SlideShare ist ein Scribd-Unternehmen logo
1 von 36
Rev.Stand3.0
8. Juli 2020, 10.00 – 11.30 Uhr
Webinar
Dokumentationspflichten
im Datenschutzrecht
Inhaltlicher Stand: 06.07.2020 © RA Michael Rohrlich
Rev.Stand3.0
Rechtsanwalt Michael Rohrlich
 zugelassen als Rechtsanwalt seit 03/2003
 Kanzleisitz in Würselen (Nähe Aachen)
 TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV) seit 06/2012
 Vorstandsmitglied des Webmasters Europe e.V. seit 09/2010
 Mitglied im Expertenrat des Webmasters Europe e.V. seit 03/2019
 Fachautor seit 1997 / Buchautor seit 2005
 Dozent seit 1998
 Video-Trainer (LinkedIn Learning, ehem. video2brain) seit 07/2012
Dozent
2
Rev.Stand3.0
Dozent
3
Rev.Stand3.0
1. Einführung
2. Die wichtigsten Dokumentationspflichten
3. Das Verarbeitungsverzeichnis
4. TOMs & weitere Anlagen zum
Verarbeitungsverzeichnis
Agenda
4
Rev.Stand3.0
1. Einführung
2. Die wichtigsten Dokumentationspflichten
3. Das Verarbeitungsverzeichnis
4. TOMs & weitere Anlagen zum
Verarbeitungsverzeichnis
Agenda
5
Rev.Stand3.0
 Frage: Was muss im Bereich Datenschutz / IT-Sicherheit
dokumentiert werden?
 Art. 5 Abs. 2 DSGVO:
 „Der Verantwortliche ist für die Einhaltung des Abs. 1
verantwortlich und muss dessen Einhaltung nachweisen
können (‚Rechenschaftspflicht‘).“
 Antwort: „alles, was nicht bei 3 auf den Bäumen ist“
Einführung
6
Rev.Stand3.0
 nach alter Rechtslage vor Inkrafttreten der DSGVO musste
bei Verdacht auf Datenschutzverstoß die
Aufsichtsbehörde der verantwortlichen Stelle ein
Fehlverhalten nachweisen
 gem. DSGVO muss nun die verantwortliche Stelle belegen
können, dass sie sich rechtskonform verhält
 -> Beweislastumkehr
Einführung
7
Rev.Stand3.0
 Nachweis der Einhaltung der zentralen Datenschutz-
Grundsätze (Art. 5 Abs. 1):
 Rechtmäßigkeit, Transparenz, Treu & Glauben
 Zweckbindung
 Datenminimierung
 Richtigkeit
 Speicherbegrenzung
 Integrität & Vertraulichkeit
Einführung
8
Rev.Stand3.0
 Merksatz: Wer schreibt, der bleibt!
Einführung
9
Rev.Stand3.0
1. Einführung
2. Die wichtigsten Dokumentationspflichten
3. Das Verarbeitungsverzeichnis
4. TOMs & weitere Anlagen zum
Verarbeitungsverzeichnis
Agenda
10
Rev.Stand3.0
 ausdrücklich geforderte Dokumentations- / Nachweispflichten:
 Rechenschaftspflicht (Art. 5 Abs. 2)
 Einwilligung (Art. 7, 8)
 Verarbeitung von besonderen Kategorien pb Daten (Art. 9)
 Einholung zusätzlicher Infos zur Identifizierung einer Person (Art. 11)
 offensichtlich unbegründeter oder exzessiver Antrag auf
Betroffenenrecht (Art. 12 Abs. 5 S. 2)
 gemeinsame Verantwortlichkeit (Art. 26 Abs. 1)
 AV-Verhältnis (Art. 28 Abs. 3, 9)
 Verarbeitungsverzeichnis (Art. 30 Abs. 1)
 Meldung von Datenpannen (Art. 33 Abs. 5)
 DSFA (Art. 35 Abs. 7)
 DSB-Benennung / Mitteilung an Aufsichtsbehörde (Art. 37 Abs. 7)
Doku-Pflichten
11
Rev.Stand3.0
 implizit geforderte Dokumentations- / Nachweispflichten:
 Rechtsgrundlage für Verarbeitung pb Daten (Art. 6)
 Verarbeitung von Daten über Straftaten etc. (Art. 10)
 Informationspflichten (Art. 13, 14)
 Reaktion auf Betroffenenrechte (z.B. auf Auskunftsantrag
gem. Art. 15)
 TOMs (Art. 24, 25)
 Sicherheit der Verarbeitung (Art. 32)
 Benachrichtigung von Betroffenen nach Datenpanne
(Art. 34)
 Datenübermittlung in Drittstaaten (Art. 44-50)
Doku-Pflichten
