Zulässigkeit der Verarbeitung
Vereinfacht lässt sich als Grundsatz herausstreichen, dass „die Verarbeitung personenbezogener Daten grundsätzlich verboten ist“, soweit DSGVO bzw DSG nicht ausdrücklich Ausnahmen von dieser Regel enthält. Im Zusammenhang mit der Zulässigkeit der Verarbeitung personenbezogener Daten unterscheidet die DSGVO hier in die besonderen Kategorien personenbezogener Daten (vormals „sensiblen Daten“) und alle übrigen personenbezogenen Daten. Die Zulässigkeit der Verarbeitung von personenbezogenen Daten beider Kategorien wird in der DSGVO ausführlich erläutert. Die Anwendung dieser Bestimmungen in der Praxis erfordert jedoch mitunter viel Erfahrung und Kenntnisse der spezifischen Judikatur und Literatur.
Datenschutz Schichtenmodell ( © O.P.P. )
Verzeichnis der Verarbeitungstätigkeiten (Artikel 30 DSGVO):
Jeder Verantwortliche muss ein Verzeichnis aller Verarbeitungstätigkeiten führen, die seiner Zuständigkeit unterliegen.
Dieses Verzeichnis enthält sämtliche folgenden Angaben:
a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
b) die Zwecke der Verarbeitung;
c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
e) Übermittlungen von personenbezogenen Daten an ein Drittland, einschließlich der Angabe des betreffenden Drittlands, Dokumentierung geeigneter Garantien;
f) Fristen für die Löschung der verschiedenen Datenkategorien;
g) eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen
Jeder Auftragsverarbeiter (vormals Dienstleister) muss ein Verzeichnis führen […], das Folgendes enthält: a) den Namen und die Kontaktdaten der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist und eines etwaigen Datenschutzbeauftragten; b) die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden; c) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland und die Dokumentierung geeigneter Garantien; d) allgemeine Beschreibung der technischen und organisatorischen Maßnahmen Das Verzeichnis ist schriftlich zu führen (auch elektronisch)
Das Verzeichnis ist der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
Diese Pflichten gelten nicht für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien bzw. Daten über strafrechtliche Verurteilungen und Straftaten einschließt. Bezugspunkt ist die jeweilige Datenanwendung. Alle Grundfunktionen des Unternehmens (z.B. FiBu; Personalakten; Kundendatenbank) erfolgen nicht nur gelegentlich und müssen daher in einem Verzeichnis geführt werden!
Unsere Leistungen zum Thema Datenschutz
Information
Wir informieren Verantwortliche zu rechtlichen und fachlichen Themen des Datenschutzes, auf Basis bestehender gesetzlicher Bestimmungen. Hierbei werden die gesetzlichen Begriffe im praktischen Kontext erläutert, sowie grundsätzliche Fragen im Zusammenhang mit der Verarbeitung personenbezogener Daten beantwortet. Rechtsfolgen bei Gesetzesverstößen, insbesondere Haftung der Geschäftsführung bzw. der Fachverantwortlichen Erläuterung bevorstehender gesetzlicher Bestimmungen.
Analyse
- Systematische Analyse aller Datenanwendungen einer Organisation in Bezug auf datenschutzrechtliche Relevanz.
- Zulässigkeit der Verarbeitung
- Einhaltung von Dokumentations- und eventuellen behördlichen Genehmigungs- bzw Konsultationspflichten
- Datensicherheitsmaßnahmen (technisch/organisatorisch)
- Aktueller Handlungsbedarf (Risiko)
Beratung
- Organisatorische Maßnahmen zum Datenschutz
- Bewusstseinsbildende Maßnahmen
- Verzeichnisse der Verarbeitungstätigkeiten
- Prozesse zum Schutz der Betroffenenrechte (Auskunft, Löschung, etc)
- Unterstützung bei der Bewältigung von Datenpannen (data breach)
- Auftragsverarbeitervereinbarungen, Betriebsvereinbarungen, Verpflichtung auf das Datengeheimnis (in Verbindung mit allgemeinem Geheimnisschutz), etc
- Wir stellen, auf Wunsch, auch den externen Datenschutzbeauftragten
Ausbildung
Wir bilden Datenschutzbeauftragte aus und bereiten diese zur CIS-Prüfung vor. Die Prüfung kann sowohl im Rahmen der Ausbildung abgelegt werden, als auch auf Wunsch direkt bei CIS.
Projektvorgehen
- Analyse der bestehenden Meldungen auf Aktualität und Richtigkeit
- Strukturierte Erfassung aller Datenanwendungen (IKT oder Papier)
- Kategorisierung der verarbeiteten Daten in Bezug auf DSGVO / DSG / Whitelist bzw Blacklist
- Sicherstellung der rechtlichen Voraussetzungen (z.B. Zustimmungserklärungen, Betriebsvereinbarungen, Auftragsverarbeitervereinbarungen)
- Ermittlung von Dokumentations- und eventuellen behördlichen Genehmigungs- bzw Konsultationspflichten
- Unterstützung bei der Kommunikation mit der Behörde
- Unterstützung bei der Umsetzung erforderlichen Datensicherheitsmaßnahmen (TOM’s)