Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

Verzeichnis von Verarbeitungstätigkeiten nach DSGVO

32 vues

Publié le

Wie Sie ein Verzeichnis von Verarbeitungstätigkeiten nach DSGVO praktisch umsetzen. Inklusive Mindestanforderungen und Beispielen. Es werden auch Informationen zum Hauptblatt, den technischen und organisatorischen Maßnahmen sowie zur Risikoanalyse vorgestellt.

Publié dans : Internet
  • Login to see the comments

Verzeichnis von Verarbeitungstätigkeiten nach DSGVO

  1. 1. Verzeichnis von Verarbeitungstätigkeiten nach DSGVO praktisch umsetzen Präsentiert von dsgvo-vorlagen.de
  2. 2. Vorbemerkung • Das Verzeichnis von Verarbeitungstätigkeiten ist grundsätzlich Pflicht für jeden, der nicht nur gelegentlich personenbezogene Daten verarbeitet (Art. 30 (5) DSGVO) • Der Verantwortliche (z.B. Geschäftsführer, juristische Person oä) ist verpflichtet das Verzeichnis zu führen • Es sollte aktuell sein und dem IST-Stand im Unternehmen entsprechen • Es kann elektronisch geführt werden (z.B. in Excel oder Word) 06.11.2018 Quelle: dsgvo-vorlagen.de 2
  3. 3. Gesetzliche Mindestangaben nach DSGVO • Name und Kontaktdaten des Verantwortlichen, ggf. des Vertreters und des Datenschutzbeauftragten (Art. 30 (1) a) DSGVO) • Die Zwecke der Verarbeitung (Art. 30 (1) b) DSGVO) • Kategorien von Betroffenen und die personenbezogenen Daten (Art. 30 (1) c) DSGVO) • Kategorien von Empfängern, an die die Daten übertragen werden, insbesondere, wenn dies im Ausland geschieht, Dokumentation von Garantien (Art. 30 (1) d) und e) DSGVO) • Löschfristen für die Datenkategorien (Art. 30 (1) f) DSGVO) • Dokumentation der technischen und organisatorischen Maßnahmen (Art. 30 (1) g) DSGVO) • Die Rechtsgrundlage der Verarbeitung (§ 70 (1) Nr. 7 BDSG) • Darüber hinaus gehend bieten sich zahlreiche weitere Dokumente an. 06.11.2018 Quelle: dsgvo-vorlagen.de 3
  4. 4. Die Inhalte des Verfahrensverzeichnisses (alte Bezeichnung) in der Praxis Der praktische Ansatz zur DSGVO Dokumentation. 06.11.2018 Quelle: dsgvo-vorlagen.de 4
  5. 5. In der Praxis bietet sich eine Gliederung in 3 Bereiche an • Hauptteil (allgemeine Informationen zum Verantwortlichen) • Das eigentliche Verzeichnis (Alle Verarbeitungstätigkeiten im Unternehmen)  in den meisten Unternehmen unter 40 Stück • Technische und organisatorische Maßnahmen (Sicherheit der Verarbeitung) sowie Risikoanalyse 06.11.2018 Quelle: dsgvo-vorlagen.de 5
  6. 6. Hauptblatt (Hauptteil) • An sich selten veränderte Informationen • Anschrift der Verantwortlichen Stelle inkl. ggf. Vertretern • Informationen über Niederlassungen in der EU (wenn Verantwortlicher nicht aus der EU kommt) • Informationen zum DSB • Hinweise auf Datenlöschung, TOMs und grundsätzliches Verfahren bei Auftragsverarbeitung und Übermittlung in Drittstaaten 06.11.2018 Quelle: dsgvo-vorlagen.de 6
  7. 7. Beispiel für ein Hauptblatt aus dem Tool 06.11.2018 Quelle: dsgvo-vorlagen.de 7