12
Rev.Stand3.0
 1. pro-aktive Informationspflichten gem.
Art. 13, 14 DSGVO
 online: Website / Social Media
 offline: allg. Datenschutzhinweise
Doku-Pflichten
13
Rev.Stand3.0
 2. DSB
 Benennung
 Meldung an Aufsichtsbehörde
Doku-Pflichten
14
Rev.Stand3.0
 3. Betroffenenrechte
 int. Prozess / Festlegung von
Verantwortlichkeiten
 int. Prozess & Dokumentation der
Überprüfung der Identität
 Muster-Antwortschreiben / Vorlagen
 Schulung / Sensibilisierung aller
Beschäftigten
Doku-Pflichten
15
Rev.Stand3.0
 4. Datenpannen
 int. Prozess / Festlegung von
Verantwortlichkeiten
 Muster-Meldung an Betroffene /
Meldebogen für Aufsichtsbehörde
 Schulung / Sensibilisierung aller
Beschäftigten
Doku-Pflichten
16
Rev.Stand3.0
 5. Einwilligungserklärungen
 Übersicht notwendige Einwilligungen (z.B.
Fotos von Beschäftigten, BEM)
 Muster vorformulierter Einwilligungen
Doku-Pflichten
17
Rev.Stand3.0
 6. interne Dokumentation
 Auflistung & Beschreibung aller
Verarbeitungstätigkeiten
 Auflistung der TOMs
 Zusammenstellung versch. Anlagen
 ggf. Datenschutzhandbuch (Grundsätze,
Richtlinien)
Doku-Pflichten
18
Rev.Stand3.0
 7. Datenübermittlung an Dritte
 Übersicht Dienstleister
 Identifizierung von AV-Verhältnissen bzw.
gemeinsamer oder getrennter
Verantwortlichkeit
 AV- bzw. Joint-Controllership-Verträge
Doku-Pflichten
19
Rev.Stand3.0
 8. DSFA
 int. Prozess / Festlegung von
Verantwortlichkeiten
 ggf. PIA-Software der CNIL
 Übersicht / Archivierung durchgeführter
DSFAs
Doku-Pflichten
20
Rev.Stand3.0
1. Einführung
2. Die wichtigsten Dokumentationspflichten
3. Das Verarbeitungsverzeichnis
4. TOMs & weitere Anlagen zum
Verarbeitungsverzeichnis
Agenda
21
Rev.Stand3.0
 zentrales / wichtigstes Dokument:
Verarbeitungsverzeichnis (Art. 30)
 kann in Datei- und / oder Papierform
geführt werden
 ggf. auch mit Spezial-Software
Verarbeitungsverzeichnis
22
Rev.Stand3.0
 keine gesetzliche Vorgabe bzgl. der Form
des Verarbeitungsverzeichnisses
 lediglich verpflichtende Mindest-Angaben
gem. Art. 30
Verarbeitungsverzeichnis
23
Rev.Stand3.0
Verarbeitungsverzeichnis
24
„Deckblatt“
• Name & Kontaktdaten des
Verantwortlichen
• ggf. Namen &
Kontaktdaten des
gemeinsam
Verantwortlichen
• ggf. Name &
Kontaktdaten des EU-
Vertreters
• ggf. Namen &
Kontaktdaten des DSB
Verarbeitungstätigkeiten
• jeweils Angabe von:
• Zwecke der Verarbeitung
• Kategorien Betroffener
• Kategorien pb Daten
• ggf. Kategorien von
Empfängern
• ggf. Übermittlung an
Drittland
• Löschfristen
TOMs
• allg. Beschreibung der
technischen und
organisatorischen
Maßnahmen gem. Art. 32
möglicher Aufbau Verarbeitungsverzeichnis
Rev.Stand3.0
Verarbeitungsverzeichnis
25
Muster-Vorlage der DSK
Rev.Stand3.0
Verarbeitungsverzeichnis
26
Muster-Beispiel des BayLDA
Rev.Stand3.0
 optionale Angaben:
 Rechtsgrundlage für „normale“ Daten
 Rechtsgrundlage für besondere Daten (Art. 9, 10)
 Quellen, aus denen Daten erhoben wurden (z.B.
Finanzamt -> Banken)
 Risikoeinstufung einzelner Verarbeitungstätigkeiten
 Schutzbedarfsfeststellung einzelner
Verarbeitungstätigkeiten
 DSFA erforderlich? (wenn nicht, warum nicht?)
Verarbeitungsverzeichnis
27
Rev.Stand3.0
Verarbeitungsverzeichnis
28
Beispiele sinnvoller Anlagen zum Verarbeitungsverzeichnis
Übersicht Hard- / Software Benennungsurkunde DSB
