© saicle/Shutterstock.com
PHP Magazin
Die DSGVO verlangt ein Verarbeitungsverzeichnis

Unternehmen in der Bringschuld

Die Datenschutz-Grundverordnung (DSGVO) hat umfangreiche Dokumentationspflichten mit sich gebracht. Unternehmen stehen in der Pflicht, rechtskonformes Arbeiten mithilfe eines Verarbeitungsverzeichnisses nachzuweisen.

Michael Rohrlich


Der zentrale Grundsatz in der DSGVO ist das sogenannte Accountability- oder Nachweisprinzip. Dadurch hat seit dem 25. Mai 2018 eine Beweislastumkehr stattgefunden, sodass nun nicht mehr die Datenschutzaufsichtsbehörde einem Unternehmen einen Fehler nachweisen muss. Inzwischen ist es so, dass Unternehmen den Nachweis erbringen müssen, dass sie rechtskonform arbeiten. Datenschutzrechtlich zulässiges Verhalten allein ist daher nicht mehr ausreichend, es muss im Zweifel auch belegt werden können. Das hat gestiegene Dokumentationspflichten zur Folge. Existierte die Back-up-Strategie bislang einzig im Kopf des Administrators, wurde die Passwortrichtlinie lediglich mündlich überliefert oder das Löschkonzept ein Fall von „ja klar, das muss hier irgendwo sein“, ist das alles nun nicht mehr ausreichend. Alle Informationen, die mit IT-Sicherheit im Besonderen beziehungsweise Datenschutz im Allgemeinen zu tun haben, müssen niedergeschrieben werden. Die Form spielt dabei keine Rolle, ein Aktenordner mit den entsprechenden Informationen ist nicht schlechter oder besser als eine Ansammlung von Word-Dateien oder einer speziellen Datenschutzmanagementsoftware. Entscheidend ist vielmehr, dass alle wichtigen Informationen erfasst sind und das betreffende Unternehmen mit der Dokumentation im Alltag auch arbeiten kann. Denn hierbei handelt es sich um einen dynamischen Prozess, der regelmäßig (mindestens einmal jährlich) überprüft werden muss. Und wenn sich die Arbeitsabläufe im Unternehmen nicht geändert haben, dann vermutlich der Stand der Technik – somit muss eine regelmäßige Prüfung der eigenen Datenschutzcompliance und gegebenenfalls Anpassung der Dokumentation erfolgen.

Verarbeitungsverzeichnis

Das zentrale „Datenschutzhandbuch“ ist das Verzeichnis von Verarbeitungstätigkeiten oder kurz: Verarbeitungsverzeichnis. Darin sollten alle datenschutzrelevanten Informationen für den Sektor abgelegt werden und zwar in einer inhaltlichen Struktur, die den Vorgaben von Art. 30 DSGVO entspricht.

Das Verarbeitungsverzeichnis kann grob in drei Bereiche unterteilt werden. Teil 1 besteht sozusagen aus dem Deckblatt, das Name und Anschrift der verantwortlichen Stelle (also des datenverarbeitenden Unternehmens) sowie eines eventuell existierenden Datenschutzbeauftragten enthält. Der zweite Teil beinhaltet den wichtigsten Part, nämlich die Beschreibungen der einzelnen Verarbeitungsvorgänge im Unternehmen. Hier geht es um die Analyse der eigenen Geschäftsprozesse sowie deren Beschreibung gem...

PHP Magazin
Die DSGVO verlangt ein Verarbeitungsverzeichnis

Unternehmen in der Bringschuld

Die Datenschutz-Grundverordnung (DSGVO) hat umfangreiche Dokumentationspflichten mit sich gebracht. Unternehmen stehen in der Pflicht, rechtskonformes Arbeiten mithilfe eines Verarbeitungsverzeichnisses nachzuweisen.

Michael Rohrlich


Der zentrale Grundsatz in der DSGVO ist das sogenannte Accountability- oder Nachweisprinzip. Dadurch hat seit dem 25. Mai 2018 eine Beweislastumkehr stattgefunden, sodass nun nicht mehr die Datenschutzaufsichtsbehörde einem Unternehmen einen Fehler nachweisen muss. Inzwischen ist es so, dass Unternehmen den Nachweis erbringen müssen, dass sie rechtskonform arbeiten. Datenschutzrechtlich zulässiges Verhalten allein ist daher nicht mehr ausreichend, es muss im Zweifel auch belegt werden können. Das hat gestiegene Dokumentationspflichten zur Folge. Existierte die Back-up-Strategie bislang einzig im Kopf des Administrators, wurde die Passwortrichtlinie lediglich mündlich überliefert oder das Löschkonzept ein Fall von „ja klar, das muss hier irgendwo sein“, ist das alles nun nicht mehr ausreichend. Alle Informationen, die mit IT-Sicherheit im Besonderen beziehungsweise Datenschutz im Allgemeinen zu tun haben, müssen niedergeschrieben werden. Die Form spielt dabei keine Rolle, ein Aktenordner mit den entsprechenden Informationen ist nicht schlechter oder besser als eine Ansammlung von Word-Dateien oder einer speziellen Datenschutzmanagementsoftware. Entscheidend ist vielmehr, dass alle wichtigen Informationen erfasst sind und das betreffende Unternehmen mit der Dokumentation im Alltag auch arbeiten kann. Denn hierbei handelt es sich um einen dynamischen Prozess, der regelmäßig (mindestens einmal jährlich) überprüft werden muss. Und wenn sich die Arbeitsabläufe im Unternehmen nicht geändert haben, dann vermutlich der Stand der Technik – somit muss eine regelmäßige Prüfung der eigenen Datenschutzcompliance und gegebenenfalls Anpassung der Dokumentation erfolgen.

Verarbeitungsverzeichnis

Das zentrale „Datenschutzhandbuch“ ist das Verzeichnis von Verarbeitungstätigkeiten oder kurz: Verarbeitungsverzeichnis. Darin sollten alle datenschutzrelevanten Informationen für den Sektor abgelegt werden und zwar in einer inhaltlichen Struktur, die den Vorgaben von Art. 30 DSGVO entspricht.

Das Verarbeitungsverzeichnis kann grob in drei Bereiche unterteilt werden. Teil 1 besteht sozusagen aus dem Deckblatt, das Name und Anschrift der verantwortlichen Stelle (also des datenverarbeitenden Unternehmens) sowie eines eventuell existierenden Datenschutzbeauftragten enthält. Der zweite Teil beinhaltet den wichtigsten Part, nämlich die Beschreibungen der einzelnen Verarbeitungsvorgänge im Unternehmen. Hier geht es um die Analyse der eigenen Geschäftsprozesse sowie deren Beschreibung gem...

Neugierig geworden?


    
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang