· Fachbeitrag · Datenschutz
DSGVO: Diese 7 Angaben muss das Verzeichnis der Verarbeitungstätigkeiten enthalten
von Rechtsanwalt Kai-Uwe Recker, Kanzlei Dr. Heinicke, Eggebrecht, Ossenforth & Kollegen, München
| Seit 25.05.2018 müssen Sie die Anforderungen aus der Datenschutzgrundverordnung (DSGVO) erfüllen. Eine zentrale Anforderung ist das Führen des Verarbeitungsverzeichnisses. WVV zeigt Ihnen anhand von Beispielen aus der Personal-und Kundenverwaltung, wie Sie ein solches Verzeichnis befüllen. |
Bestandteile des Verarbeitungsverzeichnisses
Nach Art. 30 DSGVO muss jeder Verantwortliche und gegebenenfalls sein Vertreter ein schriftliches Verzeichnis aller Verarbeitungstätigkeiten führen:
- 1. Namen und Kontaktdaten des Verantwortlichen (und ggf. des gemeinsam mit ihm Verantwortlichen), des Vertreters und ggf. Datenschutzbeauftragten
- 2. Zwecke der Verarbeitung
- 3. Kategorien betroffener Personen und personenbezogener Daten
- 4. Kategorien von Empfängern
- 5. Ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation
- 6. Wenn möglich: Löschfristen der verschiedenen Datenkategorien
- 7. Wenn möglich: Technische und organisatorische Maßnahmen (TOM)
Muster eines Verarbeitungsverzeichnisses
Angaben zum Verantwortlichen, Vertreters etc. nennen Sie auf einem Vorblatt. Die weiteren Angaben listen Sie anschließend auf:
Muster / Vorblatt ‒ Verantwortlicher nach Art. 30 Abs. 1 DSGVO | ||
1. | Angaben zum Verantwortlichen / ggf. Mitverantwortlichen / Vertreter / Datenschutzbeauftragten | |
Name Adresse Telefonnummer E-Mailadresse Internetadresse | ... (Name, Vorname des Verantwortlichen, ggf. Mitverantwortlichen etc.) ... (Straße, PLZ, Ort der Versicherungsagentur) ... ...@...de
... (Domain der Versicherungsagentur) |
Muster / Verarbeitungstätigkeit ‒ Personal- und Kundenverwaltung | |||
Verarbeitungstätigkeit | lfd. Nr.: 1 Personalverwaltung | lfd. Nr.: 2 Kundenverwaltung | |
Einführungsdatum: ... | Datum der letzten Änderung: ... | Datum der letzten Änderung: ... | |
1. | Verantwortliche Abteilung Ansprechpartner Telefonnummer E-Mail-Adresse | Personalabteilung ... (Name des Ansprechpartners) ... ...@...de | ... (Abteilung optional nennen) ... (Name des Ansprechpartners) ... ...@...de |
2. | Zwecke der Verarbeitung (optional: eingesetzte Verfahren) |
|
|
3. | Kategorien betroffener Personen |
|
|
3. | Kategorien von personenbezogenen Daten
Besondere Kategorien personenbezogener Daten |
| Stammdaten der Versicherungsnehmer und Interessenten:
Gesundheitsdaten |
4. | Kategorien von Empfängern |
|
|
5. | Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation |
Drittland/Organisation: ... (Name) Dokumentation geeigneter Garantien: ... |
Drittland/Organisation: ... (Name) Dokumentation geeigneter Garantien: ... |
6. | Löschfristen | Siehe Anlage: Löschkonzept | Siehe Anlage: Löschkonzept |
7. | TOM | Siehe Anlage: Konzept der technischen und organisatorischen Maßnahmen | Siehe Anlage: Konzept der technischen und organisatorischen Maßnahmen |
Verantwortlicher ... Datum ... Unterschrift ... |
Löschfristen bzw. Löschkonzept
Sie dürfen personenbezogene Daten nur so lange speichern, wie dies unbedingt erforderlich ist. Sie müssen die Daten z. B. löschen, wenn die betroffene Person es verlangt („Recht auf Vergessenwerden“).
