Zum Inhalt springen

Muster

Anmer­kun­gen zu unse­rer Check­lis­te TOM Auf­trags­ver­ar­bei­tung nach Art. 28 und 32 DSGVO

Wir freu­en uns immer wie­der, dass unse­re kos­ten­freie “Check­lis­te TOM Auf­trags­ver­ar­bei­tung nach Art. 28 + 32 DSGVO — tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men” so tol­len Anklang fin­det. Und wir freu­en uns auch über das regel­mä­ßi­ge Feed­back dazu per Email oder in den Kom­men­ta­ren auf unse­rer Web­sei­te. Wenn Fra­gen und Anmer­kun­gen dazu per Email bei uns auf­schla­gen, sind die­se samt unse­rer Erwi­de­run­gen dazu nicht auf der Web­sei­te für ande­re Nut­zer der Check­lis­te sicht­bar. Daher grei­fen wir hier ein­fach mal ein paar Punk­te auf:

“Die Check­lis­te umfasst gar nicht alle unse­re inter­nen tech­ni­schen und orga­ni­sa­to­ri­schen Schutzmaßnahmen.”

Nun, dafür sind die Frei­fel­der da, in die man wei­te­re vor­han­de­ne Schutz­maß­nah­men ein­tra­gen kann. Auch das am Ende eines jeden Abschnitts befind­li­che Frei­text­feld kann für wei­te­re Auf­zäh­lun­gen oder Beschrei­bun­gen ver­wen­det werden.

“Die Check­lis­te TOM Auf­trags­ver­ar­bei­tung ent­hält eini­ge Maß­nah­men, die es bei uns gar nicht gibt.”

Das ist ja nicht schlimm. Im Zwei­fel las­sen Sie die­se ein­fach leer. Oder noch bes­ser: Da die­se Maß­nah­men sich ja in der Brei­te und ganz unab­hän­gig von den unter­schied­li­chen Orga­ni­sa­ti­ons­for­men bewährt haben, könn­ten Sie ja auch über­le­gen, ob die­se nicht bei Ihnen umge­setzt bzw. ein­ge­führt wer­den soll­ten. Nur so als Idee …

“Wäre es nicht hilf­reich, wenn die genann­ten Schutz­maß­nah­men gleich die kon­kre­ten Bau­stei­ne und Anfor­de­run­gen aus dem IT-Grund­schutz bzw. con­trols und objec­ti­ves aus der ISO 27001 referenzieren?”

Ja. 🙂 Da die Stan­dards jedoch kon­ti­nu­ier­li­chen Anpas­sun­gen unter­lie­gen, müss­te die Check­lis­te regel­mä­ßig auf mög­li­che Ände­run­gen in den ISMS-Stan­dards aktua­li­siert wer­den. Die Idee neh­men wir ger­ne auf, kön­nen aber eine Umset­zung in der Zukunft nicht versprechen.

“Der für uns (eine Behör­de) zustän­di­ge Lan­des­da­ten­schutz­be­auf­trag­te ver­neint die Ver­pflich­tung auf die Ver­trau­lich­keit, da es ja das Dienst­ge­heim­nis gibt! Wie­so steht das dann in der Checkliste?”

A) Weil es dazu auch ande­re Sicht­wei­sen gibt und b) die Check­lis­te sich nicht auf den Ein­satz in Behör­den beschränkt (Grü­ße vom Tellerrand 😉 )

Und selbst wenn man sich die­ser Sicht­wei­se der Auf­sichts­be­hör­de anschließt, könn­te man die schrift­li­che Ver­pflich­tung am Ende eines doku­men­tier­ten und gere­gel­ten Ein­ar­bei­tungs­pro­zess als Beleg für die kor­rek­te Durch­füh­rung des Pro­zes­ses nut­zen. Ein­ar­bei­tungs­pro­zess bedeu­tet übri­gens nicht, dem Mit­ar­bei­ter hun­der­te Sei­ten Richt­li­ni­en und Anwei­sun­gen (alter­na­tiv einen pau­scha­len Ver­weis auf alle vor­han­de­nen Richt­li­ni­en im Intra­net) auf den Tisch zu legen und sich die Kennt­nis­nah­me und Ein­hal­tung im sel­ben Moment bestä­ti­gen zu las­sen 🙂 Dazu sei ange­merkt, dass die Auf­sichts­be­hör­den auch erst mal nur eine Mei­nung ver­tre­ten, die weder Pflicht noch Gesetz ist. Man kann und darf auch ande­rer Mei­nung sein, zumin­dest wenn es gute Grün­de dafür gibt. Und die gibt es durch­aus gar nicht so selten 😉

“Wird die Check­lis­te TOM Auf­trags­ver­ar­bei­tung weiterentwickelt?”

Ja, klar. Wir haben dafür aller­dings kein fes­tes Update-Inter­vall vor­ge­se­hen. Aber allei­ne die aktu­el­le Ver­si­ons­num­mer 3.1 zeigt ja auf, dass die Lis­te “lebt”.

“Kann man die Check­lis­te kaufen?”

Nö. Aber sie steht ja zur Nut­zung im defi­nier­ten Umfang zur Ver­fü­gung. Wenn Sie die­se “bran­den” wol­len, kön­nen Sie uns ger­ne ansprechen.

 

Check­lis­te Daten­schutz im Home-Office

Check­lis­te Daten­schutz im Home-Office

Ob Coro­na nun vor­über ist oder nicht, dar­über sol­len sich ande­re strei­ten. Was jedoch in vie­len Orga­ni­sa­tio­nen nicht vor­über ist, ist das The­ma Home-Office. Zu Beginn der Pan­de­mie von dem einen oder ande­ren Arbeit­ge­ber mög­li­cher­wei­se nur als Work­around gedacht, ist das Home-Office gekom­men, um zu blei­ben. Da vie­le Orga­ni­sa­tio­nen auf das The­ma über­haupt nicht vor­be­rei­tet waren (Stich­wort Not­fall­ma­nage­ment Unter­punk­te Pan­de­mie und Per­so­nal­aus­fall 🙂 ),  muss­te es 2020 schnell gehen. Inte­rims­lö­sun­gen bzw. Not­nä­gel wur­den geschaf­fen, Haupt­sa­che erst mal arbeits­fä­hig sein. Daten­schutz und Infor­ma­ti­ons­si­cher­heit stan­den dabei nicht immer so im Fokus, wie es den tech­ni­schen und orga­ni­sa­to­ri­schen Risi­ken durch Home-Office ange­mes­sen gewe­sen wäre. Umso wich­ti­ger ist es nun, sich in der aktu­el­len Ver­schnauf­pau­se dem The­ma aus Sicht des Daten­schut­zes und der Infor­ma­ti­ons­si­cher­heit sys­te­ma­tisch zu nähern. Dabei gilt es, mög­li­cher­wei­se schon vor­han­de­ne Schutz­maß­nah­men und Aspek­te zur Risi­ko­ver­mei­dung auf Wirk­sam­keit zu prü­fen, aber auch noch bestehen­de orga­ni­sa­to­ri­sche und tech­ni­sche Schwach­stel­len zu iden­ti­fi­zie­ren und zu besei­ti­gen. Wir haben unse­ren Kun­den im Zuge der gera­de durch­star­ten­den Pan­de­mie im Früh­jahr 2020 eine Check­lis­te Daten­schutz im Home-Office erstellt und zur Ver­fü­gung gestellt. Damit konn­te zumin­dest schon mal grob geprüft wer­den, ob die wich­tigs­ten Aspek­te in all dem Drun­ter und Drü­ber berück­sich­tigt wur­den. Und wer uns kennt, der weiß, wir haben dabei nicht nur um das gol­de­ne Kalb Daten­schutz getanzt, son­dern das The­ma gesamt­or­ga­ni­sa­to­risch beleuch­tet. Von daher sind in der Check­lis­te Daten­schutz im Home-Office auch grund­le­gen­de Anfor­de­run­gen der Infor­ma­ti­ons­si­cher­heit ent­hal­ten, die sin­ni­ger­wei­se kei­ne Unter­schei­dung zwi­schen Per­so­nen­be­zug oder nicht machen, son­dern gene­rell das Schutz­ni­veau für Infor­ma­tio­nen aller Art ver­bes­sern. Klar durf­te dann auch das The­ma Schu­lung und Sen­si­bi­li­sie­rung von Mit­ar­bei­tern nicht feh­len. Auch wenn es die eine oder ande­re Orga­ni­sa­ti­ons­lei­tung oder Füh­rungs­kraft nervt 😉

Sys­te­ma­tik der Check­lis­te Daten­schutz im Home-Office

Zu Beginn gab es nur eine Check­lis­te für alle uns in den Sinn gekom­me­nen Prüf­punk­te und Anfor­de­run­gen aus Sicht des Daten­schut­zes und der Infor­ma­ti­ons­si­cher­heit. Prüf­punk­te waren bzw. sind:

  • Hard­ware-Ein­satz (Gestel­lung oder BYOD)
  • Anfor­de­run­gen an den Arbeits­platz zuhause
  • Umgang mit Papierdokumenten
  • Ein­satz von Videokonferenzsystemen
  • Gene­rel­le Anfor­de­run­gen tech­ni­sche Sicherheit
  • Nut­zung von Cloud-Diens­ten z.B. Datei­ab­la­ge oder Kollaborationstools
  • Nut­zung von Messengern
  • All­ge­mei­ne orga­ni­sa­to­ri­sche Anfor­de­run­gen (Rege­lun­gen, Richt­li­ni­en, Schu­lung, Ein­wei­sung etc.)

Dar­in waren sowohl Anfor­de­run­gen für Daten­schutz im Home-Office auf Arbeit­ge­ber­sei­te, aber auch aus Sicht des Arbeit­neh­mers im eige­nen Zuhau­se ent­hal­ten.  Schnell haben wir erkannt, dass dies nicht prak­ti­ka­bel ist und aus einer Check­lis­te Daten­schutz im Home-Office zwei sepa­ra­te Lis­ten gebas­telt. Es gibt daher nun die Check­lis­te Daten­schutz im Home-Office aus Sicht

  • des Arbeit­ge­bers und
  • des Arbeit­neh­mers.

Check­lis­te Home-Office für Arbeitgeber

Die­se etwas umfang­rei­che­re Check­lis­te für den Arbeit­ge­ber befasst sich inten­siv mit den Anfor­de­run­gen an und Vor­aus­set­zun­gen für tech­ni­sche und orga­ni­sa­to­ri­sche Sicher­heit, die der Arbeit­ge­ber sicher­stel­len bzw. erst mal schaf­fen muss, damit im Home-Office daten­schutz­kon­form und aus Sicht der Infor­ma­ti­ons­si­cher­heit “sicher” gear­bei­tet wer­den kann. Dar­in sind u.a. auch Punk­te wie die Auf­trags­ver­ar­bei­tung nach Art. 28 DSGVO für exter­ne Cloud-Ser­vices und auch admi­nis­tra­ti­ve Vor­ein­stel­lun­gen auf Sei­ten der genutz­ten Tech­ni­ken ent­hal­ten, die für den Arbeit­neh­mer bei sei­ner Tätig­keit im Home-Office jetzt eher weni­ger span­nend bzw. von Inter­es­se sind.

Mit­tels der Check­lis­te Daten­schutz im Home-Office kann schnell und ein­fach durch den Arbeit­ge­ber geprüft wer­den, ob

  • die wich­tigs­ten (tech­ni­schen) Vor­aus­set­zun­gen für siche­res Arbei­ten im Home-Office geschaf­fen sind,
  • die recht­li­chen Anfor­de­run­gen aus Sicht der DSGVO (wie Auf­trags­ver­ar­bei­tung) berück­sich­tigt sind,
  • alles ordent­lich gere­gelt, doku­men­tiert und für alle Betei­lig­ten leicht ver­ständ­lich beschrie­ben ist sowie
  • die Mit­ar­bei­ter aus­rei­chend ein­ge­wie­sen und sen­si­bi­li­siert sind.

Wo ein Haken in der Check­lis­te fehlt, besteht im Zwei­fel noch Hand­lungs­be­darf. Auch jetzt noch, 2 Jah­re später 😉

Check­li­s­te­Home-Office für Arbeitnehmer

Die­se deut­lich kür­ze­re Check­lis­te befasst sich mit den Aspek­ten, die im Home-Office auf Sei­ten des Arbeit­neh­mers erfüllt sein soll­ten. Mit­tels der Prüf­punk­te kann der Mit­ar­bei­ter che­cken, ob er “rea­dy to go” ist im Home-Office und auch auf sei­ner Sei­te die Vor­aus­set­zun­gen für einen siche­ren und daten­schutz­kon­for­men Ein­satz im Home-Office gewähr­leis­tet sind. Mög­li­cher­wei­se erge­ben die Prüf­punk­te jedoch auch, dass noch es noch an gewis­sen Unter­stüt­zungs­maß­nah­men sei­tens des Arbeit­ge­bers fehlt. Die­se kön­nen anhand der Check­lis­te iden­ti­fi­ziert, pro­to­kol­liert und an den Arbeit­ge­ber mit der Bit­te um Erle­di­gung gesen­det wer­den. Gleich­zei­tig dient die Check­lis­te für Arbeit­neh­mer als klei­ne Gedan­ken­stüt­ze für die not­wen­di­gen Sicher­heits­maß­nah­men im Home-Office, die der Arbeit­neh­mer nicht nur ein­ma­lig, son­dern über die gan­ze Zeit im Home-Office sicher­stel­len sollte.

Wei­te­rer Bene­fit der Checklisten

Neben der Selbst­über­prü­fung, ob an alles Wich­ti­ge und Not­wen­di­ge für einen siche­ren und daten­schutz­kon­for­men Ein­satz im Home-Office gedacht wur­de, ist die Zwei­tei­lung auch noch für etwas ande­res gut. Cle­ve­re Kun­den von uns haben die Check­lis­te Daten­schutz im Home-Office für Arbeit­neh­mer von Ihren Mit­ar­bei­tern früh­zei­tig aus­fül­len las­sen, um fest­zu­stel­len, was gene­rell vom Arbeit­ge­ber geschaf­fen /​ gestellt wer­den muss, damit Home-Office über­haupt erst sicher mög­lich ist. Im zwei­ten Schritt haben sie sich nach dem Roll­out der Home-Offices über die Check­lis­te für Arbeit­neh­mer durch den Mit­ar­bei­ter noch mal pro­to­kol­lie­ren las­sen, dass jetzt soweit alles zuhau­se im Home Office “passt”. Das Gan­ze natür­lich erst mal nach ent­spre­chen­der Ein­wei­sung und Schu­lung. Ver­steht sich von selbst 🙂

Vor­teil: Als Arbeit­ge­ber bzw. ver­ant­wort­li­che Stel­le kann man damit gleich sehr schön bele­gen, sei­nen Sorg­falts­pflich­ten auch außer­halb der eige­nen Räum­lich­kei­ten Genü­ge getan zu haben.

