Datenschutzdokumentation mit Datenschutz-Generator-Software für Schweiz, Deutschland oder Österreich erstellen

Achtung: Der Beitrag kann die rechtliche Beratung im Einzelfall nicht ersetzen!

Die Bedeutung einer Datenschutz-Dokumentation für Unternehmen in der Schweiz, Österreich und Deutschland nach der DSGVO, BDSG, DSG neu AT, DSG neu CH?

Die Datenschutz Grundverordnung (DSGVO) stellt für bestimmte Vorgänge im Unternehmen umfassende Dokumentationspflichten an den Verantwortlichen. Diese datenschutzrechtliche Dokumentation ist für Unternehmen verpflichtend und wird ebenfalls geregelt im BDSG in Deutschland, ATDSG neu in Österreich oder CHDSG neu in der Schweiz.

Ohne eine ausreichende Datenschutzdokumentation kann die in Art. 5 Abs.2 DSGVO normierte Rechenschaftspflicht nicht erfüllt werden. Eine vollständige Dokumentation der Datenschutzaktivitäten im Unternehmen ist notwendig, um sich, falls es zu Verstößen gegen die Datenschutz Grundverordnung oder andere datenschutzrechtliche Normen kommen sollte, entlasten zu können. Dies ist mittels mit Datenschutz-Generator-Software jetzt auch mit Datenschutzerklärungsgenerator im Schritt-für-Schritt-Prinzip möglich.

Die zuständige Aufsichtsbehörde kann hierüber gegebenenfalls Nachweise verlangen.

Die Befolgung von datenschutzrechtlichen Vorgaben ist von nicht zu unterschätzender Bedeutung, da andernfalls gemäß Art. 82, 83 DSGVO Geldbußen und die Geltendmachung von Schadensersatzansprüchen drohen.

Bitte beachten Sie die eventuellen Besonderheiten Ihres Landes nach BDSG für Deutschland,  ATDSG neu für Österreich oder CHDSG neu in der Schweiz, insbesondere für Verantwortliche beim Verzeichnis für Datenbearbeitung oder für Auftragsbearbeiter bei der Auftragsdatenbearbeitung, welche ebenfalls die Datenschutz-Software bzw. der Datenschutz-Generator abbilden muss. Einige Besonderheiten im Datenschutz haben sich durch das neue DSG der Schweiz ergeben.

Datenschutz-Dokugenerator

Welche Dokumentationspflichten sieht die DSGVO vor? Ist die Einhaltung möglich mittels Datenschutz Software bzw. Generator insbesondere für Deutschland, Österreich und die Schweiz?

In der Datenschutz Grundverordnung sind diverse Vorgaben (Dokumentationspflichten) zur ordnungsgemäßen Dokumentation zu einschlägigen Betätigungen von Unternehmen enthalten, welche mittels der Datenschutz Software unter www.datenbuddy.de bearbeitet werden können. Mit Datenbuddy.de realisieren Verantwortliche Ihr Datenschutz Managementsystem in Ihrem Unternehmen bezüglich der Einhaltung des Datenschutzes auch für Datenbearbeitung und Auftragsbearbeitung.

Gemäß Art. 5 Abs.2 DSGVO besteht eine „Rechenschaftspflicht“ bezüglich der in Art. 5 Abs.1 DSGVO normierten Grundsätze über die Verarbeitung personenbezogener Daten:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (lit. a)
  • Zweckbindung (lit. b)
  • Datenminimierung (lit. c)
  • Richtigkeit (lit. d)
  • Speicherbegrenzung (lit. e)
  • Integrität und Vertraulichkeit (lit. f)

Der Unternehmer ist für deren Einhaltung verantwortlich und muss deren Einhaltung nachweisen können. Zur Revision des DSG der Schweiz lesen Sie unter av-vertrag.org

Die Voraussetzungen der Rechtmäßigkeit der Verarbeitung sind in Art. 6 DSGVO geregelt. Soweit die Verarbeitung auf einer Einwilligung beruht, enthalten Art.7 und Art. 8 DSGVO diesbezüglich weitere Vorgaben. Art. 9 DSGVO enthält Sonderregelungen soweit sich die Verarbeitung auf besondere Kategorien personenbezogener Daten erstreckt (gemäß Abs.1 sind dies insbesondere Daten, aus denen auf die ethnische Herkunft, Religionszugehörigkeit, politische Meinung oder Gewerkschaftszugehörigkeit geschlossen werden kann).

