Praxiswissen auf den Punkt gebracht.
logo
  • Meine Produkte
    Bitte melden Sie sich an, um Ihre Produkte zu sehen.
Menu Menu
MyIww MyIww

· Fachbeitrag · Datenschutz

DSGVO: Diese 7 Angaben muss das Verzeichnis der Verarbeitungstätigkeiten enthalten

von Rechtsanwalt Kai-Uwe Recker, Kanzlei Dr. Heinicke, Eggebrecht, Ossenforth & Kollegen, München

| Seit 25.05.2018 müssen Sie die Anforderungen aus der Datenschutzgrundverordnung (DSGVO) erfüllen. Eine zentrale Anforderung ist das Führen des Verarbeitungsverzeichnisses. WVV zeigt Ihnen anhand von Beispielen aus der Personal-und Kundenverwaltung, wie Sie ein solches Verzeichnis befüllen. |

Bestandteile des Verarbeitungsverzeichnisses

Nach Art. 30 DSGVO muss jeder Verantwortliche und gegebenenfalls sein Vertreter ein schriftliches Verzeichnis aller Verarbeitungstätigkeiten führen:

 

  • 1. Namen und Kontaktdaten des Verantwortlichen (und ggf. des gemeinsam mit ihm Verantwortlichen), des Vertreters und ggf. Datenschutzbeauftragten
  • 2. Zwecke der Verarbeitung
  • 3. Kategorien betroffener Personen und personenbezogener Daten
  • 4. Kategorien von Empfängern
  • 5. Ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation
  • 6. Wenn möglich: Löschfristen der verschiedenen Datenkategorien
  • 7. Wenn möglich: Technische und organisatorische Maßnahmen (TOM)

Muster eines Verarbeitungsverzeichnisses

Angaben zum Verantwortlichen, Vertreters etc. nennen Sie auf einem Vorblatt. Die weiteren Angaben listen Sie anschließend auf:

 

Muster / Vorblatt ‒ Verantwortlicher nach Art. 30 Abs. 1 DSGVO

1.

Angaben zum Verantwortlichen / ggf. Mitverantwortlichen / Vertreter / Datenschutzbeauftragten

Name

Adresse

Telefonnummer

E-Mailadresse

Internetadresse

... (Name, Vorname des Verantwortlichen, ggf. Mitverantwortlichen etc.)

... (Straße, PLZ, Ort der Versicherungsagentur)

...

...@...de

 

... (Domain der Versicherungsagentur)

 

 

Muster / Verarbeitungstätigkeit ‒ Personal- und Kundenverwaltung

Verarbeitungstätigkeit
lfd. Nr.: 1 Personalverwaltung
lfd. Nr.: 2 Kundenverwaltung

Einführungsdatum: ...

Datum der letzten Änderung: ...

Datum der letzten Änderung: ...

1.

Verantwortliche Abteilung

Ansprechpartner

Telefonnummer

E-Mail-Adresse

Personalabteilung

... (Name des Ansprechpartners)

...

...@...de

... (Abteilung optional nennen)

... (Name des Ansprechpartners)

...

...@...de

2.

Zwecke der Verarbeitung

(optional: eingesetzte Verfahren)

  • Verwaltung Personalangelegenheiten
  • Einstellung von Personal
  • Abwicklung von Arbeitsverträgen
  • Beratungsdokumentation
  • Antragsbearbeitung
  • Inkasso

3.

Kategorien betroffener Personen

  • Beschäftigte
  • Interessenten und Bewerber
  • Versicherungsnehmer von verbundenen Versicherungen
  • Versicherungsnehmer fremder Versicherungen
  • Versicherungsinteressenten
  • Beschäftigte von Versicherungen
  • Beschäftigte von Behörden
  • Kooperationspartner und deren Beschäftigte

3.

Kategorien von personenbezogenen Daten

 

 

 

 

 

 

 

 

Besondere Kategorien personenbezogener Daten

  • Stammdaten
  • Arbeitsunfähigkeitsbescheinigungen
  • Schriftverkehr
  • Bewerbungsunterlagen
  • Leistungsbeurteilungen
  • Zeitaufzeichnungen
  • Urlaubsdatei

 

Stammdaten der Versicherungsnehmer und Interessenten:

  • Adressdaten
  • Vertragsdaten
  • Bonitätsdaten
  • Betreuungsinformationen
  • Versicherungsleistungsdaten
  • Kundenentwicklung
  • ...

 

Gesundheitsdaten

4.

Kategorien von Empfängern

  • Rechnungswesen
  • Sozialversicherungsträger
  • Finanzbehörden
  • Kreditinstitute
  • Versicherungen
  • Gerichte
  • Gläubiger
  • Versicherungen
  • Sozialversicherungsträger
  • Kreditinstitute
  • Gerichte
  • Kunden
  • Dritte auf Wunsch des Kunden
  • ...

5.

Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

  • n Datenübermittlung findet nicht statt und ist auch nicht geplant
  •  Datenübermittlung findet statt:
  •  

Drittland/Organisation: ... (Name)

Dokumentation geeigneter Garantien: ...