Down­load der Check­lis­te Daten­schutz im Home-Office

Wer uns etwas näher kennt, weiß von unse­rer Aus­bil­dungs­tä­tig­keit an der Baye­ri­schen Ver­wal­tungs­schu­le für Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te. Im Nach­gang sind alle Teil­neh­mer herz­lich ein­ge­la­den am kos­ten­frei­en ISB Pra­xis-Forum als Aus­tausch­platt­form im All­tag von Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten teil­zu­neh­men. Da kam die Fra­ge auf, ob es nicht für das The­ma Home-Office geeig­ne­te Prüf­lis­ten gäbe oder ob man die­se gemein­sam ent­wi­ckeln wol­le. Was liegt also näher, als die schon vor­han­de­nen Check­lis­ten aus unse­rem Fun­dus in leicht über­ar­bei­te­ter Ver­si­on für alle zur Ver­fü­gung zu stel­len, bevor sich jeder ein­zeln die Mühe macht. Zeit ist zu wertvoll.

Unse­re Bit­te: Die bei­den Check­lis­ten erhe­ben kei­nen Anspruch auf Voll­stän­dig­keit oder Kor­rekt­heit. Wer also Anre­gun­gen und Ergän­zun­gen zur Wei­ter­ent­wick­lung oder Kor­rek­tur hat, immer her damit. Und es gilt “fair use”. Die­se Vor­la­ge kann daher ger­ne in der Pra­xis von Orga­ni­sa­tio­nen genutzt und ver­än­dert wer­den. Wir möch­ten jedoch nicht, dass sie ohne unse­re Zustim­mung auf ande­ren Inter­net­sei­ten als Mus­ter zum Down­load ange­bo­ten wird oder sich irgend­wann in einem Fach­buch wie­der­fin­det. Haf­tung: Die Check­lis­ten stel­len ledig­lich einen Vor­schlag dar. Es wird kei­ne Haf­tung für Schä­den durch die Ver­wen­dung übernommen.

Check­lis­te Daten­schutz im Home-Office für Arbeitgeber
Check­lis­te Daten­schutz im Home-Office für Arbeitnehmer

 

Infor­ma­ti­ons­pflich­ten für Ver­ei­ne nach Art. 13 DSGVO

Erfül­lung der Infor­ma­ti­ons­pflich­ten für Ver­ei­ne nach Art. 13 DSGVO

Seit Mai 2018 kämp­fen nicht nur Ver­ei­ne mit den durch die Daten­schutz-Grund­ver­ord­nung neu hin­zu­ge­kom­me­nen Anfor­de­run­gen. Aber gera­de bei Ver­ei­nen mit oft­mals vie­len bzw. aus­schließ­lich ehren­amt­lich täti­gen Mit­glie­dern macht sich hier nach­voll­zieh­bar schnell Unsi­cher­heit im Umgang mit dem Daten­schutz-Recht breit. Gera­de die Infor­ma­ti­ons­pflich­ten für Ver­ei­ne nach Art. 13 DSGVO gehö­ren hier als Ursa­che oft dazu. Die­sem Umstand trägt der Lan­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg (kurz LfDI BW) schon aus Zei­ten vor der DSGVO Rechnung.

Seit Febru­ar 2021 steht nun für Ver­ei­ne ein Gene­ra­tor für “Daten­schutz­in­for­ma­tio­nen” auf der Web­sei­te des LfDI BW online. Eine begrü­ßens­wer­te Hil­fe­stel­lung, wenn es um die Erfül­lung der Infor­ma­ti­ons­pflich­ten für Ver­ei­ne geht.

Nach­dem eini­ge Grund­an­ga­ben in dem Online-For­mu­lar getä­tigt wur­den, erhält der Nut­zer einen Mus­ter­text zum Kopie­ren und Ein­bin­den in die Vereinswebseite.

Infor­ma­ti­ons­pflich­ten nicht ohne Ergän­zun­gen bzw. Anpas­sun­gen über­neh­men bzw. einsetzen

So löb­lich die­ser Gene­ra­tor ist, so gefähr­lich ist er auch. Daher warnt der LfDI BW selbst:

Bei DS-GVO.clever han­delt es sich um eine Hil­fe­stel­lung des LfDI Baden-Würt­tem­berg bei der Erstel­lung von Daten­schutz­in­for­ma­tio­nen für Ver­ei­ne. Es wer­den nicht alle mög­li­chen Daten­ver­ar­bei­tun­gen voll­stän­dig wie­der­ge­ge­ben. Prü­fen Sie daher bit­te vor der Ver­öf­fent­li­chung, an wel­chen Stel­len Sie die Daten­schutz­in­for­ma­tio­nen noch ergän­zen müssen.

Der erzeug­te Mus­ter­text stellt jedoch einen guten Ein­stieg für die spätere/​n Daten­schutz­er­klä­rung /​ Daten­schutz­hin­wei­se der Ver­eins­web­sei­te bzw. zur Erfül­lung der Infor­ma­ti­ons­pflich­ten für Ver­ei­ne nach Art. 13 DSGVO dar.

Vor Ver­öf­fent­li­chung soll­te man den Rat des LfDI BW jedoch wirk­lich beher­zi­gen und den Text prü­fen und ergän­zen. So sind z.B. Log­in-Berei­che für Mit­glie­der nicht in der Mus­ter­be­schrei­bung ent­hal­ten, jedoch durch­aus kei­ne Sel­ten­heit auf Vereinswebseiten.

Wei­te­re Hil­fe­stel­lun­gen für Ver­ei­ne durch den LfDI BW

Bereits in der 2. Auf­la­ge ist der Pra­xis­rat­ge­ber “Daten­schutz im Ver­ein nach der DS-GVO” (Grü­ße an das Team Bin­de­strich) erschie­nen. Auf 29 Sei­ten sind die grund­le­gen­den Anfor­de­run­gen an Ver­ei­ne aus der DSGVO nach­voll­zieh­bar und auch für Nicht-Daten­schutz­be­auf­trag­te ver­ständ­lich dar­ge­stellt, abge­run­det mit prag­ma­ti­schen Tipps zur Umset­zung. Im Rat­ge­ber fin­den sich dazu auch wei­te­re Aus­füh­run­gen zu den Infor­ma­ti­ons­pflich­ten für Ver­ei­ne nach Art. 13 DSGVO.

Für einen ers­ten Über­blick lohnt aber auch ein Blick in die FAQ für Ver­ei­ne. In die­ser sind eini­ge Kern­fra­gen zusam­men­ge­stellt und beant­wor­tet, die häu­fi­ger an den LfDI BW sei­tens von Ver­ei­nen her­an­ge­tra­gen wurden.

Wenn alle Stri­cke reißen

Es ist voll­kom­men nor­mal, wenn Ver­eins­ver­ant­wort­li­che trotz die­ser Hil­fe­stel­lun­gen unsi­cher sind in Bezug auf Anfor­de­run­gen und Umset­zung. In die­sem Fall: Spre­chen Sie mit dem Daten­schutz-Bera­ter Ihres Vertrauens.

Infor­ma­ti­ons­pflich­ten bei Erhe­bung per­so­nen­be­zo­ge­ner Daten im Zuge der Coro­na-Pan­de­mie – ein kos­ten­lo­ses Muster

Seit Mon­tag, den 11. Mai 2020 (in Bay­ern ab 18.05.) dür­fen Gas­tro­no­mie­be­trie­be und zahl­rei­che ande­re Ein­rich­tun­gen des all­täg­li­chen Lebens wie­der öff­nen. Die Auf­la­gen zu Abstand und maxi­ma­le Gäs­te- /​ Käu­fer-Zahl auf der Ver­kaufs­flä­che sind durch­aus eine Her­aus­for­de­rung für die Betrei­ber der Ein­rich­tun­gen. Bei all den Anfor­de­run­gen wird der Daten­schutz schnell ver­ges­sen. Wir hel­fen mit unse­rem kos­ten­lo­sen Mus­ter Infor­ma­ti­ons­pflich­ten für Besu­cher von Gas­tro­no­mie und ande­ren Ein­rich­tun­gen im Zuge der Coro­na-Pan­de­mie, ent­wi­ckelt gemein­sam mit RA Ste­phan Hansen-Oest.