Art 13 und Art. 14 Datenschutzgrundverordnung tragen dem Grundsatz der Transparenz weiter Rechnung und normieren Informationspflichten für Unternehmen gegenüber Betroffenen.

Des Weiteren regelt Art. 24 Abs.1, Art. 25 Abs.2 DSGVO, dass der Verantwortliche durch geeignete technische und organisatorische Maßnahmen (sog. TOM) sicherzustellen hat, dass die Datenverarbeitung rechtmäßig erfolgt und er hierüber insbesondere zum Nachweis verpflichtet ist.

Art. 28 DSGVO normiert die Auftragsverarbeitung und setzt diesbezüglich Informations- und Dokumentations-Pflichten fest.

Von besonderer Bedeutung im Zusammenhang mit datenschutzrechtlicher Dokumentation ist, dass gemäß Art. 30 DSGVO eine Pflicht zum Führen eines Verarbeitungstätigkeiten-Verzeichnis (VVT) besteht.

Weiterhin wird auf die Vorgaben zur Datenschutz-Folgenabschätzung (Art. 35 DSGVO), die Pflicht zur Benennung eines Datenschutzbeauftragen (Art. 37 DSGVO) und zur Übermittlung von Daten an sogenannte Drittländer (Art. 44- 50 DSGVO) verwiesen.

Demzufolge verlangt die DSGVO eine vollumfängliche Dokumentation jetzt auch für die Schweiz mit Datenschutzerklärungsgenerator insbesondere über die folgenden Vorgänge welche mittels der Datenschutz Software unter www.datenbuddy.de bearbeitet werden können:

  • Verzeichnis für Verarbeitungstätigkeiten (VVT)
  • Technische und organisatorische Maßnahmen (TOM), vgl. Art.5 Abs.1 lit. f., Art. 24 Abs.1 DSGVO.
  • Einwilligungen und Interessenabwägungen, soweit diese einer Datenverarbeitung zugrunde liegen (vgl. Art.6 Abs. 1 lit.f., 14 Abs.2 lit. a DSGVO)
  • Definition und Dokumentation von Löschfristen für die Bearbeitung personenbezogener Daten (vgl. Art. 5 Abs. 1 lit. c., Art. 13 Abs. 2 lit. a DSGVO)
  • Anfragen von Betroffenen und deren Bearbeitung (bspw. Art. 15 DSGVO)
  • Vorliegen einer ordnungsgemäßen Datenschutzerklärung
  • Benennung und Tätigkeitsnachweis des Datenschutzbeauftragten
  • Soweit eine Datenübermittlung in Drittländer erfolgt diesbezügliche Maßnahmen zur Sicherstellung eines geeigneten Datenschutzniveaus
  • Im Falle einer Datenpanne: Risikoabwägung und Meldung (vgl. Art. 33, 34 DSGVO)
  • Datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO)
  • Verpflichtung zur Vertraulichkeit und Schulung der Beschäftigten (Art. 28 Abs.3 lit. h., 24 Abs.1 DSGVO)
  • Im Falle des Einsatzes von Dienstleistern sind diese regelmäßig zu kontrollieren (Art. 28 Abs.3 lit. h DSGVO)

Was muss ein Verzeichnis für Verarbeitungstätigkeiten in Deutschland, Österreich oder der Schweiz auch Bearbeitungsverzeichnis genannt enthalten?

Art. 30 Abs.1 DSGVO sieht vor, dass ein Verantwortlicher und gegebenenfalls sein Vertreter ein Verzeichnis über alle Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, zur Überprüfung Ihrer Verantwortlichkeit sowie der Rechenschaftspflichten zu führen hat. Die Errichtung eines Datenschutz Managementsystems ggf. durch Datenschutzbeauftragte um der Nachweispflicht gegenüber der Datenschutzaufsicht bezüglich der Erfüllung der Datenschutzrichtlinie bzw. Datenschutz Verordnung Auskunft zum Datenflusses und Übersicht hinsichtlich der Praxis bezüglich der Verarbeitungstätigkeit im Unternehmen zu ermöglichen.