PRAXISTIPPS |
|
Konzept der technischen und organisatorischen Maßnahmen
Sie müssen ‒ soweit möglich ‒ die technischen und organisatorischen Maßnahmen beschreiben, die Sie zum Schutz der personenbezogenen Daten in Ihrer Agentur ergreifen (Art. 32 DSGVO). Die TOM können Sie in einem separaten Dokument auflisten und als Anhang zum Verzeichnis nehmen. In der Auflistung sollten Sie (zumindest) folgende 4 Themen berücksichtigen:
- Technische und organisatorische Maßnahmen in der Agentur
1.
Vertraulichkeit (Art. 32 Abs. 1 Buchst. b DSGVO)
Zutrittskontrolle
- Elektronisches Zutrittskontrollsystem
- Schlüssel / Schlüsselvergabe
- Empfang mit Besucherregelungen
Zugangskontrolle (Netzwerk, Computer, Betriebssystem etc.)
- Passwörter (Verfahren für Vergabe, Auswahl, Wechsel)
- Sperrungen bei Fehlversuchen
- Verschlüsselung von Datenträgern, Festplatten, Sticks etc.
Zugriffskontrolle
- Berechtigungskonzept (Lese-, Schreib-, Löschrechte)
- Protokollierung von Veränderungen und Maßnahmen
Trennungskontrolle
Trennung sensibler Daten
Pseudonymisierung
Nach Art. 32 Abs. 1 Buchst. a und Art. 25 Abs. 1 DSGVO in Ausnahmefällen
2.
Integrität (Art. 32 Abs. 1 Buchst. b DSGVO)
Weitergabekontrolle
- Arten der Datenweitergabe
- Verschlüsselte Übertragung (SSL, TLS, IPSec etc.)
- Elektronische Signaturen
- Physische Transportsicherungen
Eingabekontrolle
Protokollierung von Veränderungen und Maßnahmen
3.
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 Buchst. b DSGVO)
Verfügbarkeitskontrolle
- Datenbackup und Sicherungskonzept
- Sicherung gegen Überspannung, unterbrochene Stromversorgung
- Trennung von Sicherungskopien
- Gespiegelte Datenträger (RAID-Verfahren)
- Virenschutz, Spamfilter, Firewall, Notfallpläne
- Brandschutz (Notfallkonzept, Brandschutztüren, Feuerlöscher, Sprinkleranlagen, Rauchmelder, Notrufsystem)
- Wasserschutz (dichte Aufbewahrung von Datenträgern, getrennte Aufbewahrung von Datenträgern)
Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 Buchst. c DSGVO)
- Datenbackup und Sicherungskonzept
- Getrennte Aufbewahrung von Datenträgern
- Gespiegelte Datenträger (RAID-Verfahren)
4.
Verfahren zur regelmäßigen Überprüfung, Bewertung, Evaluierung (Art. 32 Abs. 1 Buchst. d und Art. 25 Abs. 1)
Managementsysteme und Verfahren
- Datenschutz-Management
- Incident-Response-Management
- Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
- Auftragskontrolle
| ||
1. | Vertraulichkeit (Art. 32 Abs. 1 Buchst. b DSGVO) | |
Zutrittskontrolle |
| |
Zugangskontrolle (Netzwerk, Computer, Betriebssystem etc.) |
| |
Zugriffskontrolle |
| |
Trennungskontrolle | Trennung sensibler Daten | |
Pseudonymisierung | Nach Art. 32 Abs. 1 Buchst. a und Art. 25 Abs. 1 DSGVO in Ausnahmefällen | |
2. | Integrität (Art. 32 Abs. 1 Buchst. b DSGVO) | |
Weitergabekontrolle |
| |
Eingabekontrolle | Protokollierung von Veränderungen und Maßnahmen | |
3. | Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 Buchst. b DSGVO) | |
Verfügbarkeitskontrolle |
| |
Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 Buchst. c DSGVO) |
| |
4. | Verfahren zur regelmäßigen Überprüfung, Bewertung, Evaluierung (Art. 32 Abs. 1 Buchst. d und Art. 25 Abs. 1) | |
Managementsysteme und Verfahren |
|
Weiterführende Hinweise
- „Datenschutz: Verarbeitungsverzeichnis-Muster“ und „Datenschutz: Technische und organisatorische Maßnahmen in der Agentur (TOM)“ finden Sie als Word-Datei zur individuellen Bearbeitung auf wvv.iww.de → Abruf-Nrn. 45304702 und 45305025
- Beitrag „Stichtag 25.05.: So setzen Sie die Datenschutzgrundverordnung in Ihrer Agentur um“, WVV 5/2018, Seite 15 → Abruf-Nr. 45245792