Wel­che per­so­nen­be­zo­ge­nen Daten von Besu­chern sind zu notieren?

Einig sind sich die Län­der­ver­ord­nun­gen in dem Punkt, dass Name und Ruf­num­mer der Besu­cher zu notie­ren und auf Ver­lan­gen der Gesund­heits­be­hör­de im Ver­dachts­fall einer Infek­ti­on her­aus­zu­ge­ben sind. Teil­wei­se sind die dazu­ge­hö­ri­gen Ver­ord­nun­gen bzw. Anfor­de­run­gen noch etwas schwam­mig bzw. zu unkon­kret. Das wird in den nächs­ten Tagen sicher nach­jus­tiert. So steht z.B. noch die Fra­ge im Raum, ob die jewei­li­ge Ein­rich­tung die notier­ten Anga­ben z.B. anhand eines Aus­weis­do­ku­ments veri­fi­zie­ren muss. Auch bei den Lösch­fris­ten fin­den sich nicht über­all kon­kre­te Anga­ben. Das Bun­des­land NRW sieht bei­spiels­wei­se die Ver­nich­tung der per­so­nen­be­zo­ge­nen Daten nach 1 Monat vor.

Übri­gens: Da nir­gend­wo von einer Unter­schrift durch die Besu­cher die Rede ist, wäre es auch eine Mög­lich­keit, die Daten auf elek­tro­ni­schem Wege zu erhe­ben. So könn­ten Sie auch Reser­vie­rungs­sys­te­me nut­zen, sofern die Anga­ben dar­in zusätz­lich /​ ergän­zend erfasst wer­den können.

Um der Papier­flut bzw. Zet­tel­wirt­schaft Herr zu wer­den, wäre auch die abend­li­che Digi­ta­li­sie­rung sprich das Ein­scan­nen der erfass­ten Daten in einen dazu­ge­hö­ri­gen Datums-Ord­ner viel­leicht ganz hilf­reich. Wür­de neben­bei die Über­ga­be an die zustän­di­ge Gesund­heits­be­hör­de im Rah­men einer Anfor­de­run­gen der Daten erleich­tern und es rei­hen sich bei Ihnen nicht Ord­ner an Ord­ner mit den erho­be­nen Daten. Die Kür wäre natür­lich ein Scan mit OCR, was aber eine mög­lichst “unver­schlüs­sel­te” Hand­schrift der Ein­tra­gen voraussetzt 🙂

Infor­ma­ti­ons­pflich­ten nach Art. 13 DSGVO an die Besu­cher nicht vergessen

Egal, in wel­chem Umfang oder auf wel­che Art (ana­log per For­mu­lar /​ Besu­cher­lis­te oder digi­tal z.B. in Form von Excel-Tabel­len) Sie die Daten Ihrer Besu­cher erhe­ben, es sind die Anga­ben zu den Infor­ma­ti­ons­pflich­ten nach Art. 13 DSGVO zu erfül­len. Dies kann bei­spieslwei­se mit­tels Aus­hang vor Ort und einem münd­li­chen Hin­weis an Ihre Besu­cher gesche­hen. Hier zählt Prag­ma­tis­mus in Anbe­tracht der ange­spann­ten Situa­ti­on. Ein pas­sen­des kos­ten­lo­ses Mus­ter hier­zu haben wir gemein­sam mit dem in der Bran­che wohl­be­kann­ten Rechts­an­walt Ste­phan Han­sen-Oest (https://​www​.daten​schutz​-guru​.de) ent­wi­ckelt. Nach dem Down­load soll­ten sie die­ses bit­te auf Ihre Ein­rich­tung anpas­sen und bei Bedarf ergän­zen oder über­flüs­si­ge Anga­ben streichen.

Den­ken Sie bit­te an das Ver­zeich­nis für Verarbeitungstätigkeiten

Die­se Erhe­bung von per­so­nen­be­zo­ge­nen Daten im Rah­men der Coro­na-Pan­de­mie soll­te sich eben­falls in Ihrem Ver­zeich­nis für Ver­ar­bei­tungs­tä­tig­kei­ten wie­der­fin­den. Sie haben noch keins? Tipps und Tricks dazu ent­we­der bei RA Han­sen-Oest oder bei uns hier im Blog.

Kos­ten­lo­ses Mus­ter Infor­ma­ti­ons­pflich­ten bei Erhe­bung per­so­nen­be­zo­ge­ner Daten im Zuge der Corona-Pandemie

Wir, also Ste­phan Han­sen-Oest und a.s.k. Daten­schutz, stel­len Ihnen die­ses unver­bind­li­che Mus­ter kos­ten­frei zur Ver­fü­gung. Bit­te beach­ten Sie dabei:

  • Pas­sen Sie bit­te die Bezü­ge zu den aktu­ell gel­ten­den Lan­des­ver­ord­nun­gen bzw. Rechts­an­wen­dun­gen an
  • Fair Use: Die­se Vor­la­ge kann ger­ne in der Pra­xis von Orga­ni­sa­tio­nen genutzt und ver­än­dert wer­den. Wir (RA Han­sen-Oest und a.s.k. Daten­schutz Sascha Kuhr­au) möch­ten jedoch nicht, dass sie ohne unse­re Zustim­mung auf ande­ren Inter­net­sei­ten als Ver­trags­mus­ter zum Down­load ange­bo­ten wird oder sich irgend­wann in einem Ver­trags­mus­ter­buch wiederfindet.
  • Haf­tung: Die­se Vor­la­ge stellt ledig­lich einen Vor­schlag dar. Es wird kei­ne Haf­tung für Schä­den durch die Ver­wen­dung übernommen

Anre­gun­gen und Ergän­zun­gen für die Vor­la­gen? Dann immer her damit.

All­ge­mei­nes Mus­ter zu den Infor­ma­ti­ons­pflich­ten für Besu­cher im Rah­men der Corona-Pandemie

Kos­ten­lo­ses Mus­ter Mit­tei­lungs­pflich­ti­ge Infor­ma­tio­nen Coro­na Besucher
19608 Downloads

Auf Frei­staat Bay­ern ange­pass­tes Mus­ter zu den Infor­ma­ti­ons­pflich­ten für Besu­cher im Rah­men der Corona-Pandemie

Kos­ten­lo­ses Mus­ter Mit­tei­lungs­pflich­ti­ge Infor­ma­tio­nen Coro­na Besu­cher in Bayern
12426 Downloads

Auf Hes­sen ange­pass­tes Mus­ter zu den Infor­ma­ti­ons­pflich­ten für Besu­cher im Rah­men der Corona-Pandemie

Kos­ten­lo­ses Mus­ter Mit­tei­lungs­pflich­ti­ge Infor­ma­tio­nen Coro­na Besu­cher Hessen
9610 Downloads

Auf Schles­wig-Hol­stein ange­pass­tes Mus­ter zu den Infor­ma­ti­ons­pflich­ten für Besu­cher im Rah­men der Corona-Pandemie

Kos­ten­lo­ses Mus­ter Mit­tei­lungs­pflich­ti­ge Infor­ma­tio­nen Coro­na Besu­cher Schles­wig Holstein
1340 Downloads

Fra­gen Sie Ihren (exter­nen) Datenschutzbeauftragten

Bevor im Umgang mit oder der Anpas­sung von die­sen Vor­la­gen für Ihre Orga­ni­sa­ti­on etwas schief geht und Ihnen mög­li­cher­wei­se Unge­mach durch die Daten­schutz­auf­sicht droht, bin­den Sie bit­te Ihren Daten­schutz­be­auf­trag­ten früh­zei­tig in das The­ma Infor­ma­ti­ons­pflich­ten mit ein. Sie haben kei­nen Daten­schutz­be­auf­trag­ten? Mög­li­cher­wei­se unter­lie­gen Sie der gesetz­li­chen Pflicht zur Benen­nung, aber auch ohne deren Vor­lie­gen ist ein Daten­schutz­be­auf­trag­ter der Pro­fi für Ihre Fra­gen rund um das The­ma Daten­schutz. Ger­ne unter­brei­ten wir Ihnen ein Ange­bot für einen exter­nen Datenschutzbeauftragten.