Netzwerkdiagramm DSB-Tätigkeitsberichte
Organigramm / Behörde Prozessbeschreibungen
Schlüsselliste Übersicht Dienstleister
Arbeitsanweisung(en) Wartungsverträge (Kopierer…)
Betriebsvereinbarung(en) AV-Verträge
Nutzerrechtekonzept Notfallplan
Gebäudeplan / Grundriss Schulungsnachweise Beschäftigte
Lösch-Konzept exempl. Arbeitsvertrag
Passwort-Richtlinie exempl. Verpflichtung Vertraulichkeit
Backup-Konzept …
Rev.Stand3.0
1. Einführung
2. Die wichtigsten Dokumentationspflichten
3. Das Verarbeitungsverzeichnis
4. TOMs & weitere Anlagen zum
Verarbeitungsverzeichnis
Agenda
29
Rev.Stand3.0
 Sicherheit der Verarbeitung / TOMs (Anlage zu
§ 9 BDSG-alt)
 Zutrittskontrolle
 Zugangskontrolle
 Zugriffskontrolle
 Trennungsgebot
 Auftragskontrolle
 Eingabekontrolle
 Weitergabekontrolle
 Verfügbarkeitskontrolle
TOMs u.a.
30
Rev.Stand3.0
 Sicherheit der Verarbeitung / TOMs (Art. 32)
 Pseudonymisierung
 Verschlüsselung
 Gewährleistung der Vertraulichkeit
 Zutrittskontrolle
 Zugangskontrolle
 Zugriffskontrolle
 Trennungsgebot
 Auftragskontrolle
 Gewährleistung der Integrität
 Eingabekontrolle
 Weitergabekontrolle
 Gewährleistung der Verfügbarkeit
 Verfügbarkeitskontrolle
 Gewährleistung der Belastbarkeit der Systeme
 Wiederherstellbarkeit der Verfügbarkeit
 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der
Wirksamkeit der TOMs
TOMs u.a.
31
Rev.Stand3.0
 Beispiele für…
 Zutrittskontrolle: Alarmanlage, Videoüberwachung, Sicherheitsschlösser,
Personenkontrolle…
 Zugangskontrolle: Benutzerrechte, Passwortvergabe, Sperren externer
Schnittstellen (z.B. USB)…
 Zugriffskontrolle: Berechtigungskonzept, Passwortrichtlinie, sichere
Aufbewahrung von Datenträgern…
 Trennungsgebot: Trennung von Datensätze für versch. Zwecke,
Trennung von Produktiv- und Testsystem…
 Auftragskontrolle: sorgfältige Auswahl von Dienstleistern, ggf. AV-
Verträge, vereinbarte Kontrollrechte…
 Eingabekontrolle: Protokollierung der Eingabe, Änderung und Löschung
von Daten, individuelle Benutzernamen…
 Weitergabekontrolle: E-Mail-Verschlüsselung, Verschlüsselung von ext.
Datenträgern / Endgeräten, sichere Transportbehälter…
 Verfügbarkeitskontrolle: Feuer- und Rauchmeldeanlagen, USV,
Feuerlöschgeräte, Backup- & Recovery-Konzept, Notfallplan…
TOMs u.a.
32
Rev.Stand3.0
 Anforderungen an die Sicherheit der Verarbeitung (vgl. § 64 Abs. 3 BDSG)
 Zugangskontrolle
 Datenträgerkontrolle
 Speicherkontrolle
 Benutzerkontrolle
 Zugriffskontrolle
 Übertragungskontrolle
 Eingabekontrolle
 Transportkontrolle
 Wiederherstellbarkeit
 Zuverlässigkeit
 Datenintegrität
 Auftragskontrolle
 Verfügbarkeitskontrolle
 Trennbarkeit
TOMs u.a.
33
Rev.Stand3.0
 Einzelmaßnahmen durch Gesetz nicht vorgegeben
 Verantwortlicher muss ein dem Risiko
angemessenes Schutzniveau gewährleisten
 unter Berücksichtigung von…
 Stands der Technik
 Implementierungskosten
 Art, Umfang, Umstände & Zwecke der
Verarbeitung
 Eintrittswahrscheinlichkeit & Schwere des Risikos
TOMs u.a.
34
Rev.Stand3.0
 div. Möglichkeiten zur Umsetzung der TOMs
 versch. techn. Standards, z.B.
 BSI IT-Grundschutz
 Standard-Datenschutzmodell (SDM)
 ISO 2700x
 VdS 10010 (eher für KMU)
 für „Stand der Technik“ vgl. aktuelle TeleTrusT
Handreichung
TOMs u.a.
35
Rev.Stand3.0
noch Fragen?
36