  •  Datenübermittlung findet nicht statt und ist auch nicht geplant
  •  Datenübermittlung findet statt:

 

Drittland/Organisation: ... (Name)

Dokumentation geeigneter Garantien: ...

6.

Löschfristen

Siehe Anlage: Löschkonzept

Siehe Anlage: Löschkonzept

7.

TOM

Siehe Anlage: Konzept der technischen und organisatorischen Maßnahmen

Siehe Anlage: Konzept der technischen und organisatorischen Maßnahmen

Verantwortlicher ... Datum ... Unterschrift ...

 

 

Löschfristen bzw. Löschkonzept

Sie dürfen personenbezogene Daten nur so lange speichern, wie dies unbedingt erforderlich ist. Sie müssen die Daten z. B. löschen, wenn die betroffene Person es verlangt („Recht auf Vergessenwerden“).

 

PRAXISTIPPS |

  • Nennen Sie ‒ soweit möglich ‒ konkrete Fristen für die Löschung (§§ 147 AO, 257 HGB) oder zumindest eine abstrakte Frist (z. B. Vertragslaufzeit).
  • Ist in Ihrer Agentur ein Löschkonzept vorhanden, verweisen Sie auf dieses im Verarbeitungsverzeichnis.
 

Konzept der technischen und organisatorischen Maßnahmen

Sie müssen ‒ soweit möglich ‒ die technischen und organisatorischen Maßnahmen beschreiben, die Sie zum Schutz der personenbezogenen Daten in Ihrer Agentur ergreifen (Art. 32 DSGVO). Die TOM können Sie in einem separaten Dokument auflisten und als Anhang zum Verzeichnis nehmen. In der Auflistung sollten Sie (zumindest) folgende 4 Themen berücksichtigen:

 

  • Technische und organisatorische Maßnahmen in der Agentur
1.
Vertraulichkeit (Art. 32 Abs. 1 Buchst. b DSGVO)

Zutrittskontrolle

  • Elektronisches Zutrittskontrollsystem
  • Schlüssel / Schlüsselvergabe
  • Empfang mit Besucherregelungen

Zugangskontrolle (Netzwerk, Computer, Betriebssystem etc.)

  • Passwörter (Verfahren für Vergabe, Auswahl, Wechsel)
  • Sperrungen bei Fehlversuchen
  • Verschlüsselung von Datenträgern, Festplatten, Sticks etc.

Zugriffskontrolle

  • Berechtigungskonzept (Lese-, Schreib-, Löschrechte)
  • Protokollierung von Veränderungen und Maßnahmen

Trennungskontrolle

Trennung sensibler Daten

Pseudonymisierung

Nach Art. 32 Abs. 1 Buchst. a und Art. 25 Abs. 1 DSGVO in Ausnahmefällen

2.
Integrität (Art. 32 Abs. 1 Buchst. b DSGVO)

Weitergabekontrolle

  • Arten der Datenweitergabe
  • Verschlüsselte Übertragung (SSL, TLS, IPSec etc.)
  • Elektronische Signaturen
  • Physische Transportsicherungen

Eingabekontrolle

Protokollierung von Veränderungen und Maßnahmen

3.
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 Buchst. b DSGVO)

Verfügbarkeitskontrolle

  • Datenbackup und Sicherungskonzept
  • Sicherung gegen Überspannung, unterbrochene Stromversorgung
  • Trennung von Sicherungskopien
  • Gespiegelte Datenträger (RAID-Verfahren)
  • Virenschutz, Spamfilter, Firewall, Notfallpläne
  • Brandschutz (Notfallkonzept, Brandschutztüren, Feuerlöscher, Sprinkleranlagen, Rauchmelder, Notrufsystem)
  • Wasserschutz (dichte Aufbewahrung von Datenträgern, getrennte Aufbewahrung von Datenträgern)

Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 Buchst. c DSGVO)

  • Datenbackup und Sicherungskonzept
  • Getrennte Aufbewahrung von Datenträgern
  • Gespiegelte Datenträger (RAID-Verfahren)
4.
Verfahren zur regelmäßigen Überprüfung, Bewertung, Evaluierung (Art. 32 Abs. 1 Buchst. d und Art. 25 Abs. 1)

Managementsysteme und Verfahren

  • Datenschutz-Management
  • Incident-Response-Management
  • Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
  • Auftragskontrolle
 

 

Weiterführende Hinweise

  • „Datenschutz: Verarbeitungsverzeichnis-Muster“ und „Datenschutz: Technische und organisatorische Maßnahmen in der Agentur (TOM)“ finden Sie als Word-Datei zur individuellen Bearbeitung auf wvv.iww.de → Abruf-Nrn. 45304702 und 45305025
  • Beitrag „Stichtag 25.05.: So setzen Sie die Datenschutzgrundverordnung in Ihrer Agentur um“, WVV 5/2018, Seite 15 → Abruf-Nr. 45245792
Quelle: Ausgabe 06 / 2018 | Seite 6 | ID 45297301