Diese Präsentation wurde erfolgreich gemeldet.
Die SlideShare-Präsentation wird heruntergeladen. ×

Dokumentationspflichten im Datenschutzrecht

Weitere Verwandte Inhalte

Ähnliche Bücher

Kostenlos mit einer 30-tägigen Testversion von Scribd

Alle anzeigen

Dokumentationspflichten im Datenschutzrecht

  1. 1. Rev.Stand3.0 8. Juli 2020, 10.00 – 11.30 Uhr Webinar Dokumentationspflichten im Datenschutzrecht Inhaltlicher Stand: 06.07.2020 © RA Michael Rohrlich
  2. 2. Rev.Stand3.0 Rechtsanwalt Michael Rohrlich  zugelassen als Rechtsanwalt seit 03/2003  Kanzleisitz in Würselen (Nähe Aachen)  TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV) seit 06/2012  Vorstandsmitglied des Webmasters Europe e.V. seit 09/2010  Mitglied im Expertenrat des Webmasters Europe e.V. seit 03/2019  Fachautor seit 1997 / Buchautor seit 2005  Dozent seit 1998  Video-Trainer (LinkedIn Learning, ehem. video2brain) seit 07/2012 Dozent 2
  3. 3. Rev.Stand3.0 Dozent 3
  4. 4. Rev.Stand3.0 1. Einführung 2. Die wichtigsten Dokumentationspflichten 3. Das Verarbeitungsverzeichnis 4. TOMs & weitere Anlagen zum Verarbeitungsverzeichnis Agenda 4
  5. 5. Rev.Stand3.0 1. Einführung 2. Die wichtigsten Dokumentationspflichten 3. Das Verarbeitungsverzeichnis 4. TOMs & weitere Anlagen zum Verarbeitungsverzeichnis Agenda 5
  6. 6. Rev.Stand3.0  Frage: Was muss im Bereich Datenschutz / IT-Sicherheit dokumentiert werden?  Art. 5 Abs. 2 DSGVO:  „Der Verantwortliche ist für die Einhaltung des Abs. 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“  Antwort: „alles, was nicht bei 3 auf den Bäumen ist“ Einführung 6
  7. 7. Rev.Stand3.0  nach alter Rechtslage vor Inkrafttreten der DSGVO musste bei Verdacht auf Datenschutzverstoß die Aufsichtsbehörde der verantwortlichen Stelle ein Fehlverhalten nachweisen  gem. DSGVO muss nun die verantwortliche Stelle belegen können, dass sie sich rechtskonform verhält  -> Beweislastumkehr Einführung 7
  8. 8. Rev.Stand3.0  Nachweis der Einhaltung der zentralen Datenschutz- Grundsätze (Art. 5 Abs. 1):  Rechtmäßigkeit, Transparenz, Treu & Glauben  Zweckbindung  Datenminimierung  Richtigkeit  Speicherbegrenzung  Integrität & Vertraulichkeit Einführung 8
  9. 9. Rev.Stand3.0  Merksatz: Wer schreibt, der bleibt! Einführung 9
  10. 10. Rev.Stand3.0 1. Einführung 2. Die wichtigsten Dokumentationspflichten 3. Das Verarbeitungsverzeichnis 4. TOMs & weitere Anlagen zum Verarbeitungsverzeichnis Agenda 10
  11. 11. Rev.Stand3.0  ausdrücklich geforderte Dokumentations- / Nachweispflichten:  Rechenschaftspflicht (Art. 5 Abs. 2)  Einwilligung (Art. 7, 8)  Verarbeitung von besonderen Kategorien pb Daten (Art. 9)  Einholung zusätzlicher Infos zur Identifizierung einer Person (Art. 11)  offensichtlich unbegründeter oder exzessiver Antrag auf Betroffenenrecht (Art. 12 Abs. 5 S. 2)  gemeinsame Verantwortlichkeit (Art. 26 Abs. 1)  AV-Verhältnis (Art. 28 Abs. 3, 9)  Verarbeitungsverzeichnis (Art. 30 Abs. 1)  Meldung von Datenpannen (Art. 33 Abs. 5)  DSFA (Art. 35 Abs. 7)  DSB-Benennung / Mitteilung an Aufsichtsbehörde (Art. 37 Abs. 7) Doku-Pflichten 11
  12. 12. Rev.Stand3.0  implizit geforderte Dokumentations- / Nachweispflichten:  Rechtsgrundlage für Verarbeitung pb Daten (Art. 6)  Verarbeitung von Daten über Straftaten etc. (Art. 10)  Informationspflichten (Art. 13, 14)  Reaktion auf Betroffenenrechte (z.B. auf Auskunftsantrag gem. Art. 15)  TOMs (Art. 24, 25)  Sicherheit der Verarbeitung (Art. 32)  Benachrichtigung von Betroffenen nach Datenpanne (Art. 34)  Datenübermittlung in Drittstaaten (Art. 44-50) Doku-Pflichten 12