Weitere ähnliche Inhalte

Was ist angesagt?

Last-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVOLast-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVO
Bokowsky + Laymann GmbH
 

Was ist angesagt? (20)

Begriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsBegriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des Datenschutzrechts
 
Grundlagen der DSGVO
Grundlagen der DSGVOGrundlagen der DSGVO
Grundlagen der DSGVO
 
Datenschutz im internet
Datenschutz im internetDatenschutz im internet
Datenschutz im internet
 
EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)
 
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO) Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
 
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgenDatenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
 
Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur VertragsgestaltungAuftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
 
DSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenDSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachten
 
Datenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device ManagementDatenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device Management
 
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
 
GDPR Implications Customer Identity Management - German
GDPR Implications Customer Identity Management - GermanGDPR Implications Customer Identity Management - German
GDPR Implications Customer Identity Management - German
 
E-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes ImpressumE-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
 
Last-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVOLast-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVO
 
Social Media, der Datenschutz und das Urheberrecht - 8.4.2014 - marketing for...
Social Media, der Datenschutz und das Urheberrecht - 8.4.2014 - marketing for...Social Media, der Datenschutz und das Urheberrecht - 8.4.2014 - marketing for...
Social Media, der Datenschutz und das Urheberrecht - 8.4.2014 - marketing for...
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis Linz
 
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...
 
Datenschutz bei Multifunktionsdruckern
Datenschutz bei MultifunktionsdruckernDatenschutz bei Multifunktionsdruckern
Datenschutz bei Multifunktionsdruckern
 
EU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 MinutenEU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 Minuten
 
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeiden
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeidenDatenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeiden
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeiden
 

Ähnlich wie Dokumentationspflichten im Datenschutzrecht

SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
Symposia 360°
 
Datenschutz, datensicherheit und urheberrecht
Datenschutz, datensicherheit und urheberrechtDatenschutz, datensicherheit und urheberrecht
Datenschutz, datensicherheit und urheberrecht
CBeuster
 
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...
kreuzwerker GmbH
 
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Raabe Verlag
 
2011 EurCcloud Austria Brunch #4 Microsoft
2011 EurCcloud Austria Brunch #4 Microsoft2011 EurCcloud Austria Brunch #4 Microsoft
2011 EurCcloud Austria Brunch #4 Microsoft
EuroCloud.Austria
 
2011 euroCloud Austria Brunch 4 Microsoft
2011 euroCloud Austria Brunch 4 Microsoft2011 euroCloud Austria Brunch 4 Microsoft
2011 euroCloud Austria Brunch 4 Microsoft
EuroCloud.Austria
 
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
Symposia 360°
 

Ähnlich wie Dokumentationspflichten im Datenschutzrecht (20)

Impressum & Datenschutzerklärung
Impressum &  DatenschutzerklärungImpressum &  Datenschutzerklärung
Impressum & Datenschutzerklärung
 
GDPR Datenschutz-Compliance: von der Pflicht zur Kür
GDPR Datenschutz-Compliance: von der Pflicht zur KürGDPR Datenschutz-Compliance: von der Pflicht zur Kür
GDPR Datenschutz-Compliance: von der Pflicht zur Kür
 
DSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei NimbusecDSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei Nimbusec
 
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
 
Datenschutz, datensicherheit und urheberrecht
Datenschutz, datensicherheit und urheberrechtDatenschutz, datensicherheit und urheberrecht
Datenschutz, datensicherheit und urheberrecht
 