  8. 8. Verzeichnis der Verarbeitungstätigkeiten • Beschreibung des Verfahrens • Name der eingesetzten Programme oder Dienstleister • Beginn der Nutzung • Letzte Überprüfung des Verfahrens (normalerweise Datum der Ersterstellung oder Datum des Inkrafttretens der DSGVO) • Verantwortliche Abteilung bzw. Kontaktdaten des Ansprechpartners • Zwecke der Verarbeitung (Wieso wird verarbeitet) • Betroffenengruppen • Datenpunkte und –kategorien • Rechtsgrundlage der Verarbeitung • Übermittlung in Drittstaaten und ggf. Nachweis von Garantien • Spezielle Löschfristen oder technische und organisatorische Maßnahmen • Unterschrift des Verantwortlichen bzw. sein gesetzlicher Vertreter 06.11.2018 Quelle: dsgvo-vorlagen.de 8
  9. 9. Beispiel für ein Verzeichnis der Verarbeitungstätigkeiten aus dem Excel Tool 06.11.2018 Quelle: dsgvo-vorlagen.de 9
  10. 10. Technische und organisatorische Maßnahmen und Risikoanalyse • Die sog. TOMs können mit Hilfe von Listen erstellt werden, in die nach den gesetzlich vorgegebenen Kriterien Maßnahmen abgetragen werden • Z.B. Verschlüsselung, Zutrittskontrollen usw. • Die Risikoanalyse kann direkt dafür verwendet werden zu ermitteln, ob eine Datenschutzfolgenabschätzung notwendig ist oder nicht • Z.B. über eine Risikomatrix (Eintrittswahrscheinlichkeit x Schadenshöhe) • Über die „Datenschutzgruppe nach Artikel 29“ (G29) festgelegten Kriterien 06.11.2018 Quelle: dsgvo-vorlagen.de 10
  11. 11. Beispiel einer Risikoanalyse aus dem Generator 06.11.2018 Quelle: dsgvo-vorlagen.de 11
  12. 12. Beispiel für technische und organisatorische Maßnahmen 06.11.2018 Quelle: dsgvo-vorlagen.de 12
  13. 13. Erstellung der Dokumentation Wege zur fertigen Dokumentation 06.11.2018 Quelle: dsgvo-vorlagen.de 13
  14. 14. Kostenlose Vorlagen der Datenschutzbehörden • Der Bayrische Landesdatenschutzbeauftragte bietet umfangreiche (aber leere) Vorlagen an: • https://www.lda.bayern.de/de/kleine-unternehmen.html • Word Download der WKO: • https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo- muster-verarbeitungsverzeichnis-verantwortliche.html 06.11.2018 Quelle: dsgvo-vorlagen.de 14
  15. 15. Generator, Excel und Word Vorlage (vorausgefüllt) • Der Generator für die Dokumentation bietet sich für preisbewusste Kunden an, welche Schritt für Schritt durch den Prozess geführt werden wollen: • https://www.digistore24.com/product/209825 • Die Excel und Word Vorlagen bieten sich an, wenn man unabhängig von Cloud Lösungen arbeitet und etwas größere Datenschutzprojekte betreuen möchte: • Word: https://www.digistore24.com/product/240342 • Excel: https://www.digistore24.com/product/216935 06.11.2018 Quelle: dsgvo-vorlagen.de 15
  16. 16. Folgen bei Nichterstellung • Ordnungswidrigkeit, welche mit einem hohen Bußgeld bestraft wird • 10.000.000 € oder 2% des Jahresumsatz möglich • Sollte vorher erstellt werden, also bevor die Behörde anfragt • Anfragen können auf verschiedene Arten erfolgen 06.11.2018 Quelle: dsgvo-vorlagen.de 16
  17. 17. Quellen • https://dsgvo-gesetz.de/art-30-dsgvo/ • https://dsgvo-gesetz.de/art-32-dsgvo/ • https://dsgvo-gesetz.de/bdsg/70-bdsg/ • https://dsgvo-gesetz.de/art-35-dsgvo/ • https://dsgvo-gesetz.de/art-9-dsgvo/ • https://dsgvo-gesetz.de/art-10-dsgvo/ • http://ec.europa.eu/newsroom/article29/item- detail.cfm?item_id=611236 06.11.2018 Quelle: dsgvo-vorlagen.de 17

×