NU Consult Inh. N. Ulrich

Leistungen

Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn

  • die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Ergänzend benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Das überprüfen der  Gesellschaft und aller ihrer Prozesse kann in einem Audit erfolgen.

Ein AUDIT untersucht und stellt fest, ob Anforderungen aus Gesetzen, Richtlinien, Prozessen oder anderem die geforderten Standards erfüllen.
Die Audits werden von einem speziell hierfür geschultem AUDITOR durchgeführt. Ein AUDIT findet in in unterschiedlichen Phasen statt:

  1. Vorgespräch, Zielsetzung, Grundlagen
  2. Festlegung des zu untersuchenden Bereiches
  3. Festlegung der Teilnehmer
  4. Erfassen der Grunddaten des Unternehmens
  5. Vor-Ort-Termin
  6. Besichtigung
  7. Stellen der Fragen aus den Anforderungen (Controls)
  8. Festhalten der Abweichungen
  9. Ergebnisbesprechung
  10. Auditprotokoll
  11. Maßnahmenprotokoll
  12. Maßnahmenkontrolle

Als zertifizierter Datenschutzauditor (TÜV) und VDS kann ich Audit nach

  • ISO IEC 27701
  • VDS 10001
  • TISAX

vornehmen.

Als ein wichtiger Baustein bei der Umsetzung von Richtlinien ist die Sensibilisierung der Mitarbeiter.

Zu den Aufgaben des Datenschutzbeauftragten  gehören unter anderem:

  • Überwachung der Prozesse
  • Sensibilisierung der Mitarbeiter

In §7 (2) lit. 2 BDSG  ist normiert:

Überwachung der Einhaltung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, sowie der Strategien der öffentlichen Stelle für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und der Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten und der diesbezüglichen Überprüfungen

Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. 2Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter
die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet;
gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift;
die in den Absätzen 2 und 4 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält;
angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen;
unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten unterstützt;
nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt und die vorhandenen Kopien löscht, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht;
dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.

Sie als Verantwortlicher haben im Bezug auf den Datenschutz zu dokumentieren, welche Maßnahmen Sie ergriffen haben, um die Datenschutzgesetze einzuhalten.

Dazu müssen Sie zahlreiche Dokumente, Verfahrensanweisungen, Betriebsvereinbarungen, Einwilligungen, Prozesse und Verträge erstellen oder von Ihren Geschäftspartnern akzeptieren.

Da diese Dokumente nicht immer einfach zu verstehen sind, oder häufig inhaltlich auch falsch sind, ist eine genaue Prüfung dieser Dokumente notwendig.

Mit zahlreichen Mustern kann ich Ihre Dokumentation ergänzen oder die Ihnen vorgelegten Dokumente prüfen und Hinweise zum Verständnis oder zur Änderung geben.

Die Datenschutzgrundverordnung (DSGVO) verlangt in Art. 30, das ein Verzeichnis aller Verarbeitungstätigkeiten zu führen ist.

Je nach Umfang der Verarbeitungen sollte das Verzeichnis in

  1. Papierform
  2. elektronischer Form (z.B. MS Excel)
  3. in der Datenschutzmanagement-Software (z.B. Onetrust, OtrisPrivacy, …)

geführt werden. Welche Art des Verzeichnisses für Sie die sinnvollste ist, können Sie mit mir gerne besprechen.

Dieses Verzeichnis ist gegebenenfalls der Aufsichtsbehörde zur Verfügung zu stellen.

Die o.g. Pflichten zur Führung des Verzeichnisses gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen,

  • es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen,
  • die Verarbeitung erfolgt nicht nur gelegentlich
  • oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 DSGVO (z.B. Gesundheitsdaten)
  • bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten.

In Art. 83 DSGVO ist festgelegt, das wenn gegen Art. 30 DSGVO verstoßen wird, Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden können, je nachdem, welcher der Beträge höher ist.

Dieses Verzeichnis ist eine Liste aller Verarbeitungen, in der personenbezogene Daten verarbeitet werden. Je Verarbeitung sind folgende Informationen in diese Liste aufzunehmen:

  • den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
    die Zwecke der Verarbeitung;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO.

Der Aufbau dieses Verzeichnisses ist nicht zu unterschätzen und ich unterstütze Sie gerne dabei. Nehmen Sie Kontakt auf.

Cookie-Einstellungen