Ver­si­ons­his­to­rie

Update 12.05.2020: Nut­zer­hin­weis auf Benen­nung statt Bestel­lung eines DSB auf­ge­grif­fen und Wort­wahl ent­spre­chend angepasst

Update 13.05.2020: Mus­ter­vor­la­ge zur Daten­er­fas­sung Gas­tro­no­mie als Anhang ergänzt

Update 14.05.2020: Ver­si­on mit ers­ten Anpas­sun­gen auf Frei­staat Bay­ern veröffentlicht

Update 16.05.2020: Ver­si­on mit Anpas­sun­gen auf kon­kre­te Ver­ord­nung in Hes­sen veröffentlicht

Update 18.05.2020: Ver­si­on Schles­wig-Hol­stein veröffentlicht

 

 

Check­lis­te Prü­fung Tech­ni­sche und Orga­ni­sa­to­ri­sche Maß­nah­men (TOM) aktualisiert

Ein­satz­zweck der Check­lis­te zur Prü­fung Tech­ni­sche und Orga­ni­sa­to­ri­sche Maßnahmen

Wir haben die erst­mals im Juni 2019 hier ver­öf­fent­lich­te Check­lis­te zur Prü­fung von tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (kurz TOM) über­ar­bei­tet. Mit­tels die­ser Check­lis­te kön­nen Sie

  1. Ihre eige­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men prü­fen und grob doku­men­tie­ren (kein Ersatz für eine Detaildokumentation),
  2. das Schutz­ni­veau Ihrer Dienst­leis­ter im Rah­men von Art. 28 DSGVO Auf­trags­ver­ar­bei­tung und deren tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men im Sin­ne des Art. 32 DSGVO grob prüfen,
  3. die Prü­fung des Schutz­ni­veaus bei Ihren Dienst­leis­tern doku­men­tie­ren oder
  4. sich ein­fach einen ers­ten Über­blick über die eige­nen inter­nen Schutz­maß­nah­men ver­schaf­fen (Was fehlt? Was ist schon vorhanden?).

Wie­so Prü­fung der tech­ni­schen und orga­ni­sa­to­ri­schen Maßnahmen?

Art. 28 Abs. 1 DSGVO besagt:

“Erfolgt eine Ver­ar­bei­tung im Auf­trag eines Ver­ant­wort­li­chen, so arbei­tet die­ser nur mit Auf­trags­ver­ar­bei­tern, die hin­rei­chend Garan­tien dafür bie­ten, dass geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men so durch­ge­führt wer­den, dass die Ver­ar­bei­tung im Ein­klang mit den Anfor­de­run­gen die­ser Ver­ord­nung erfolgt und den Schutz der Rech­te der betrof­fe­nen Per­son gewährleistet.”

https://​dsgvo​-gesetz​.de/​a​r​t​-​2​8​-​d​s​g​vo/

Mit­tels die­ser Check­lis­te kön­nen Sie sich schon mal grob einen ers­ten Über­blick ver­schaf­fen. Je nach Detail­grad beim Aus­fül­len der Prüf­punk­te kann das Doku­ment jedoch auch als Ersatz für eine zusätz­li­che und aus­führ­li­che­re Doku­men­ta­ti­on her­an­ge­zo­gen wer­den. Dafür haben wir bewußt zahl­rei­che Frei- und Kom­men­tar­fel­der vor­ge­se­hen, um hier auch ins Detail gehen zu können.

Wel­che The­men behan­delt die Checkliste?

Wir haben uns beim Auf­bau sowohl an den Anfor­de­run­gen der DSGVO ori­en­tiert als auch bewähr­tes aus den frü­he­ren Anfor­de­run­gen bzw. Über­schrif­ten des Bun­des­da­ten­schutz­ge­set­zes ori­en­tiert. Der Auf­bau ist wie folgt:

  • Ver­trau­lich­keit
    • Zutritts­kon­trol­le
    • Zugangs­kon­trol­le
    • Zugriffs­kon­trol­le
    • Tren­nungs­kon­trol­le
    • Pseud­ony­mi­sie­rung (lit a)
  • Inte­gri­tät
    • Wei­ter­ga­be­kon­trol­le
    • Ein­ga­be­kon­trol­le
  • Ver­füg­bar­keit und Belastbarkeit 
    • Ver­füg­bar­keits­kon­trol­le
  • Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Evaluierung 
    • Daten­schutz-Manage­ment
    • Inci­dent Respon­se Management
    • Daten­schutz­freund­li­che Voreinstellungen
    • Auf­trags­kon­trol­le

Was hat sich gegen­über der vor­he­ri­gen Ver­si­on der Check­lis­te geändert?

  • Hin­zu­nah­me von Anla­gen, die bei­gefügt wer­den kön­nen wie 
    • Ver­zeich­nis zu den Kate­go­rien von im Auf­trag durch­ge­führ­ten Ver­ar­bei­tungs­tä­tig­kei­ten (Art. 30 Abs. 2 DSGVO)
    • Lis­te der ein­ge­setz­ten Sub­un­ter­neh­mer mit Tätig­kei­ten für Sie als Auftraggeber
    • Richt­li­nie Datenschutz
    • Richt­li­nie Umgang mit Datenpannen
    • Über­sicht der Sen­si­bi­li­sie­rungs- und Schu­lungs­maß­nah­men der letz­ten 24 Monate
  • Kon­kre­ti­sie­rung bei vor­han­de­nen ISMS
  • Erhö­hung des Detail­grads bei der einen oder ande­ren Auswahl
  • For­ma­tie­run­gen

Ist die Check­lis­te kostenfrei?

Wie die frü­he­ren Ver­sio­nen die­ser Check­lis­te stel­len wir auch die aktu­el­le Check­lis­te wie­der kos­ten­frei zur Ver­fü­gung. Wir appel­lie­ren jedoch an die Fair­ness der Nut­zer und Down­loa­der: Wir möch­ten nicht, dass die­se Check­lis­te ohne unse­re Zustim­mung auf ande­ren Inter­net­sei­ten als Mus­ter zum Down­load ange­bo­ten wird oder sich irgend­wann in einem käuf­lich zu erwer­ben­den Vor­la­gen­buch (ana­log oder digi­tal) wie­der­fin­det. Es wird kei­ne Haf­tung für Schä­den durch die Ver­wen­dung der Check­lis­te übernommen.

Anre­gun­gen und Vor­schlä­ge für die Wei­ter­ent­wi­ckung der Check­lis­te ger­ne an info@​ask-​datenschutz.​de

Vor­la­ge TOM Check­lis­te Tech­ni­sche und Orga­ni­sa­to­ri­sche Maß­nah­men DSGVO
Ver­si­on: 3.3
7997 Downloads

Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten (VVT) sinn­voll und prak­tisch erstel­len und einsetzen

Das Ver­zeich­nis von Verarbeitungstätigkeiten

Wer sich mit dem The­ma Daten­schutz beschäf­tigt, stößt ziem­lich schnell auf Art. 30 DSGVO “Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten” (exter­ner Link). In Abs. 1 heißt es:

“Jeder Ver­ant­wort­li­che und gege­be­nen­falls sein Ver­tre­ter füh­ren ein Ver­zeich­nis aller Ver­ar­bei­tungs­tä­tig­kei­ten, die ihrer Zustän­dig­keit unterliegen.”