Dieses Verzeichnis muss zwingend die folgenden Angaben enthalten:

  • Name und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten; (lit. a)
  • die Zwecke der Verarbeitung; (lit. b)
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten; (lit. c)
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen; (lit. d)
  • (soweit der Fall) Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentationspflicht deckende geeignete Garantien; (lit. e)
  • (soweit möglich) die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien; (lit. f)
  • (soweit möglich) eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.(lit. g) unterliegen der Dokumentationspflicht

Was gilt in Bezug auf das Verzeichnis für Verarbeitungstätigkeiten / Verzeichnis für Datenbearbeitungen, wenn eine Auftragsverarbeitung bzw. Auftragsbearbeitung vorliegt? 

In Ergänzung zu Abs.1 enthält Art. 30 Abs.2 DSGVO die Vorgabe, dass jeder Auftragsverarbeiter bzw. Auftragsbearbeiter und gegebenenfalls sein Vertreter ein Verzeichnis zu allen im Auftrag ausgeführten Verarbeitungstätigkeiten bzw. Datenbearbeitungen zu führen hat.

Ein solches Verzeichnis muss die folgenden Angaben nach der DSGVO enthalten:

  • Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten; (lit. a)
  • die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden; (lit. b)
  • (soweit der Fall) Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien; (lit. c)
  • (wenn möglich) eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1. (lit. d)

Außerdem ist der Verantwortlichen zur sorgfältigen Auswahl des Auftragsverarbeiters bzw. Auftragsbearbeiters, verpflichtet. Der Auftragsverarbeiter bzw. Auftragsbearbeiter hat gemäß Art. 28 Abs.1 DSGVO i. V. m. Art 32 Abs.1 DSGVO hinreichende Garantien für die Durchführung technisch-organisatorischer Maßnahmen zum angemessenen Schutz der verarbeiteten Daten zu tätigen. Auch hierauf erstreckt sich die datenschutzrechtliche Dokumentationspflicht des Verantwortlichen, siehe hierzu auch unter https://av-vertrag.org/datenschutzmanagement-und-datenschutzdokumentatio...

Was gilt es in Bezug auf das Verzeichnis von Verarbeitungstätigkeiten bzw. Datenbearbeitungen im Übrigen bei Nutzung einer Datenschutzmanagement Software zu beachten?

Gemäß Art. 30 Abs.5 DSGVO entfällt – sofern keine Gegenausnahme vorliegt – die Pflicht zum Führen eines Verzeichnisses gemäß Art. 30 Abs.1, Abs.2 DSGVO für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen. Das Verzeichnis ist schriftlich (auch im elektronischen Format möglich) zu führen (Abs.3) und auf Verlangen der Aufsichtsbehörde zur Verfügung zu stellen.

Was gilt bezüglich technischer und organisatorischer Maßnahmen (TOMs) im Hinblick auf datenschutzrechtliche Dokumentation?

Ergänzend zum Verzeichnis von Verarbeitungstätigkeiten bzw. Datenbearbeitungen sind technische und organisatorische Maßnahmen zur Sicherheit der Datenverarbeitung (soweit personenbezogene Daten betroffen sind) von großer Bedeutung. Gemäß Art. 32 Abs.1 DS GVO haben der Verantwortliche sowie der Auftragsverarbeiter bzw. Auftragsbearbeiter geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Solche Maßnahmen können unter anderem Folgendes einschließen:

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten; (lit.a)
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; (lit. b)
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; (lit. c)
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. (lit. d)

Unter „Pseudonymisierung“ versteht man die Beseitigung der Möglichkeit, personenbezogene Daten zuzuordnen. Dies kann insbesondere durch die Ersetzung der Daten durch Zahlenfolgen wie beispielsweise eine User-ID erfolgen. Unter „Verschlüsselung“ ist der Schutz von personenbezogenen Daten vor unberechtigtem Zugang beispielsweise durch Passwörter zu verstehen.

Auch in Bezug auf TOMs besteht nach DS GVO eine Pflicht zur Datenschutz-Dokumentation.

Was wird im Falle einer Überprüfung gefordert? Wann ist mit einer Überprüfung durch die Aufsichtsbehörde zu rechnen?

