Kategorie: Dokumentationspflichten

Diese Pflichten dienen der internen Dokumentation des Datenschutzes und der Kommunikation mit den Aufsichtsbehörden.

Dokumentation technischer und organisatorischer Maßnahmen (TOM)

Und was ist das? Was ist alles mit „technischen und organisatorischen Maßnahmen“ gemeint? Sicherheitsvorkehrungen werden im Datenschutz „technische und organisatorische Maßnahmen“ genannt. Damit ist neben der IT-Sicherheit auch die Gebäudesicherheit gemeint sowie alle Vorkehrungen, die gewährleisten, dass das Datenschutzrecht eingehalten wird, also das Datenschutzmanagement im weitesten Sinne. Das Datenschutzrecht ist technologieneutral formuliert, damit man es nicht laufend aktualisieren muss. Das bedeutet, dass in den Gesetzen nicht viel konkreteres steht als dass ein Schutzniveau gewährleistet werden […]

Dokumentation der Erfüllung von Betroffenenrechten

Was ist das? Was sind Betroffenenrechte? Personen, deren Daten von einem Unternehmen gespeichert oder irgendwie genutzt werden, heißen im Datenschutz „Betroffene“. Diese Personen haben bestimmte, gesetzlich garantierte Rechte, das sind beispielsweise das Menschenrecht auf die Achtung des Privatlebens oder das Grundrecht auf den Schutz der eigenen personenbezogenen Daten. Auf der Grundlage dieser Rechte können sich beispielsweise Kunden oder Beschäftigte mit folgenden Anliegen bezüglich der sie selbst betreffenden Daten an ein Unternehmen wenden: Auskunft über die […]

Verpflichtung von Beschäftigten auf die Vertraulichkeit

Um den Datenschutz in der Praxis einzuhalten, ist es notwendig, dass die Beschäftigten, die mit personenbezogenen Daten umgehen, wissen, was zu tun ist. Daher besteht für Unternehmen die Pflicht, ihre Beschäftigten für den Datenschutz zu sensibilisieren, für ihre Aufgaben ausreichend im Datenschutz zu schulen und auf die Vertraulichkeit zu verpflichten. Die Verpflichtung auf die Vertraulichkeit kann als Dokument mehr als nur die letzte Pflicht erfüllen. Sie kann auf verschiedene Weisen auch die Erfüllung der ersten […]

Auftragsverarbeitungsverträge (AVV)

Verarbeiten Sie personenbezogene Daten im Auftrag eines anderen Unternehmens oder lassen Sie dies durch andere Unternehmen für sich tun, muss ein AVV geschlossen werden. Eine Auftragsverarbeitung liegt regelmäßig bei IT-Dienstleistungen vor, inklusive dem Hosting von Webseiten, der Nutzung von Microsoft Office oder der G Suite. Was ist das so im Allgemeinen? Ein AVV regelt die Zuständigkeiten und Verantwortlichkeiten, wenn ein Unternehmen im Auftrag eines anderen Unternehmens personenbezogene Daten verarbeitet. Der AVV stellt die Rechtsgrundlage für […]

Das Verzeichnis von Verarbeitungstätigkeiten (VVT)

Das VVT gibt den Überblick über alle für den Datenschutz relevanten Geschäftsprozesse. Manch findiger Datenschützer sucht Ausnahmen im Gesetz,um kein VVT anlegen zu müssen. Mit diesen verästelten Argumentationen möchte man aber keiner Aufsichtsbehörde und keinen Richter überzeugen müssen. Was ist das? Das VVT ist ein internes Dokument. Es ist der Ausgangspunkt des betrieblichen Datenschutzmanagements und gibt einen Überblick über den Stand des Datenschutzes bei allen Geschäftsprozessen, in deren Verlauf personenbezogene Daten verarbeitet werden. Nach außen […]

Dokumentationspflichten

Diese fünf Pflichten dienen der internen Dokumentation, teilweise in Bezug auf Subunternehmer und freie Mitarbeiter. Pflicht 5 ist schnell erledigt. Pflicht 3 kann kompliziert werden. Bei Pflicht 4 sollte man genau hinschauen, falls man jemand Externes dafür bezahlt, dass die Kosten nicht explodieren. 1. Verzeichnis von Verarbeitungstätigkeiten (VVT) Das VVT gibt den Überblick über den Stand des Datenschutzes bei allen Geschäftsprozessen, in deren Verlauf personenbezogene Daten verarbeitet werden. Manch findiger Datenschützer sucht Ausnahmen im Gesetz, […]