Webcast Security & Data Privacy: Anonymization
Webcast Security & Data Privacy: AnonymizationWebcast Security & Data Privacy: Anonymization
Webcast Security & Data Privacy: Anonymization
 
Verzeichnis von Verarbeitungstätigkeiten nach DSGVO
Verzeichnis von Verarbeitungstätigkeiten nach DSGVOVerzeichnis von Verarbeitungstätigkeiten nach DSGVO
Verzeichnis von Verarbeitungstätigkeiten nach DSGVO
 
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
 
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
 
2011 EurCcloud Austria Brunch #4 Microsoft
2011 EurCcloud Austria Brunch #4 Microsoft2011 EurCcloud Austria Brunch #4 Microsoft
2011 EurCcloud Austria Brunch #4 Microsoft
 
Social Media & Datenschutzrecht
Social Media & DatenschutzrechtSocial Media & Datenschutzrecht
Social Media & Datenschutzrecht
 
Anforderungen an die Verfahrendokumentation
Anforderungen an die VerfahrendokumentationAnforderungen an die Verfahrendokumentation
Anforderungen an die Verfahrendokumentation
 
2011 euroCloud Austria Brunch 4 Microsoft
2011 euroCloud Austria Brunch 4 Microsoft2011 euroCloud Austria Brunch 4 Microsoft
2011 euroCloud Austria Brunch 4 Microsoft
 
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, TransparencyMicrosoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
 
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
 
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
 
Elektronischer Personalausweis
Elektronischer PersonalausweisElektronischer Personalausweis
Elektronischer Personalausweis
 
eHealth in der IT
eHealth in der ITeHealth in der IT
eHealth in der IT
 
Aufgaben des betrieblichen Datenschutzbeauftragten: Technisch organisatorisch...
Aufgaben des betrieblichen Datenschutzbeauftragten: Technisch organisatorisch...Aufgaben des betrieblichen Datenschutzbeauftragten: Technisch organisatorisch...
Aufgaben des betrieblichen Datenschutzbeauftragten: Technisch organisatorisch...
 

Mehr von Michael Rohrlich

Mehr von Michael Rohrlich (13)

Grundlagen Computerstrafrecht & Datenschutzrecht
Grundlagen Computerstrafrecht & DatenschutzrechtGrundlagen Computerstrafrecht & Datenschutzrecht
Grundlagen Computerstrafrecht & Datenschutzrecht
 
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen PraxisElektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
 
Datenschutz-Folgenabschätzung
Datenschutz-FolgenabschätzungDatenschutz-Folgenabschätzung
Datenschutz-Folgenabschätzung
 
Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?
 
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
 
Onlineshop: So bauen Sie einen korrekten Bestellprozess auf
Onlineshop: So bauen Sie einen korrekten Bestellprozess aufOnlineshop: So bauen Sie einen korrekten Bestellprozess auf
Onlineshop: So bauen Sie einen korrekten Bestellprozess auf
 
E-Commerce-Recht - Vertragsfragen
E-Commerce-Recht - VertragsfragenE-Commerce-Recht - Vertragsfragen
E-Commerce-Recht - Vertragsfragen
 
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess aufE-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
 
Social Media Recht
Social Media RechtSocial Media Recht
Social Media Recht
 
E-Commerce-Recht
E-Commerce-RechtE-Commerce-Recht
E-Commerce-Recht
 
E-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
E-Mail-Marketing: Rechtssicherer Versand elektronischer WerbungE-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
E-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
 
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreichDer Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
 
DSGVO: Was tun bei einer Abmahnung?
DSGVO: Was tun bei einer Abmahnung?DSGVO: Was tun bei einer Abmahnung?
DSGVO: Was tun bei einer Abmahnung?
 

Dokumentationspflichten im Datenschutzrecht

  • 1. Rev.Stand3.0 8. Juli 2020, 10.00 – 11.30 Uhr Webinar Dokumentationspflichten im Datenschutzrecht Inhaltlicher Stand: 06.07.2020 © RA Michael Rohrlich
  • 2. Rev.Stand3.0 Rechtsanwalt Michael Rohrlich  zugelassen als Rechtsanwalt seit 03/2003  Kanzleisitz in Würselen (Nähe Aachen)  TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV) seit 06/2012  Vorstandsmitglied des Webmasters Europe e.V. seit 09/2010  Mitglied im Expertenrat des Webmasters Europe e.V. seit 03/2019  Fachautor seit 1997 / Buchautor seit 2005  Dozent seit 1998  Video-Trainer (LinkedIn Learning, ehem. video2brain) seit 07/2012 Dozent 2
  • 4. Rev.Stand3.0 1. Einführung 2. Die wichtigsten Dokumentationspflichten 3. Das Verarbeitungsverzeichnis 4. TOMs & weitere Anlagen zum Verarbeitungsverzeichnis Agenda 4
  • 5. Rev.Stand3.0 1. Einführung 2. Die wichtigsten Dokumentationspflichten 3. Das Verarbeitungsverzeichnis 4. TOMs & weitere Anlagen zum Verarbeitungsverzeichnis Agenda 5
  • 6. Rev.Stand3.0  Frage: Was muss im Bereich Datenschutz / IT-Sicherheit dokumentiert werden?  Art. 5 Abs. 2 DSGVO:  „Der Verantwortliche ist für die Einhaltung des Abs. 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“  Antwort: „alles, was nicht bei 3 auf den Bäumen ist“ Einführung 6
  • 7. Rev.Stand3.0  nach alter Rechtslage vor Inkrafttreten der DSGVO musste bei Verdacht auf Datenschutzverstoß die Aufsichtsbehörde der verantwortlichen Stelle ein Fehlverhalten nachweisen  gem. DSGVO muss nun die verantwortliche Stelle belegen können, dass sie sich rechtskonform verhält  -> Beweislastumkehr Einführung 7
  • 8. Rev.Stand3.0  Nachweis der Einhaltung der zentralen Datenschutz- Grundsätze (Art. 5 Abs. 1):  Rechtmäßigkeit, Transparenz, Treu & Glauben  Zweckbindung  Datenminimierung  Richtigkeit  Speicherbegrenzung  Integrität & Vertraulichkeit Einführung 8
  • 9. Rev.Stand3.0  Merksatz: Wer schreibt, der bleibt! Einführung 9
  • 10. Rev.Stand3.0 1. Einführung 2. Die wichtigsten Dokumentationspflichten 3. Das Verarbeitungsverzeichnis 4. TOMs & weitere Anlagen zum Verarbeitungsverzeichnis Agenda 10
  • 11. Rev.Stand3.0  ausdrücklich geforderte Dokumentations- / Nachweispflichten:  Rechenschaftspflicht (Art. 5 Abs. 2)  Einwilligung (Art. 7, 8)  Verarbeitung von besonderen Kategorien pb Daten (Art. 9)  Einholung zusätzlicher Infos zur Identifizierung einer Person (Art. 11)  offensichtlich unbegründeter oder exzessiver Antrag auf Betroffenenrecht (Art. 12 Abs. 5 S. 2)  gemeinsame Verantwortlichkeit (Art. 26 Abs. 1)  AV-Verhältnis (Art. 28 Abs. 3, 9)  Verarbeitungsverzeichnis (Art. 30 Abs. 1)  Meldung von Datenpannen (Art. 33 Abs. 5)  DSFA (Art. 35 Abs. 7)  DSB-Benennung / Mitteilung an Aufsichtsbehörde (Art. 37 Abs. 7) Doku-Pflichten 11
  • 12. Rev.Stand3.0  implizit geforderte Dokumentations- / Nachweispflichten:  Rechtsgrundlage für Verarbeitung pb Daten (Art. 6)  Verarbeitung von Daten über Straftaten etc. (Art. 10)  Informationspflichten (Art. 13, 14)  Reaktion auf Betroffenenrechte (z.B. auf Auskunftsantrag gem. Art. 15)  TOMs (Art. 24, 25)  Sicherheit der Verarbeitung (Art. 32)  Benachrichtigung von Betroffenen nach Datenpanne (Art. 34)  Datenübermittlung in Drittstaaten (Art. 44-50) Doku-Pflichten 12
