Kostenlosen Ratgeber zur Verteidigung gegen
Abmahnung als 28 Seiten PDF-Dokument
Achtung: Der Beitrag kann die rechtliche Beratung im Einzelfall nicht ersetzen!
Die Datenschutz Grundverordnung (DSGVO) stellt für bestimmte Vorgänge im Unternehmen umfassende Dokumentationspflichten an den Verantwortlichen. Diese datenschutzrechtliche Dokumentation ist für Unternehmen verpflichtend und wird ebenfalls geregelt im BDSG in Deutschland, ATDSG neu in Österreich oder CHDSG neu in der Schweiz.
Ohne eine ausreichende Datenschutzdokumentation kann die in Art. 5 Abs.2 DSGVO normierte Rechenschaftspflicht nicht erfüllt werden. Eine vollständige Dokumentation der Datenschutzaktivitäten im Unternehmen ist notwendig, um sich, falls es zu Verstößen gegen die Datenschutz Grundverordnung oder andere datenschutzrechtliche Normen kommen sollte, entlasten zu können. Dies ist mittels mit Datenschutz-Generator-Software jetzt auch mit Datenschutzerklärungsgenerator im Schritt-für-Schritt-Prinzip möglich.
Die zuständige Aufsichtsbehörde kann hierüber gegebenenfalls Nachweise verlangen.
Die Befolgung von datenschutzrechtlichen Vorgaben ist von nicht zu unterschätzender Bedeutung, da andernfalls gemäß Art. 82, 83 DSGVO Geldbußen und die Geltendmachung von Schadensersatzansprüchen drohen.
Bitte beachten Sie die eventuellen Besonderheiten Ihres Landes nach BDSG für Deutschland, ATDSG neu für Österreich oder CHDSG neu in der Schweiz, insbesondere für Verantwortliche beim Verzeichnis für Datenbearbeitung oder für Auftragsbearbeiter bei der Auftragsdatenbearbeitung, welche ebenfalls die Datenschutz-Software bzw. der Datenschutz-Generator abbilden muss. Einige Besonderheiten im Datenschutz haben sich durch das neue DSG der Schweiz ergeben.
In der Datenschutz Grundverordnung sind diverse Vorgaben (Dokumentationspflichten) zur ordnungsgemäßen Dokumentation zu einschlägigen Betätigungen von Unternehmen enthalten, welche mittels der Datenschutz Software unter www.datenbuddy.de bearbeitet werden können. Mit Datenbuddy.de realisieren Verantwortliche Ihr Datenschutz Managementsystem in Ihrem Unternehmen bezüglich der Einhaltung des Datenschutzes auch für Datenbearbeitung und Auftragsbearbeitung.
Gemäß Art. 5 Abs.2 DSGVO besteht eine „Rechenschaftspflicht“ bezüglich der in Art. 5 Abs.1 DSGVO normierten Grundsätze über die Verarbeitung personenbezogener Daten:
Der Unternehmer ist für deren Einhaltung verantwortlich und muss deren Einhaltung nachweisen können. Zur Revision des DSG der Schweiz lesen Sie unter av-vertrag.org
Die Voraussetzungen der Rechtmäßigkeit der Verarbeitung sind in Art. 6 DSGVO geregelt. Soweit die Verarbeitung auf einer Einwilligung beruht, enthalten Art.7 und Art. 8 DSGVO diesbezüglich weitere Vorgaben. Art. 9 DSGVO enthält Sonderregelungen soweit sich die Verarbeitung auf besondere Kategorien personenbezogener Daten erstreckt (gemäß Abs.1 sind dies insbesondere Daten, aus denen auf die ethnische Herkunft, Religionszugehörigkeit, politische Meinung oder Gewerkschaftszugehörigkeit geschlossen werden kann).
Art 13 und Art. 14 Datenschutzgrundverordnung tragen dem Grundsatz der Transparenz weiter Rechnung und normieren Informationspflichten für Unternehmen gegenüber Betroffenen.
Des Weiteren regelt Art. 24 Abs.1, Art. 25 Abs.2 DSGVO, dass der Verantwortliche durch geeignete technische und organisatorische Maßnahmen (sog. TOM) sicherzustellen hat, dass die Datenverarbeitung rechtmäßig erfolgt und er hierüber insbesondere zum Nachweis verpflichtet ist.
Art. 28 DSGVO normiert die Auftragsverarbeitung und setzt diesbezüglich Informations- und Dokumentations-Pflichten fest.
Von besonderer Bedeutung im Zusammenhang mit datenschutzrechtlicher Dokumentation ist, dass gemäß Art. 30 DSGVO eine Pflicht zum Führen eines Verarbeitungstätigkeiten-Verzeichnis (VVT) besteht.
Weiterhin wird auf die Vorgaben zur Datenschutz-Folgenabschätzung (Art. 35 DSGVO), die Pflicht zur Benennung eines Datenschutzbeauftragen (Art. 37 DSGVO) und zur Übermittlung von Daten an sogenannte Drittländer (Art. 44- 50 DSGVO) verwiesen.
Demzufolge verlangt die DSGVO eine vollumfängliche Dokumentation jetzt auch für die Schweiz mit Datenschutzerklärungsgenerator insbesondere über die folgenden Vorgänge welche mittels der Datenschutz Software unter www.datenbuddy.de bearbeitet werden können:
Art. 30 Abs.1 DSGVO sieht vor, dass ein Verantwortlicher und gegebenenfalls sein Vertreter ein Verzeichnis über alle Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, zur Überprüfung Ihrer Verantwortlichkeit sowie der Rechenschaftspflichten zu führen hat. Die Errichtung eines Datenschutz Managementsystems ggf. durch Datenschutzbeauftragte um der Nachweispflicht gegenüber der Datenschutzaufsicht bezüglich der Erfüllung der Datenschutzrichtlinie bzw. Datenschutz Verordnung Auskunft zum Datenflusses und Übersicht hinsichtlich der Praxis bezüglich der Verarbeitungstätigkeit im Unternehmen zu ermöglichen.