Die Zuständigkeiten, Aufgaben und Befugnisse der Aufsichtsbehörden sind in Art. 55-59 DS GVO geregelt. Zu einer Überprüfung von Unternehmen kann es im Falle offensichtlicher Datenschutzverstöße, nach Eingang einer Beschwerde oder auch durch bloße zufällige Auswahl kommen.

Im Falle einer Überprüfung fordert die Aufsichtsbehörde regelmäßig zur Übergabe aller relevanten datenschutzrechtlichen Nachweise auf, um überprüfen zu können, ob sich das Unternehmen DSGVO-konform bzw. DSG-konform verhält. Jedenfalls damit, dass die Behörde das Verzeichnis von Verarbeitungstätigkeiten / Datenbearbeitungen gemäß Art. 30 Abs. 4 DS GVO anfordert, ist zu rechnen.

Datenschutz-Dokugenerator

Wie sollte in Bezug auf datenschutzrechtliche Dokumentation am besten vorgegangen werden?

Wie in diesem Beitrag aufgezeigt wurde, sollte das Thema Datenschutz-Dokumentation nicht unterschätzt werden: Die von der DS GVO gestellten Anforderungen sind durchaus hoch und im Falle der Nichtbefolgung drohen unter anderem Geldbußen gemäß Art. 83 DS-GVO oder nach DSG neu in der Schweiz / Österreich.

Um sicherzustellen, dass Ihr Unternehmen auch in dieser Hinsicht sowie nach BDSG, DSG neu für Österreich oder DSG neu für die Schweiz als auch DS-GVO-konform agieren, empfiehlt es sich, einen auf Datenschutzrecht und IT-Recht spezialisierten Rechtsanwalt und/oder Datenschutzbeauftragten bzw. Datenschutzberater zu kontaktieren. So werden Sie kompetent beraten und erhalten praktisch umsetzbare, auf Ihr Unternehmen abgestimmte Vorschläge zur Erarbeitung eines Datenschutzmanagement-Systems zum Zwecke der Sicherstellung einer ausreichenden Datenschutz-Dokumentation welche Sie beispielsweise mit der Datenschutz Software datenbuddy.de erstellen können.

Klicken Sie auf das Formularfeld und kopieren Sie sich den HTML-Code heraus.

Weitere für Sie wahrscheinlich interessante Artikel
Videoblog

3 Tipps vor Abgabe einer Unterlassungserklärung / mod. UE!

Bewertungen auf google.com
RA Scholze

Rechtsanwalt Christoph Scholze
Fachanwalt für IT-Recht (Informationstechnologierecht)
TÜV geprüfter Datenschutzbeauftragter (DSB)
IHK geprüfter Informationssicherheitsbeauftrager (ISB)
Lehrbeauftragter Dozent bei der Thüringer Verwaltungsschule (TVS)
Tel.: +49 611 89060871

AID24 Rechtsanwaltskanzlei
in Erfurt, Wiesbaden und Frankfurt am Main

Kostenloser Rückruf erwünscht?
Upload der Abmahnung oder weiterer Unterlagen

Wir empfehlen Ihnen Ihre Dateien ausreichend zu verschlüsseln und uns separat zum von Ihnen genutzten Schlüssel zu informieren.

Die Dateien müssen kleiner als 8 MB sein.
Zulässige Dateierweiterungen: jpg jpeg pdf doc docx.

* Diese Angaben werden benötigt.

Kanzleibriefe
Gegenstandswert bei Urheberrechtsverletzung von Produktfotos auf eBay

Ermittlung des Gegenstandswertes bei Urheberrechtsverletzung auf ebay... Weiterlesen

Schadenersatz KSP: Forderung der KSP Kanzlei für DPA wegen unerlaubter Bildnutzung

Schadensersatzforderung KSP Kanzlei für DPA Picture Alliance wegen unerlaubter Nutzung urheberrechtlich geschützter Bilder Details der Schadensersatzforderung ... Weiterlesen

AV-Verträge generieren, statt Muster oder Vorlagen fehlerhaft umzuschreiben

Erstellen Sie AV-Verträge, anstatt Vorlagen oder diese möglicherweise falsche um zu schreiben Auftragsverarbeitungsverträge, eine Anleitung zum AV-Vertrag-Generator... Weiterlesen