  • 13. Rev.Stand3.0  1. pro-aktive Informationspflichten gem. Art. 13, 14 DSGVO  online: Website / Social Media  offline: allg. Datenschutzhinweise Doku-Pflichten 13
  • 14. Rev.Stand3.0  2. DSB  Benennung  Meldung an Aufsichtsbehörde Doku-Pflichten 14
  • 15. Rev.Stand3.0  3. Betroffenenrechte  int. Prozess / Festlegung von Verantwortlichkeiten  int. Prozess & Dokumentation der Überprüfung der Identität  Muster-Antwortschreiben / Vorlagen  Schulung / Sensibilisierung aller Beschäftigten Doku-Pflichten 15
  • 16. Rev.Stand3.0  4. Datenpannen  int. Prozess / Festlegung von Verantwortlichkeiten  Muster-Meldung an Betroffene / Meldebogen für Aufsichtsbehörde  Schulung / Sensibilisierung aller Beschäftigten Doku-Pflichten 16
  • 17. Rev.Stand3.0  5. Einwilligungserklärungen  Übersicht notwendige Einwilligungen (z.B. Fotos von Beschäftigten, BEM)  Muster vorformulierter Einwilligungen Doku-Pflichten 17
  • 18. Rev.Stand3.0  6. interne Dokumentation  Auflistung & Beschreibung aller Verarbeitungstätigkeiten  Auflistung der TOMs  Zusammenstellung versch. Anlagen  ggf. Datenschutzhandbuch (Grundsätze, Richtlinien) Doku-Pflichten 18
  • 19. Rev.Stand3.0  7. Datenübermittlung an Dritte  Übersicht Dienstleister  Identifizierung von AV-Verhältnissen bzw. gemeinsamer oder getrennter Verantwortlichkeit  AV- bzw. Joint-Controllership-Verträge Doku-Pflichten 19
  • 20. Rev.Stand3.0  8. DSFA  int. Prozess / Festlegung von Verantwortlichkeiten  ggf. PIA-Software der CNIL  Übersicht / Archivierung durchgeführter DSFAs Doku-Pflichten 20
  • 21. Rev.Stand3.0 1. Einführung 2. Die wichtigsten Dokumentationspflichten 3. Das Verarbeitungsverzeichnis 4. TOMs & weitere Anlagen zum Verarbeitungsverzeichnis Agenda 21
  • 22. Rev.Stand3.0  zentrales / wichtigstes Dokument: Verarbeitungsverzeichnis (Art. 30)  kann in Datei- und / oder Papierform geführt werden  ggf. auch mit Spezial-Software Verarbeitungsverzeichnis 22
  • 23. Rev.Stand3.0  keine gesetzliche Vorgabe bzgl. der Form des Verarbeitungsverzeichnisses  lediglich verpflichtende Mindest-Angaben gem. Art. 30 Verarbeitungsverzeichnis 23
  • 24. Rev.Stand3.0 Verarbeitungsverzeichnis 24 „Deckblatt“ • Name & Kontaktdaten des Verantwortlichen • ggf. Namen & Kontaktdaten des gemeinsam Verantwortlichen • ggf. Name & Kontaktdaten des EU- Vertreters • ggf. Namen & Kontaktdaten des DSB Verarbeitungstätigkeiten • jeweils Angabe von: • Zwecke der Verarbeitung • Kategorien Betroffener • Kategorien pb Daten • ggf. Kategorien von Empfängern • ggf. Übermittlung an Drittland • Löschfristen TOMs • allg. Beschreibung der technischen und organisatorischen Maßnahmen gem. Art. 32 möglicher Aufbau Verarbeitungsverzeichnis
  • 27. Rev.Stand3.0  optionale Angaben:  Rechtsgrundlage für „normale“ Daten  Rechtsgrundlage für besondere Daten (Art. 9, 10)  Quellen, aus denen Daten erhoben wurden (z.B. Finanzamt -> Banken)  Risikoeinstufung einzelner Verarbeitungstätigkeiten  Schutzbedarfsfeststellung einzelner Verarbeitungstätigkeiten  DSFA erforderlich? (wenn nicht, warum nicht?) Verarbeitungsverzeichnis 27
  • 28. Rev.Stand3.0 Verarbeitungsverzeichnis 28 Beispiele sinnvoller Anlagen zum Verarbeitungsverzeichnis Übersicht Hard- / Software Benennungsurkunde DSB Netzwerkdiagramm DSB-Tätigkeitsberichte Organigramm / Behörde Prozessbeschreibungen Schlüsselliste Übersicht Dienstleister Arbeitsanweisung(en) Wartungsverträge (Kopierer…) Betriebsvereinbarung(en) AV-Verträge Nutzerrechtekonzept Notfallplan Gebäudeplan / Grundriss Schulungsnachweise Beschäftigte Lösch-Konzept exempl. Arbeitsvertrag Passwort-Richtlinie exempl. Verpflichtung Vertraulichkeit Backup-Konzept …