  13. 13. Rev.Stand3.0  1. pro-aktive Informationspflichten gem. Art. 13, 14 DSGVO  online: Website / Social Media  offline: allg. Datenschutzhinweise Doku-Pflichten 13
  14. 14. Rev.Stand3.0  2. DSB  Benennung  Meldung an Aufsichtsbehörde Doku-Pflichten 14
  15. 15. Rev.Stand3.0  3. Betroffenenrechte  int. Prozess / Festlegung von Verantwortlichkeiten  int. Prozess & Dokumentation der Überprüfung der Identität  Muster-Antwortschreiben / Vorlagen  Schulung / Sensibilisierung aller Beschäftigten Doku-Pflichten 15
  16. 16. Rev.Stand3.0  4. Datenpannen  int. Prozess / Festlegung von Verantwortlichkeiten  Muster-Meldung an Betroffene / Meldebogen für Aufsichtsbehörde  Schulung / Sensibilisierung aller Beschäftigten Doku-Pflichten 16
  17. 17. Rev.Stand3.0  5. Einwilligungserklärungen  Übersicht notwendige Einwilligungen (z.B. Fotos von Beschäftigten, BEM)  Muster vorformulierter Einwilligungen Doku-Pflichten 17
  18. 18. Rev.Stand3.0  6. interne Dokumentation  Auflistung & Beschreibung aller Verarbeitungstätigkeiten  Auflistung der TOMs  Zusammenstellung versch. Anlagen  ggf. Datenschutzhandbuch (Grundsätze, Richtlinien) Doku-Pflichten 18
  19. 19. Rev.Stand3.0  7. Datenübermittlung an Dritte  Übersicht Dienstleister  Identifizierung von AV-Verhältnissen bzw. gemeinsamer oder getrennter Verantwortlichkeit  AV- bzw. Joint-Controllership-Verträge Doku-Pflichten 19
  20. 20. Rev.Stand3.0  8. DSFA  int. Prozess / Festlegung von Verantwortlichkeiten  ggf. PIA-Software der CNIL  Übersicht / Archivierung durchgeführter DSFAs Doku-Pflichten 20
  21. 21. Rev.Stand3.0 1. Einführung 2. Die wichtigsten Dokumentationspflichten 3. Das Verarbeitungsverzeichnis 4. TOMs & weitere Anlagen zum Verarbeitungsverzeichnis Agenda 21
  22. 22. Rev.Stand3.0  zentrales / wichtigstes Dokument: Verarbeitungsverzeichnis (Art. 30)  kann in Datei- und / oder Papierform geführt werden  ggf. auch mit Spezial-Software Verarbeitungsverzeichnis 22
  23. 23. Rev.Stand3.0  keine gesetzliche Vorgabe bzgl. der Form des Verarbeitungsverzeichnisses  lediglich verpflichtende Mindest-Angaben gem. Art. 30 Verarbeitungsverzeichnis 23
  24. 24. Rev.Stand3.0 Verarbeitungsverzeichnis 24 „Deckblatt“ • Name & Kontaktdaten des Verantwortlichen • ggf. Namen & Kontaktdaten des gemeinsam Verantwortlichen • ggf. Name & Kontaktdaten des EU- Vertreters • ggf. Namen & Kontaktdaten des DSB Verarbeitungstätigkeiten • jeweils Angabe von: • Zwecke der Verarbeitung • Kategorien Betroffener • Kategorien pb Daten • ggf. Kategorien von Empfängern • ggf. Übermittlung an Drittland • Löschfristen TOMs • allg. Beschreibung der technischen und organisatorischen Maßnahmen gem. Art. 32 möglicher Aufbau Verarbeitungsverzeichnis
  25. 25. Rev.Stand3.0 Verarbeitungsverzeichnis 25 Muster-Vorlage der DSK
  26. 26. Rev.Stand3.0 Verarbeitungsverzeichnis 26 Muster-Beispiel des BayLDA
  27. 27. Rev.Stand3.0  optionale Angaben:  Rechtsgrundlage für „normale“ Daten  Rechtsgrundlage für besondere Daten (Art. 9, 10)  Quellen, aus denen Daten erhoben wurden (z.B. Finanzamt -> Banken)  Risikoeinstufung einzelner Verarbeitungstätigkeiten  Schutzbedarfsfeststellung einzelner Verarbeitungstätigkeiten  DSFA erforderlich? (wenn nicht, warum nicht?) Verarbeitungsverzeichnis 27
