Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

Dokumentationspflichten im Datenschutzrecht

120 Aufrufe

Veröffentlicht am

Überblick über die Dokumentationspflichten im Datenschutzrecht und was alles zu beachten ist.

Veröffentlicht in: Recht
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Dokumentationspflichten im Datenschutzrecht

  1. 1. Rev.Stand3.0 8. Juli 2020, 10.00 – 11.30 Uhr Webinar Dokumentationspflichten im Datenschutzrecht Inhaltlicher Stand: 06.07.2020 © RA Michael Rohrlich
  2. 2. Rev.Stand3.0 Rechtsanwalt Michael Rohrlich  zugelassen als Rechtsanwalt seit 03/2003  Kanzleisitz in Würselen (Nähe Aachen)  TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV) seit 06/2012  Vorstandsmitglied des Webmasters Europe e.V. seit 09/2010  Mitglied im Expertenrat des Webmasters Europe e.V. seit 03/2019  Fachautor seit 1997 / Buchautor seit 2005  Dozent seit 1998  Video-Trainer (LinkedIn Learning, ehem. video2brain) seit 07/2012 Dozent 2
  3. 3. Rev.Stand3.0 Dozent 3
  4. 4. Rev.Stand3.0 1. Einführung 2. Die wichtigsten Dokumentationspflichten 3. Das Verarbeitungsverzeichnis 4. TOMs & weitere Anlagen zum Verarbeitungsverzeichnis Agenda 4
  5. 5. Rev.Stand3.0 1. Einführung 2. Die wichtigsten Dokumentationspflichten 3. Das Verarbeitungsverzeichnis 4. TOMs & weitere Anlagen zum Verarbeitungsverzeichnis Agenda 5
  6. 6. Rev.Stand3.0  Frage: Was muss im Bereich Datenschutz / IT-Sicherheit dokumentiert werden?  Art. 5 Abs. 2 DSGVO:  „Der Verantwortliche ist für die Einhaltung des Abs. 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“  Antwort: „alles, was nicht bei 3 auf den Bäumen ist“ Einführung 6
  7. 7. Rev.Stand3.0  nach alter Rechtslage vor Inkrafttreten der DSGVO musste bei Verdacht auf Datenschutzverstoß die Aufsichtsbehörde der verantwortlichen Stelle ein Fehlverhalten nachweisen  gem. DSGVO muss nun die verantwortliche Stelle belegen können, dass sie sich rechtskonform verhält  -> Beweislastumkehr Einführung 7
  8. 8. Rev.Stand3.0  Nachweis der Einhaltung der zentralen Datenschutz- Grundsätze (Art. 5 Abs. 1):  Rechtmäßigkeit, Transparenz, Treu & Glauben  Zweckbindung  Datenminimierung  Richtigkeit  Speicherbegrenzung  Integrität & Vertraulichkeit Einführung 8
  9. 9. Rev.Stand3.0  Merksatz: Wer schreibt, der bleibt! Einführung 9
  10. 10. Rev.Stand3.0 1. Einführung 2. Die wichtigsten Dokumentationspflichten 3. Das Verarbeitungsverzeichnis 4. TOMs & weitere Anlagen zum Verarbeitungsverzeichnis Agenda 10
  11. 11. Rev.Stand3.0  ausdrücklich geforderte Dokumentations- / Nachweispflichten:  Rechenschaftspflicht (Art. 5 Abs. 2)  Einwilligung (Art. 7, 8)  Verarbeitung von besonderen Kategorien pb Daten (Art. 9)  Einholung zusätzlicher Infos zur Identifizierung einer Person (Art. 11)  offensichtlich unbegründeter oder exzessiver Antrag auf Betroffenenrecht (Art. 12 Abs. 5 S. 2)  gemeinsame Verantwortlichkeit (Art. 26 Abs. 1)  AV-Verhältnis (Art. 28 Abs. 3, 9)  Verarbeitungsverzeichnis (Art. 30 Abs. 1)  Meldung von Datenpannen (Art. 33 Abs. 5)  DSFA (Art. 35 Abs. 7)  DSB-Benennung / Mitteilung an Aufsichtsbehörde (Art. 37 Abs. 7) Doku-Pflichten 11
  12. 12. Rev.Stand3.0  implizit geforderte Dokumentations- / Nachweispflichten:  Rechtsgrundlage für Verarbeitung pb Daten (Art. 6)  Verarbeitung von Daten über Straftaten etc. (Art. 10)  Informationspflichten (Art. 13, 14)  Reaktion auf Betroffenenrechte (z.B. auf Auskunftsantrag gem. Art. 15)  TOMs (Art. 24, 25)  Sicherheit der Verarbeitung (Art. 32)  Benachrichtigung von Betroffenen nach Datenpanne (Art. 34)  Datenübermittlung in Drittstaaten (Art. 44-50) Doku-Pflichten 12