Die­se For­mu­lie­rung lässt wenig Spiel­raum dafür, ob die eige­ne Orga­ni­sa­ti­on von die­ser Ver­pflich­tung betrof­fen ist oder nicht. Ger­ne schielt der eine oder ande­re auf Art. 30 Abs. 5 DSGVO, steht doch da etwas von Aus­nah­men ab 250 Mit­ar­bei­tern. Doch mit der Freu­de ist’s schnell vor­bei. Denn sowohl § 70 BDSG (exter­ner Link) als auch die diver­sen Lan­des­ge­set­ze set­zen die­se Aus­nah­me umge­hend wie­der aus. Wobei schon die wei­te­re For­mu­lie­rung des Art. 30 Abs. 5 DSGVO schnell klar macht, das Schlupf­loch ist gar keins.

“Alles kein Pro­blem, das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten erstellt schließ­lich der Datenschutzbeauftragte”

Lei­der knapp dane­ben, denn genau das zählt NICHT zu den Auf­ga­ben des oder der Daten­schutz­be­auf­trag­ten. Die Auf­ga­ben sind in Art. 39 DSGVO (exter­ner Link) recht kon­kret beschrie­ben und das Füh­ren der Ver­zeich­nis­ses der Ver­ar­bei­tungs­tä­tig­kei­ten ist nicht ent­hal­ten. Durch­aus sinn­voll ist jedoch, die Pfle­ge des Ver­zeich­nis­ses der Ver­ar­bei­tungs­tä­tig­kei­ten dem Daten­schutz­be­auf­trag­ten zu über­tra­gen. Als zen­tra­ler Ansprech­part­ner und als Kon­troll­in­stanz benö­tigt er die­se Über­sicht für die täg­li­che Arbeit. Das setzt jedoch vor­aus, dass die Ver­ant­wort­li­chen in den Fach­be­rei­chen den Daten­schutz­be­auf­trag­ten früh­zei­tig in neue Ver­ar­bei­tungs­tä­tig­kei­ten ein­bin­den, über Ände­run­gen an bestehen­den Ver­ar­bei­tun­gen infor­mie­ren oder auch mal Signal geben, wenn eine Ver­ar­bei­tungs­tä­tig­keit ent­fällt. Damit sind wir schnell im Pro­zess- und Ände­rungs­ma­nage­ment für Ihre Orga­ni­sa­ti­on. Doch das ist eine ande­re Aufgabe.

Für was ist das Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten denn über­haupt gut?

Gute Fra­ge 🙂 Art. 30 DSGVO lässt sich dazu nicht wei­ter aus. Auch die natio­na­len Daten­schutz­ge­set­ze brin­gen kein Licht ins Dun­kel. In Art. 30 steht zumin­dest noch der Hin­weis, dass die­ses Ver­zeich­nis der jewei­li­gen Auf­sichts­be­hör­de (und auch nur der) auf Ver­lan­gen vor­zu­le­gen ist. Las­sen Sie sich nicht beir­ren, soll­te mal jemand ande­res das Ver­zeich­nis sehen wol­len (Auf­trag­ge­ber bei­spiels­wei­se). Für die­se ist die­ses Ver­zeich­nis nicht gedacht und dort auch nicht vor­zu­le­gen. Wirk­lich nicht. Für den Fall gibt es das sog. Ver­zeich­nis von Ver­ar­bei­tun­gen für Auf­trags­ver­ar­bei­ter. Weni­ger umfang­reich und ziem­lich easy in Erstel­lung und Pflege.

Erwä­gungs­grund 82 DSGVO (exter­ner Link) hat etwas mehr Input zum Zweck des Ver­zeich­nis­ses von Verarbeitungstätigkeiten:

Zum Nach­weis der Ein­hal­tung die­ser Ver­ord­nung soll­te der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter ein Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten, die sei­ner Zustän­dig­keit unter­lie­gen, führen.

Sei­en wir mal ehr­lich: Wir erstel­len also so ein Ver­zeich­nis und dann haben wir den Nach­weis, die DSGVO ein­zu­hal­ten? Nicht wirk­lich. “Doch”, mag der eine oder ande­re jetzt ein­wer­fen, der schon mal Kon­takt zu ver­schie­de­nen Daten­schutz­auf­sich­ten hat­te. Zumin­dest stellt sich das gele­gent­lich schon mal in Stel­lung­nah­men und Aus­sa­gen der Auf­sichts­be­hör­den so dar. Ohne die­ses Ver­zeich­nis gibt es kei­nen Daten­schutz in der Orga­ni­sa­ti­on 😉 Doch kann For­ma­lis­mus Daten­schutz, viel­leicht noch im wei­te­ren Sin­ne einer “Sicher­heits­kul­tur” erzeu­gen? Indi­rekt sicher­lich, als Mit­tel zum Zweck. Aber ein rei­nes Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten im Sin­ne des Art. 30 DSGVO ist kein Daten­schutz und erzeugt kei­nen Daten­schutz. Das wird auch schnell klar, wenn man sich die sei­tens des Gesetz­ge­bers gefor­der­ten Inhal­te anschaut.

Wel­che Anga­ben sind in einem Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten aufzuführen?

Art. 30 Abs. 1 DSGVO führt dazu wei­ter aus:

Die­ses Ver­zeich­nis ent­hält sämt­li­che fol­gen­den Anga­ben:
a) den Namen und die Kon­takt­da­ten des Ver­ant­wort­li­chen und gege­be­nen­falls des gemein­sam mit ihm Ver­ant­wort­li­chen, des Ver­tre­ters des Ver­ant­wort­li­chen sowie eines etwa­igen Daten­schutz­be­auf­trag­ten;
b) die Zwe­cke der Ver­ar­bei­tung;
c) eine Beschrei­bung der Kate­go­rien betrof­fe­ner Per­so­nen und der Kate­go­rien per­so­nen­be­zo­ge­ner Daten;
d) die Kate­go­rien von Emp­fän­gern, gegen­über denen die per­so­nen­be­zo­ge­nen Daten offen­ge­legt wor­den sind oder noch offen­ge­legt wer­den, ein­schließ­lich Emp­fän­ger in Dritt­län­dern oder inter­na­tio­na­len Orga­ni­sa­tio­nen;
e) gege­be­nen­falls Über­mitt­lun­gen von per­so­nen­be­zo­ge­nen Daten an ein Dritt­land oder an eine inter­na­tio­na­le Orga­ni­sa­ti­on, ein­schließ­lich der Anga­be des betref­fen­den Dritt­lands oder der betref­fen­den inter­na­tio­na­len Orga­ni­sa­ti­on, sowie bei den in Arti­kel 49 Absatz 1 Unter­ab­satz 2 genann­ten Daten­über­mitt­lun­gen die Doku­men­tie­rung geeig­ne­ter Garan­tien;
f) wenn mög­lich, die vor­ge­se­he­nen Fris­ten für die Löschung der ver­schie­de­nen Daten­ka­te­go­rien;
g) wenn mög­lich, eine all­ge­mei­ne Beschrei­bung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men gemäß Arti­kel 32 Absatz 1.

Viel Con­tent, jedoch kein geleb­ter Daten­schutz. Für einen ers­ten Über­blick, wo und wie wel­che per­so­nen­be­zo­ge­nen Daten in einer Orga­ni­sa­ti­on ver­ar­bei­tet wer­den, recht hilf­reich. Doch dann ist die Luft schnell raus. Das mer­ken auch die ver­ant­wort­li­chen Fach­be­reichs­lei­ter, wenn man die­se mit den Stan­dard­mus­tern aus dem Fun­dus der ver­schie­de­nen Auf­sichts­be­hör­den kon­fron­tiert. Die­se Mus­ter fra­gen näm­lich genau die­se Punk­te ab. Nur die­se Punk­te. Und jetzt? Für was?