  • 29. Rev.Stand3.0 1. Einführung 2. Die wichtigsten Dokumentationspflichten 3. Das Verarbeitungsverzeichnis 4. TOMs & weitere Anlagen zum Verarbeitungsverzeichnis Agenda 29
  • 30. Rev.Stand3.0  Sicherheit der Verarbeitung / TOMs (Anlage zu § 9 BDSG-alt)  Zutrittskontrolle  Zugangskontrolle  Zugriffskontrolle  Trennungsgebot  Auftragskontrolle  Eingabekontrolle  Weitergabekontrolle  Verfügbarkeitskontrolle TOMs u.a. 30
  • 31. Rev.Stand3.0  Sicherheit der Verarbeitung / TOMs (Art. 32)  Pseudonymisierung  Verschlüsselung  Gewährleistung der Vertraulichkeit  Zutrittskontrolle  Zugangskontrolle  Zugriffskontrolle  Trennungsgebot  Auftragskontrolle  Gewährleistung der Integrität  Eingabekontrolle  Weitergabekontrolle  Gewährleistung der Verfügbarkeit  Verfügbarkeitskontrolle  Gewährleistung der Belastbarkeit der Systeme  Wiederherstellbarkeit der Verfügbarkeit  Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOMs TOMs u.a. 31
  • 32. Rev.Stand3.0  Beispiele für…  Zutrittskontrolle: Alarmanlage, Videoüberwachung, Sicherheitsschlösser, Personenkontrolle…  Zugangskontrolle: Benutzerrechte, Passwortvergabe, Sperren externer Schnittstellen (z.B. USB)…  Zugriffskontrolle: Berechtigungskonzept, Passwortrichtlinie, sichere Aufbewahrung von Datenträgern…  Trennungsgebot: Trennung von Datensätze für versch. Zwecke, Trennung von Produktiv- und Testsystem…  Auftragskontrolle: sorgfältige Auswahl von Dienstleistern, ggf. AV- Verträge, vereinbarte Kontrollrechte…  Eingabekontrolle: Protokollierung der Eingabe, Änderung und Löschung von Daten, individuelle Benutzernamen…  Weitergabekontrolle: E-Mail-Verschlüsselung, Verschlüsselung von ext. Datenträgern / Endgeräten, sichere Transportbehälter…  Verfügbarkeitskontrolle: Feuer- und Rauchmeldeanlagen, USV, Feuerlöschgeräte, Backup- & Recovery-Konzept, Notfallplan… TOMs u.a. 32
  • 33. Rev.Stand3.0  Anforderungen an die Sicherheit der Verarbeitung (vgl. § 64 Abs. 3 BDSG)  Zugangskontrolle  Datenträgerkontrolle  Speicherkontrolle  Benutzerkontrolle  Zugriffskontrolle  Übertragungskontrolle  Eingabekontrolle  Transportkontrolle  Wiederherstellbarkeit  Zuverlässigkeit  Datenintegrität  Auftragskontrolle  Verfügbarkeitskontrolle  Trennbarkeit TOMs u.a. 33
  • 34. Rev.Stand3.0  Einzelmaßnahmen durch Gesetz nicht vorgegeben  Verantwortlicher muss ein dem Risiko angemessenes Schutzniveau gewährleisten  unter Berücksichtigung von…  Stands der Technik  Implementierungskosten  Art, Umfang, Umstände & Zwecke der Verarbeitung  Eintrittswahrscheinlichkeit & Schwere des Risikos TOMs u.a. 34
  • 35. Rev.Stand3.0  div. Möglichkeiten zur Umsetzung der TOMs  versch. techn. Standards, z.B.  BSI IT-Grundschutz  Standard-Datenschutzmodell (SDM)  ISO 2700x  VdS 10010 (eher für KMU)  für „Stand der Technik“ vgl. aktuelle TeleTrusT Handreichung TOMs u.a. 35

Hinweis der Redaktion

  1. Die Informationen auf diesen Sprechernotizen werden eingegeben über [Einfügen] [Kopf- und Fußzeilen] Die Formatierung z. B. kursiv bei © dbb akademie wird im Notizenmaster durch Formatierung des Fußzeilen-Platzhalters erreicht