  13. 13. Rev.Stand3.0  1. pro-aktive Informationspflichten gem. Art. 13, 14 DSGVO  online: Website / Social Media  offline: allg. Datenschutzhinweise Doku-Pflichten 13
  14. 14. Rev.Stand3.0  2. DSB  Benennung  Meldung an Aufsichtsbehörde Doku-Pflichten 14
  15. 15. Rev.Stand3.0  3. Betroffenenrechte  int. Prozess / Festlegung von Verantwortlichkeiten  int. Prozess & Dokumentation der Überprüfung der Identität  Muster-Antwortschreiben / Vorlagen  Schulung / Sensibilisierung aller Beschäftigten Doku-Pflichten 15
  16. 16. Rev.Stand3.0  4. Datenpannen  int. Prozess / Festlegung von Verantwortlichkeiten  Muster-Meldung an Betroffene / Meldebogen für Aufsichtsbehörde  Schulung / Sensibilisierung aller Beschäftigten Doku-Pflichten 16
  17. 17. Rev.Stand3.0  5. Einwilligungserklärungen  Übersicht notwendige Einwilligungen (z.B. Fotos von Beschäftigten, BEM)  Muster vorformulierter Einwilligungen Doku-Pflichten 17
  18. 18. Rev.Stand3.0  6. interne Dokumentation  Auflistung & Beschreibung aller Verarbeitungstätigkeiten  Auflistung der TOMs  Zusammenstellung versch. Anlagen  ggf. Datenschutzhandbuch (Grundsätze, Richtlinien) Doku-Pflichten 18
  19. 19. Rev.Stand3.0  7. Datenübermittlung an Dritte  Übersicht Dienstleister  Identifizierung von AV-Verhältnissen bzw. gemeinsamer oder getrennter Verantwortlichkeit  AV- bzw. Joint-Controllership-Verträge Doku-Pflichten 19
  20. 20. Rev.Stand3.0  8. DSFA  int. Prozess / Festlegung von Verantwortlichkeiten  ggf. PIA-Software der CNIL  Übersicht / Archivierung durchgeführter DSFAs Doku-Pflichten 20
  21. 21. Rev.Stand3.0 1. Einführung 2. Die wichtigsten Dokumentationspflichten 3. Das Verarbeitungsverzeichnis 4. TOMs & weitere Anlagen zum Verarbeitungsverzeichnis Agenda 21
  22. 22. Rev.Stand3.0  zentrales / wichtigstes Dokument: Verarbeitungsverzeichnis (Art. 30)  kann in Datei- und / oder Papierform geführt werden  ggf. auch mit Spezial-Software Verarbeitungsverzeichnis 22
  23. 23. Rev.Stand3.0  keine gesetzliche Vorgabe bzgl. der Form des Verarbeitungsverzeichnisses  lediglich verpflichtende Mindest-Angaben gem. Art. 30 Verarbeitungsverzeichnis 23
  24. 24. Rev.Stand3.0 Verarbeitungsverzeichnis 24 „Deckblatt“ • Name & Kontaktdaten des Verantwortlichen • ggf. Namen & Kontaktdaten des gemeinsam Verantwortlichen • ggf. Name & Kontaktdaten des EU- Vertreters • ggf. Namen & Kontaktdaten des DSB Verarbeitungstätigkeiten • jeweils Angabe von: • Zwecke der Verarbeitung • Kategorien Betroffener • Kategorien pb Daten • ggf. Kategorien von Empfängern • ggf. Übermittlung an Drittland • Löschfristen TOMs • allg. Beschreibung der technischen und organisatorischen Maßnahmen gem. Art. 32 möglicher Aufbau Verarbeitungsverzeichnis
  25. 25. Rev.Stand3.0 Verarbeitungsverzeichnis 25 Muster-Vorlage der DSK
  26. 26. Rev.Stand3.0 Verarbeitungsverzeichnis 26 Muster-Beispiel des BayLDA
  27. 27. Rev.Stand3.0  optionale Angaben:  Rechtsgrundlage für „normale“ Daten  Rechtsgrundlage für besondere Daten (Art. 9, 10)  Quellen, aus denen Daten erhoben wurden (z.B. Finanzamt -> Banken)  Risikoeinstufung einzelner Verarbeitungstätigkeiten  Schutzbedarfsfeststellung einzelner Verarbeitungstätigkeiten  DSFA erforderlich? (wenn nicht, warum nicht?) Verarbeitungsverzeichnis 27