Also wie kann man aus dem Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten einen prak­ti­schen Nut­zen ziehen?

Ein guter DSB oder auch Daten­schutz­be­ra­ter wird Sie auf die Zusam­men­hän­ge inner­halb der DSGVO hin­wei­sen. Und hier fin­den sich wei­ter vor­ne in der DSGVO zwei Arti­kel, die direkt mit dem Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten ver­zahnt wer­den kön­nen und die sich wun­der­bar ergän­zen. Die Rede ist von Art. 13, 14 DSGVO Infor­ma­ti­ons­pflich­ten (exter­ner Link). Dar­in sind Anga­ben benö­tigt, die dem Betrof­fe­nen gegen­über dar­ge­stellt wer­den müs­sen. So z.B. in Art. 13 Absatz 1 DSGVO

a) den Namen und die Kon­takt­da­ten des Ver­ant­wort­li­chen sowie gege­be­nen­falls sei­nes Ver­tre­ters;
b) gege­be­nen­falls die Kon­takt­da­ten des Daten­schutz­be­auf­trag­ten;
c) die Zwe­cke, für die die per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet wer­den sol­len, sowie die Rechts­grund­la­ge für die Ver­ar­bei­tung;
d) wenn die Ver­ar­bei­tung auf Arti­kel 6 Absatz 1 Buch­sta­be f beruht, die berech­tig­ten Inter­es­sen, die von dem Ver­ant­wort­li­chen oder einem Drit­ten ver­folgt wer­den;
e) gege­be­nen­falls die Emp­fän­ger oder Kate­go­rien von Emp­fän­gern der per­so­nen­be­zo­ge­nen Daten und
f) gege­be­nen­falls die Absicht des Ver­ant­wort­li­chen, die per­so­nen­be­zo­ge­nen Daten an ein Dritt­land oder eine inter­na­tio­na­le Orga­ni­sa­ti­on zu über­mit­teln, sowie das Vor­han­den­sein oder das Feh­len eines Ange­mes­sen­heits­be­schlus­ses der Kom­mis­si­on oder im Fal­le von Über­mitt­lun­gen gemäß Arti­kel 46 oder Arti­kel 47 oder Arti­kel 49 Absatz 1 Unter­ab­satz 2 einen Ver­weis auf die geeig­ne­ten oder ange­mes­se­nen Garan­tien und die Mög­lich­keit, wie eine Kopie von ihnen zu erhal­ten ist, oder wo sie ver­füg­bar sind.

und ergän­zend in Art. 13 Abs. 2 DSGVO noch fol­gen­de Angaben:

a) die Dau­er, für die die per­so­nen­be­zo­ge­nen Daten gespei­chert wer­den oder, falls dies nicht mög­lich ist, die Kri­te­ri­en für die Fest­le­gung die­ser Dau­er;
b) das Bestehen eines Rechts auf Aus­kunft sei­tens des Ver­ant­wort­li­chen über die betref­fen­den per­so­nen­be­zo­ge­nen Daten sowie auf Berich­ti­gung oder Löschung oder auf Ein­schrän­kung der Ver­ar­bei­tung oder eines Wider­spruchs­rechts gegen die Ver­ar­bei­tung sowie des Rechts auf Daten­über­trag­bar­keit;
c) wenn die Ver­ar­bei­tung auf Arti­kel 6 Absatz 1 Buch­sta­be a oder Arti­kel 9 Absatz 2 Buch­sta­be a beruht, das Bestehen eines Rechts, die Ein­wil­li­gung jeder­zeit zu wider­ru­fen, ohne dass die Recht­mä­ßig­keit der auf­grund der Ein­wil­li­gung bis zum Wider­ruf erfolg­ten Ver­ar­bei­tung berührt wird;
d) das Bestehen eines Beschwer­de­rechts bei einer Auf­sichts­be­hör­de;
e) ob die Bereit­stel­lung der per­so­nen­be­zo­ge­nen Daten gesetz­lich oder ver­trag­lich vor­ge­schrie­ben oder für einen Ver­trags­ab­schluss erfor­der­lich ist, ob die betrof­fe­ne Per­son ver­pflich­tet ist, die per­so­nen­be­zo­ge­nen Daten bereit­zu­stel­len, und wel­che mög­li­che Fol­gen die Nicht­be­reit­stel­lung hät­te und
f) das Bestehen einer auto­ma­ti­sier­ten Ent­schei­dungs­fin­dung ein­schließ­lich Pro­fil­ing gemäß Arti­kel 22 Absät­ze 1 und 4 und – zumin­dest in die­sen Fäl­len – aus­sa­ge­kräf­ti­ge Infor­ma­tio­nen über die invol­vier­te Logik sowie die Trag­wei­te und die ange­streb­ten Aus­wir­kun­gen einer der­ar­ti­gen Ver­ar­bei­tung für die betrof­fe­ne Person.

Eini­ge wich­ti­ge Bestand­tei­le die­ser Anga­ben soll­ten sich im Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten fin­den las­sen. Doch was ist mit den ande­ren Anga­ben. Die­se jetzt sepa­rat bei den Fach­be­rei­chen — mög­li­cher­wei­se noch in einem zeit­lich ver­setz­ten Pro­jekt — anfor­dern? Na, die wer­den sich freuen 🙂

Sinn­vol­ler­wei­se soll­te man die Anga­ben für Art. 30 DSGVO sowie die Art. 13, 14 DSGVO in einem Rutsch bei den Fach­be­rei­chen erhe­ben und zusam­men­tra­gen. Dafür wäre eine Erwei­te­rung der aktu­el­len Mus­ter­vor­la­gen der Auf­sichts­be­hör­den not­wen­dig. Übri­gens dür­fen Sie an die­se ruhig Hand anle­gen (also an die Vor­la­gen, nicht an die Ver­tre­ter der Auf­sichts­be­hör­den 😉 ), denn was Sie dort als Vor­la­gen fin­den, sind Emp­feh­lun­gen und nicht in Stein gemeißelt.

Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten als Arbeits­do­ku­ment und nicht als rei­ne Daten­samm­lung verstehen

Noch wäre eine sol­che aus­ge­füll­te Vor­la­ge jedoch nicht mehr als eine erwei­ter­te Daten­samm­lung. Um sich einen Über­blick über die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zu ver­schaf­fen, sicher­lich bes­ser geeig­net als die rei­ne Anfor­de­rung aus Art. 30 DSGVO. Doch da geht noch was, oder? Genau. Ergän­zen Sie doch die­se Über­sicht gleich um wei­te­re Anga­ben wie Rechts­grund­la­ge bzw. Erlaub­nis­tat­be­stand (Art. 6 DSGVO), invol­vier­te exter­ne Dienst­leis­ter (Art. 28 DSGVO Auf­trags­ver­ar­bei­tung), Anga­ben zur Durch­füh­rung und den Ergeb­nis­sen einer DSFA (Art. 35 DSGVO) sowie für die Audit- und Kon­troll­auf­ga­ben des DSB mit Über­prü­fun­gen z.B. der Berech­ti­gungs- bzw. Löschkonzepte.

War­um das Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten um die­se Punk­te ergänzen?

Sie erset­zen den rei­nen Über­sichts­cha­rak­ter (der ja allei­ne kei­nen Daten­schutz in Ihrer Orga­ni­sa­ti­on schafft) durch einen Arbeits­cha­rak­ter des Doku­ments. Oder salopp gesagt, das Ver­zeich­nis lebt und unter­stützt Ihre Orga­ni­sa­ti­on bei der Umset­zung des Daten­schut­zes in der Orga­ni­sa­ti­on aktiv. Wei­ter­hin haben Sie an zen­tra­ler Stel­le nun defi­ni­tiv einen Nach­weis, dass Ihre Orga­ni­sa­ti­on das The­ma Daten­schutz ernst nimmt und lebt. Gleich­zei­tig kön­nen Sie anhand eines so auf­ge­pp­ten Doku­ments nun auch Akti­vi­tä­ten und Wie­der­vor­la­gen sicherstellen.

