2. Rev.Stand3.0
Rechtsanwalt Michael Rohrlich
zugelassen als Rechtsanwalt seit 03/2003
Kanzleisitz in Würselen (Nähe Aachen)
TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV) seit 06/2012
Vorstandsmitglied des Webmasters Europe e.V. seit 09/2010
Mitglied im Expertenrat des Webmasters Europe e.V. seit 03/2019
Fachautor seit 1997 / Buchautor seit 2005
Dozent seit 1998
Video-Trainer (LinkedIn Learning, ehem. video2brain) seit 07/2012
Dozent
2
4. Rev.Stand3.0
1. Einführung
2. Die wichtigsten Dokumentationspflichten
3. Das Verarbeitungsverzeichnis
4. TOMs & weitere Anlagen zum
Verarbeitungsverzeichnis
Agenda
4
5. Rev.Stand3.0
1. Einführung
2. Die wichtigsten Dokumentationspflichten
3. Das Verarbeitungsverzeichnis
4. TOMs & weitere Anlagen zum
Verarbeitungsverzeichnis
Agenda
5
6. Rev.Stand3.0
Frage: Was muss im Bereich Datenschutz / IT-Sicherheit
dokumentiert werden?
Art. 5 Abs. 2 DSGVO:
„Der Verantwortliche ist für die Einhaltung des Abs. 1
verantwortlich und muss dessen Einhaltung nachweisen
können (‚Rechenschaftspflicht‘).“
Antwort: „alles, was nicht bei 3 auf den Bäumen ist“
Einführung
6
7. Rev.Stand3.0
nach alter Rechtslage vor Inkrafttreten der DSGVO musste
bei Verdacht auf Datenschutzverstoß die
Aufsichtsbehörde der verantwortlichen Stelle ein
Fehlverhalten nachweisen
gem. DSGVO muss nun die verantwortliche Stelle belegen
können, dass sie sich rechtskonform verhält
-> Beweislastumkehr
Einführung
7
10. Rev.Stand3.0
1. Einführung
2. Die wichtigsten Dokumentationspflichten
3. Das Verarbeitungsverzeichnis
4. TOMs & weitere Anlagen zum
Verarbeitungsverzeichnis
Agenda
10
19. Rev.Stand3.0
7. Datenübermittlung an Dritte
Übersicht Dienstleister
Identifizierung von AV-Verhältnissen bzw.
gemeinsamer oder getrennter
Verantwortlichkeit
AV- bzw. Joint-Controllership-Verträge
Doku-Pflichten
19
21. Rev.Stand3.0
1. Einführung
2. Die wichtigsten Dokumentationspflichten
3. Das Verarbeitungsverzeichnis
4. TOMs & weitere Anlagen zum
Verarbeitungsverzeichnis
Agenda
21
22. Rev.Stand3.0
zentrales / wichtigstes Dokument:
Verarbeitungsverzeichnis (Art. 30)
kann in Datei- und / oder Papierform
geführt werden
ggf. auch mit Spezial-Software
Verarbeitungsverzeichnis
22
23. Rev.Stand3.0
keine gesetzliche Vorgabe bzgl. der Form
des Verarbeitungsverzeichnisses
lediglich verpflichtende Mindest-Angaben
gem. Art. 30
Verarbeitungsverzeichnis
23
24. Rev.Stand3.0
Verarbeitungsverzeichnis
24
„Deckblatt“
• Name & Kontaktdaten des
Verantwortlichen
• ggf. Namen &
Kontaktdaten des
gemeinsam
Verantwortlichen
• ggf. Name &
Kontaktdaten des EU-
Vertreters
• ggf. Namen &
Kontaktdaten des DSB
Verarbeitungstätigkeiten
• jeweils Angabe von:
• Zwecke der Verarbeitung
• Kategorien Betroffener
• Kategorien pb Daten
• ggf. Kategorien von
Empfängern
• ggf. Übermittlung an
Drittland
• Löschfristen
TOMs
• allg. Beschreibung der
technischen und
organisatorischen
Maßnahmen gem. Art. 32
möglicher Aufbau Verarbeitungsverzeichnis
29. Rev.Stand3.0
1. Einführung
2. Die wichtigsten Dokumentationspflichten
3. Das Verarbeitungsverzeichnis
4. TOMs & weitere Anlagen zum
Verarbeitungsverzeichnis
Agenda
29
34. Rev.Stand3.0
Einzelmaßnahmen durch Gesetz nicht vorgegeben
Verantwortlicher muss ein dem Risiko
angemessenes Schutzniveau gewährleisten
unter Berücksichtigung von…
Stands der Technik
Implementierungskosten
Art, Umfang, Umstände & Zwecke der
Verarbeitung
Eintrittswahrscheinlichkeit & Schwere des Risikos
TOMs u.a.
34
35. Rev.Stand3.0
div. Möglichkeiten zur Umsetzung der TOMs
versch. techn. Standards, z.B.
BSI IT-Grundschutz
Standard-Datenschutzmodell (SDM)
ISO 2700x
VdS 10010 (eher für KMU)
für „Stand der Technik“ vgl. aktuelle TeleTrusT
Handreichung
TOMs u.a.
35