  28. 28. Rev.Stand3.0 Verarbeitungsverzeichnis 28 Beispiele sinnvoller Anlagen zum Verarbeitungsverzeichnis Übersicht Hard- / Software Benennungsurkunde DSB Netzwerkdiagramm DSB-Tätigkeitsberichte Organigramm / Behörde Prozessbeschreibungen Schlüsselliste Übersicht Dienstleister Arbeitsanweisung(en) Wartungsverträge (Kopierer…) Betriebsvereinbarung(en) AV-Verträge Nutzerrechtekonzept Notfallplan Gebäudeplan / Grundriss Schulungsnachweise Beschäftigte Lösch-Konzept exempl. Arbeitsvertrag Passwort-Richtlinie exempl. Verpflichtung Vertraulichkeit Backup-Konzept …
  29. 29. Rev.Stand3.0 1. Einführung 2. Die wichtigsten Dokumentationspflichten 3. Das Verarbeitungsverzeichnis 4. TOMs & weitere Anlagen zum Verarbeitungsverzeichnis Agenda 29
  30. 30. Rev.Stand3.0  Sicherheit der Verarbeitung / TOMs (Anlage zu § 9 BDSG-alt)  Zutrittskontrolle  Zugangskontrolle  Zugriffskontrolle  Trennungsgebot  Auftragskontrolle  Eingabekontrolle  Weitergabekontrolle  Verfügbarkeitskontrolle TOMs u.a. 30
  31. 31. Rev.Stand3.0  Sicherheit der Verarbeitung / TOMs (Art. 32)  Pseudonymisierung  Verschlüsselung  Gewährleistung der Vertraulichkeit  Zutrittskontrolle  Zugangskontrolle  Zugriffskontrolle  Trennungsgebot  Auftragskontrolle  Gewährleistung der Integrität  Eingabekontrolle  Weitergabekontrolle  Gewährleistung der Verfügbarkeit  Verfügbarkeitskontrolle  Gewährleistung der Belastbarkeit der Systeme  Wiederherstellbarkeit der Verfügbarkeit  Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOMs TOMs u.a. 31
  32. 32. Rev.Stand3.0  Beispiele für…  Zutrittskontrolle: Alarmanlage, Videoüberwachung, Sicherheitsschlösser, Personenkontrolle…  Zugangskontrolle: Benutzerrechte, Passwortvergabe, Sperren externer Schnittstellen (z.B. USB)…  Zugriffskontrolle: Berechtigungskonzept, Passwortrichtlinie, sichere Aufbewahrung von Datenträgern…  Trennungsgebot: Trennung von Datensätze für versch. Zwecke, Trennung von Produktiv- und Testsystem…  Auftragskontrolle: sorgfältige Auswahl von Dienstleistern, ggf. AV- Verträge, vereinbarte Kontrollrechte…  Eingabekontrolle: Protokollierung der Eingabe, Änderung und Löschung von Daten, individuelle Benutzernamen…  Weitergabekontrolle: E-Mail-Verschlüsselung, Verschlüsselung von ext. Datenträgern / Endgeräten, sichere Transportbehälter…  Verfügbarkeitskontrolle: Feuer- und Rauchmeldeanlagen, USV, Feuerlöschgeräte, Backup- & Recovery-Konzept, Notfallplan… TOMs u.a. 32
  33. 33. Rev.Stand3.0  Anforderungen an die Sicherheit der Verarbeitung (vgl. § 64 Abs. 3 BDSG)  Zugangskontrolle  Datenträgerkontrolle  Speicherkontrolle  Benutzerkontrolle  Zugriffskontrolle  Übertragungskontrolle  Eingabekontrolle  Transportkontrolle  Wiederherstellbarkeit  Zuverlässigkeit  Datenintegrität  Auftragskontrolle  Verfügbarkeitskontrolle  Trennbarkeit TOMs u.a. 33
  34. 34. Rev.Stand3.0  Einzelmaßnahmen durch Gesetz nicht vorgegeben  Verantwortlicher muss ein dem Risiko angemessenes Schutzniveau gewährleisten  unter Berücksichtigung von…  Stands der Technik  Implementierungskosten  Art, Umfang, Umstände & Zwecke der Verarbeitung  Eintrittswahrscheinlichkeit & Schwere des Risikos TOMs u.a. 34
  35. 35. Rev.Stand3.0  div. Möglichkeiten zur Umsetzung der TOMs  versch. techn. Standards, z.B.  BSI IT-Grundschutz  Standard-Datenschutzmodell (SDM)  ISO 2700x  VdS 10010 (eher für KMU)  für „Stand der Technik“ vgl. aktuelle TeleTrusT Handreichung TOMs u.a. 35
  36. 36. Rev.Stand3.0 noch Fragen? 36

×