Rechts­grund­la­ge: Stützt sich die Ver­ar­bei­tung auf die kor­rek­te Rechts­grund­la­ge? Besteht ein Ver­trags­ver­hält­nis, ist womög­lich die genutz­te Ein­ver­ständ­nis­er­klä­rung obso­let und könn­te ent­fal­len. Sind Rechts­vor­schrif­ten der Aus­lö­ser, erge­ben sich mög­li­cher­wei­se aus deren Kon­text auch gleich die Anga­ben zu Auf­be­wah­rungs- bzw. Löschfristen.

Exter­ne Dienst­leis­ter bzw. Auf­trags­ver­ar­bei­tung: Liegt die not­wen­di­ge Ver­ein­ba­rung zur Auf­trags­ver­ar­bei­tung vor? Sind die TOM des Dienst­leis­ters (inter­ner Link) geprüft? Wur­den die­se bei län­ge­rer Zusam­men­ar­beit schon mal auf Aktua­li­tät geprüft?

Daten­schutz­fol­gen­ab­schät­zung: Wur­de die DSFA durch­ge­führt? Wann und durch wen? Wie war das Ergeb­nis? Bei nega­ti­vem Ergeb­nis, wur­de die Ver­ar­bei­tung den­noch in Betrieb genom­men? Wer hat das ent­schie­den? Wur­de die DSFA regel­mä­ßig aktua­li­siert und nach­ge­prüft im Hin­blick auf Ver­än­de­run­gen bei Risi­ken und Schutzmaßnahmen?

Wel­che Kon­trol­len und Über­prü­fun­gen hat der DSB zu den ein­zel­nen Ver­ar­bei­tun­gen durch­ge­führt? Wann wäre wel­che Über­prü­fung als nächs­tes geplant?

Sie sehen, damit kann man jetzt arbei­ten und etwas sinn­vol­les anfan­gen, oder?

Wo bekom­me ich ein erwei­ter­tes Mus­ter für ein sol­ches Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten her?

Eine schon mal um eini­ge Punk­te ange­pass­te Vor­la­ge für ein “akti­ves” Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten kön­nen Sie am Ende des Bei­trags her­un­ter­la­den. Kon­struk­ti­ves Feed­back, Ideen und Anre­gun­gen  sowie Ergän­zun­gen ger­ne willkommen.

Ihr Unter­neh­men benö­tigt einen exter­nen Datenschutzbeauftragten?

Kom­pe­ten­te Bera­tung, prag­ma­ti­sche Ein­füh­rung eines DSMS und anschlie­ßen­de Betreu­ung als exter­ner Daten­schutz­be­auf­trag­ter erhal­ten Sie selbst­ver­ständ­lich vom Team von a.s.k. Daten­schutz. For­dern Sie Ihr unver­bind­li­ches Ange­bot über unser For­mu­lar an. Wir mel­den uns bei Ihnen zeitnah.

1057 Downloads

Check­lis­te TOM Auf­trags­ver­ar­bei­tung nach Art. 28 + 32 DSGVO — tech­ni­sche und orga­ni­sa­to­ri­sche Maßnahmen

Ein­fa­che Doku­men­ta­ti­on und Prü­fung der TOM (Tech­ni­sche und orga­ni­sa­to­ri­sche Maßnahmen)

Art. 28 DSGVO Auf­trags­ver­ar­bei­ter schreibt die Über­prü­fung exter­ner Dienst­leis­ter vor, ob aus­rei­chend Garan­tien (TOM — tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men) für die siche­re Ver­ar­bei­tung im Sin­ne der DSGVO vor­lie­gen. Da wir für unse­re Kun­den zahl­rei­che Dienst­leis­ter im Rah­men der bis­he­ri­gen Auf­trags­da­ten­ver­ar­bei­tung und zukünf­ti­gen Auf­trags­ver­ar­bei­tung prü­fen, schla­gen hier nicht sel­ten ord­ner­wei­se Doku­men­ta­tio­nen über ein vor­han­de­nes oder ver­meint­li­ches Schutz­kon­zept beim Dienst­leis­ter auf. Nach dem Mot­to “Weni­ger ist oft­mals mehr” haben wir eine frü­he­re Check­lis­te für tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM) vom Daten­schutz-Guru RA Ste­phan Han­sen-Oest ergänzt und im Hin­blick auf die Sor­tie­rung der DSGVO über­ar­bei­tet. Da Ste­phan wei­te Tei­le sei­ner genia­len Vor­la­gen und Mus­ter kos­ten­frei zur Nut­zung zur Ver­fü­gung stellt und auch beim The­ma Daten­schutz gilt “Gemein­sam sind wir stark”, wol­len wir da nicht hintenanstehen.

Mit­tels der anhän­gen­den Check­lis­te Tech­ni­sche und Orga­ni­sa­to­ri­sche Maß­nah­men, kurz TOM, als aus­füll­ba­res Word-For­mu­lar kann jeder Dienst­leis­ter ohne all­zu gro­ßen Zeit­auf­wand die bei ihm getrof­fe­nen Schutz­maß­nah­men doku­men­tie­ren (click & dir­ty). Die­se Anga­ben über­prüft der Auf­trag­ge­ber, kann bei Bedarf nach­fra­gen oder Punk­te im Detail klä­ren. Mit der Ergeb­nis­pro­to­kol­lie­rung am Ende soll­te auch der Doku­men­ta­ti­ons- und Rechen­schafts­pflicht zu dem Punkt Genü­ge getan sein. Ein Auf­trag­ge­ber kann sei­nem Dienst­leis­ter die­se Check­lis­te auch direkt zusen­den, damit die­ser sei­ne Doku­men­ta­ti­on erstel­len und zurück­sen­den kann. Als Anhang zur Ver­ein­ba­rung zur Auf­trags­ver­ar­bei­tung von Ste­phan eig­net sich das Doku­ment eben­so. Klei­ner Neben­ef­fekt: Wenn der Auf­trag­ge­ber damit sei­ne TOM doku­men­tiert, kann er auf die­se Stan­dard-TOM im Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten ver­wei­sen und muss dort die­se Anga­ben nicht erneut wiederholen.

Bit­te beach­ten: Die­se Check­lis­te ent­bin­det natür­lich nicht von der kon­kre­ten Prü­fung, ob die genann­ten Schutz­maß­nah­men für das ange­streb­te Schutz­ziel aus­rei­chend sind. Im Zwei­fel sind die Anga­ben mit wei­te­rer Doku­men­ta­ti­on, Inter­views oder Vor-Ort-Prü­fun­gen zu vertiefen.

Anre­gun­gen und Ideen zu Ergän­zun­gen sind ger­ne willkommen.

Auf­trags­ver­ar­bei­tung ist übri­gens nichts Neu­es. Bis­her hieß es Auf­trags­da­ten­ver­ar­bei­tung. Es sind jedoch eini­ge Ergän­zun­gen und höhe­re Doku­men­ta­ti­ons­an­for­de­run­gen hinzugekommen.

Hier fin­den Sie noch eini­ge Fra­gen und Ant­wor­ten zu die­ser Check­lis­te, die uns im Lau­fe der Zeit erreicht haben.

Bit­te nut­zen Sie die aktu­el­le Ver­si­on 3.3 (Stand 29.04.2024):

Vor­la­ge TOM Check­lis­te Tech­ni­sche und Orga­ni­sa­to­ri­sche Maß­nah­men DSGVO
Ver­si­on: 3.3
7997 Downloads
Die mobile Version verlassen