- Verzeichnis von Verarbeitungstätigkeiten erstellen.
- Technische und organisatorische Maßnahmen überprüfen, ggf. verbessern, implementieren und dokumentieren.
- Risikobeurteilung für jedes Verfahren anhand der Informationen über die Betroffenen und deren Daten erstellen.
- Ggf. Datenschutz-Folgenabschätzung erstellen.
DSFA Prüfung
- Alle Verfahren sollten gem. DSGVO fertig dokumentiert sein, schließlich sind diese die Grundlage für alles.
- Prüfen Sie bei jedem Verfahren: Wie hoch ist der Schutzbedarf? Wie sensibel sind die Daten für den Betroffenen?
- Prüfen Sie bei jedem Verfahren: Wie hoch ist die Eintrittswahrscheinlichkeit? Wie interessant sind die Daten überhaupt für einen Dritten (z.B. Hacker)?
- Prüfen Sie bei jedem Verfahren: Entspricht die Verarbeitung den von der „Datenschutzgruppe nach Artikel 29“ (G29) festgelegten Kriterien?
- Bewerten oder Einstufen (z.B. Scoring, Profiling, Evaluation)
- Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung
- Systematische Überwachung
- Vertrauliche Daten oder höchst persönliche Daten (besondere Kategorien personenbezogener Daten im Sinne von Artikel 9 DSGVO)
- Datenverarbeitung in großem Umfang
- Abgleichen oder Zusammenführen von Datensätzen (Insbesondere, wenn die Individuen dies nicht erwarten)
- Daten zu schutzbedürftigen Betroffenen (z.B. Kinder, Arbeitnehmer)
- Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen (z.B. Biometrische Identifikation)
- Die betroffenen Personen an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags hindert
- Einschätzung zu jedem Verfahren:
- a. Besteht ein hoher Schutzbedarf für den Betroffenen und / oder hohes Interesse Dritter an den Daten?
- b. Werden zwei oder mehr der G29-Kriterien erfüllt?
- Sollten bei 5. a. und / oder 2. die Antwort “Ja” lauten ist eine DSFA durchzuführen.
- Entscheidungsfindung dokumentieren. In den meisten Fällen sollte keine DSFA notwendig sein, da sie keine der in 5. genannten Kriterien erfüllen. Trotzdem muss die Entscheidungsfindung dokumentiert werden!
Ergebnis Risikoanalyse - Achtung Sonderfälle überprüfen
Ein Sonderfall tritt ein, wenn nur eine drei folgenden Beschreibungen auf die Verarbeitungstätigkeit zutrifft (Quelle: Artikel 35 Abs. 3 DSGVO):
systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 und systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
Erfassung der Auftragsverarbeiter/AV-Verträge prüfen
- Achtung: Erfassung Auftragsverarbeiter
- Achtung: Eigene Verarbeitungen im Auftrag
- Die Datenschutz-Grundverordnung stellt in Art. 28 relativ klar fest, was in einem AV-Vertrag stehen muss:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten & Kategorien von betroffenen Personen
- Umfang der internen und externen Weisungsbefugnisse
- Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
- Sicherstellung von technischen und organisatorischen Maßnahmen (TOM)
- (geplante) Hinzuziehung von Subunternehmern
- Unterstützung des Verantwortlichen bei Anfragen und Ansprüchen Betroffener
- Unterstützung des Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen
- Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsdatenverarbeitung
- Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
- Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt
Prüfung anhand Muster AV-Vertrag Anfrage
“Sehr geehrte Damen und Herren,
da Sie für die Firma [Ihr Firmenname] unter der Kundennummer [Kundennummer] im Auftrag Daten verarbeiten, möchten wir Sie höflich bitten uns eine Auftragsverarbeitungsvereinbarung (AV-Vereinbarung) nach Art. 28 DSGVO zukommen zu lassen.
Es sollten mindestens diese Bestandteile geklärt werden:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten & Kategorien von betroffenen Personen
- Umfang der internen und externen Weisungsbefugnisse
- Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
- Sicherstellung von technischen und organisatorischen Maßnahmen (TOM)
- (geplante) Hinzuziehung von Subunternehmern
- Unterstützung des Verantwortlichen bei Anfragen und Ansprüchen Betroffener
- Unterstützung des Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen
- Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsdatenverarbeitung
- Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
- Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt
Sollten Sie uns dieses Vertragswerk nicht zukommen lassen können, werden wir eine eigene Vorlage senden. Bitte informieren Sie uns frühzeitig.
Prüfung des ggf. erhaltenen Vertrages unbedingt auf die o.g. gesetzlich vorgeschriebenen Punkte.
Vorsicht Falle
Webseiten prüfen
- Google Analytics DSGVO-konform einsetzen mit DPA (AVV auf Englisch); In Google Analytics muss ein sog. DPA abgeschlossen werden. Dies geht direkt in der Google Analytics Admin Area.
- 1und1 AV nach DSGVO;
- Amazon Webservices (AWS) Standardvertragsklauseln; Bei AWS gibt es eine Besonderheit, da Daten in ein Drittland (nämlich hauptsächlich die USA) exportiert werden.
- Google Apps for Work oder die G Suite
- All-inkl.com AVV
- AVV für DATEV
- Hetzner und AV-Verträge
- Cloud Dienste und AV-Verträge
- Auftragsdatenverarbeiter HostEurope
- DPA mit MeisterTask abschließen
- etc.
Datenschutzbeauftragte(r)
- Tätigkeitsbericht prüfen
Datenschutzkonzept prüfen
- Erfassung von Betroffenenanfragen
- Eingegangene Betroffenenanfragen
- Tracking von Datenpannen
- Meldepflichtige und nicht-meldepflichtige Datenpannen
- Standorte, Mitarbeiter, Dateien sowie Hard- und Software mit Bezug zu personenbezogenen Daten
- Datenschutzrelevante Mitarbeiter, Standorte, DV-Anlagen, Software
- Einwilligungsdatenbank
- Erfassen aller Einwilligungen von Kunden bzw. Nutzern
- Mitarbeiterschulung
- Nachweis von Schulungen