  28. 28. Rev.Stand3.0 Verarbeitungsverzeichnis 28 Beispiele sinnvoller Anlagen zum Verarbeitungsverzeichnis Übersicht Hard- / Software Benennungsurkunde DSB Netzwerkdiagramm DSB-Tätigkeitsberichte Organigramm / Behörde Prozessbeschreibungen Schlüsselliste Übersicht Dienstleister Arbeitsanweisung(en) Wartungsverträge (Kopierer…) Betriebsvereinbarung(en) AV-Verträge Nutzerrechtekonzept Notfallplan Gebäudeplan / Grundriss Schulungsnachweise Beschäftigte Lösch-Konzept exempl. Arbeitsvertrag Passwort-Richtlinie exempl. Verpflichtung Vertraulichkeit Backup-Konzept …
  29. 29. Rev.Stand3.0 1. Einführung 2. Die wichtigsten Dokumentationspflichten 3. Das Verarbeitungsverzeichnis 4. TOMs & weitere Anlagen zum Verarbeitungsverzeichnis Agenda 29
  30. 30. Rev.Stand3.0  Sicherheit der Verarbeitung / TOMs (Anlage zu § 9 BDSG-alt)  Zutrittskontrolle  Zugangskontrolle  Zugriffskontrolle  Trennungsgebot  Auftragskontrolle  Eingabekontrolle  Weitergabekontrolle  Verfügbarkeitskontrolle TOMs u.a. 30
  31. 31. Rev.Stand3.0  Sicherheit der Verarbeitung / TOMs (Art. 32)  Pseudonymisierung  Verschlüsselung  Gewährleistung der Vertraulichkeit  Zutrittskontrolle  Zugangskontrolle  Zugriffskontrolle  Trennungsgebot  Auftragskontrolle  Gewährleistung der Integrität  Eingabekontrolle  Weitergabekontrolle  Gewährleistung der Verfügbarkeit  Verfügbarkeitskontrolle  Gewährleistung der Belastbarkeit der Systeme  Wiederherstellbarkeit der Verfügbarkeit  Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOMs TOMs u.a. 31
  32. 32. Rev.Stand3.0  Beispiele für…  Zutrittskontrolle: Alarmanlage, Videoüberwachung, Sicherheitsschlösser, Personenkontrolle…  Zugangskontrolle: Benutzerrechte, Passwortvergabe, Sperren externer Schnittstellen (z.B. USB)…  Zugriffskontrolle: Berechtigungskonzept, Passwortrichtlinie, sichere Aufbewahrung von Datenträgern…  Trennungsgebot: Trennung von Datensätze für versch. Zwecke, Trennung von Produktiv- und Testsystem…  Auftragskontrolle: sorgfältige Auswahl von Dienstleistern, ggf. AV- Verträge, vereinbarte Kontrollrechte…  Eingabekontrolle: Protokollierung der Eingabe, Änderung und Löschung von Daten, individuelle Benutzernamen…  Weitergabekontrolle: E-Mail-Verschlüsselung, Verschlüsselung von ext. Datenträgern / Endgeräten, sichere Transportbehälter…  Verfügbarkeitskontrolle: Feuer- und Rauchmeldeanlagen, USV, Feuerlöschgeräte, Backup- & Recovery-Konzept, Notfallplan… TOMs u.a. 32
  33. 33. Rev.Stand3.0  Anforderungen an die Sicherheit der Verarbeitung (vgl. § 64 Abs. 3 BDSG)  Zugangskontrolle  Datenträgerkontrolle  Speicherkontrolle  Benutzerkontrolle  Zugriffskontrolle  Übertragungskontrolle  Eingabekontrolle  Transportkontrolle  Wiederherstellbarkeit  Zuverlässigkeit  Datenintegrität  Auftragskontrolle  Verfügbarkeitskontrolle  Trennbarkeit TOMs u.a. 33
  34. 34. Rev.Stand3.0  Einzelmaßnahmen durch Gesetz nicht vorgegeben  Verantwortlicher muss ein dem Risiko angemessenes Schutzniveau gewährleisten  unter Berücksichtigung von…  Stands der Technik  Implementierungskosten  Art, Umfang, Umstände & Zwecke der Verarbeitung  Eintrittswahrscheinlichkeit & Schwere des Risikos TOMs u.a. 34
  35. 35. Rev.Stand3.0  div. Möglichkeiten zur Umsetzung der TOMs  versch. techn. Standards, z.B.  BSI IT-Grundschutz  Standard-Datenschutzmodell (SDM)  ISO 2700x  VdS 10010 (eher für KMU)  für „Stand der Technik“ vgl. aktuelle TeleTrusT Handreichung TOMs u.a. 35
  36. 36. Rev.Stand3.0 noch Fragen? 36

Hinweis der Redaktion

  • Die Informationen auf diesen Sprechernotizen werden eingegeben über

    [Einfügen] [Kopf- und Fußzeilen]

    Die Formatierung z. B. kursiv bei © dbb akademie wird im Notizenmaster durch Formatierung des Fußzeilen-Platzhalters erreicht

×