Dieses Verzeichnis muss zwingend die folgenden Angaben enthalten:
In Ergänzung zu Abs.1 enthält Art. 30 Abs.2 DSGVO die Vorgabe, dass jeder Auftragsverarbeiter bzw. Auftragsbearbeiter und gegebenenfalls sein Vertreter ein Verzeichnis zu allen im Auftrag ausgeführten Verarbeitungstätigkeiten bzw. Datenbearbeitungen zu führen hat.
Ein solches Verzeichnis muss die folgenden Angaben nach der DSGVO enthalten:
Außerdem ist der Verantwortlichen zur sorgfältigen Auswahl des Auftragsverarbeiters bzw. Auftragsbearbeiters, verpflichtet. Der Auftragsverarbeiter bzw. Auftragsbearbeiter hat gemäß Art. 28 Abs.1 DSGVO i. V. m. Art 32 Abs.1 DSGVO hinreichende Garantien für die Durchführung technisch-organisatorischer Maßnahmen zum angemessenen Schutz der verarbeiteten Daten zu tätigen. Auch hierauf erstreckt sich die datenschutzrechtliche Dokumentationspflicht des Verantwortlichen, siehe hierzu auch unter https://av-vertrag.org/datenschutzmanagement-und-datenschutzdokumentati…
Gemäß Art. 30 Abs.5 DSGVO entfällt – sofern keine Gegenausnahme vorliegt – die Pflicht zum Führen eines Verzeichnisses gemäß Art. 30 Abs.1, Abs.2 DSGVO für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen. Das Verzeichnis ist schriftlich (auch im elektronischen Format möglich) zu führen (Abs.3) und auf Verlangen der Aufsichtsbehörde zur Verfügung zu stellen.
Ergänzend zum Verzeichnis von Verarbeitungstätigkeiten bzw. Datenbearbeitungen sind technische und organisatorische Maßnahmen zur Sicherheit der Datenverarbeitung (soweit personenbezogene Daten betroffen sind) von großer Bedeutung. Gemäß Art. 32 Abs.1 DS GVO haben der Verantwortliche sowie der Auftragsverarbeiter bzw. Auftragsbearbeiter geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Solche Maßnahmen können unter anderem Folgendes einschließen:
Unter „Pseudonymisierung“ versteht man die Beseitigung der Möglichkeit, personenbezogene Daten zuzuordnen. Dies kann insbesondere durch die Ersetzung der Daten durch Zahlenfolgen wie beispielsweise eine User-ID erfolgen. Unter „Verschlüsselung“ ist der Schutz von personenbezogenen Daten vor unberechtigtem Zugang beispielsweise durch Passwörter zu verstehen.
Auch in Bezug auf TOMs besteht nach DS GVO eine Pflicht zur Datenschutz-Dokumentation.
Die Zuständigkeiten, Aufgaben und Befugnisse der Aufsichtsbehörden sind in Art. 55-59 DS GVO geregelt. Zu einer Überprüfung von Unternehmen kann es im Falle offensichtlicher Datenschutzverstöße, nach Eingang einer Beschwerde oder auch durch bloße zufällige Auswahl kommen.
Im Falle einer Überprüfung fordert die Aufsichtsbehörde regelmäßig zur Übergabe aller relevanten datenschutzrechtlichen Nachweise auf, um überprüfen zu können, ob sich das Unternehmen DSGVO-konform bzw. DSG-konform verhält. Jedenfalls damit, dass die Behörde das Verzeichnis von Verarbeitungstätigkeiten / Datenbearbeitungen gemäß Art. 30 Abs. 4 DS GVO anfordert, ist zu rechnen.
Wie in diesem Beitrag aufgezeigt wurde, sollte das Thema Datenschutz-Dokumentation nicht unterschätzt werden: Die von der DS GVO gestellten Anforderungen sind durchaus hoch und im Falle der Nichtbefolgung drohen unter anderem Geldbußen gemäß Art. 83 DS-GVO oder nach DSG neu in der Schweiz / Österreich.
Um sicherzustellen, dass Ihr Unternehmen auch in dieser Hinsicht sowie nach BDSG, DSG neu für Österreich oder DSG neu für die Schweiz als auch DS-GVO-konform agieren, empfiehlt es sich, einen auf Datenschutzrecht und IT-Recht spezialisierten Rechtsanwalt und/oder Datenschutzbeauftragten bzw. Datenschutzberater zu kontaktieren. So werden Sie kompetent beraten und erhalten praktisch umsetzbare, auf Ihr Unternehmen abgestimmte Vorschläge zur Erarbeitung eines Datenschutzmanagement-Systems zum Zwecke der Sicherstellung einer ausreichenden Datenschutz-Dokumentation welche Sie beispielsweise mit der Datenschutz Software datenbuddy.de erstellen können.
TÜV geprüfter Datenschutzbeauftragter (DSB)
IHK geprüfter Informationssicherheitsbeauftrager (ISB)
Lehrbeauftragter Dozent bei der Thüringer Verwaltungsschule (TVS)
Tel.: +49 611 89060871
AID24 Rechtsanwaltskanzlei
in Erfurt, Jena, Wiesbaden und Frankfurt am Main