Das Datenschutzmanagementsystem mit seinen einzelnen Bausteinen ist das zentrale Dokumentensystem in Ihrer Datenschutzorganisation. Wir empfehlen folgende Inhalte:
- Datenschutzbeauftragter (sofern benannt)
- Datenschutzkonzeption
- Datenschutzorganisation in Ihrem Unternehmen
- Verantwortlichkeit der Datenverarbeitung
- Verzeichnis der Verarbeitungstätigkeiten
- Datenschutzfolgeabschätzungen
- Verzeichnis der Auftragsverarbeiter / Dienstleister
- Datenschutzschulungskonzept
- Prozess zur Wahrung von Betroffenenrechten (incl. Löschkonzept)
- Nachweis der Datensicherheit (technische und organisatorische Maßnahmen)
- IT-Inventarisierung
Alle Punkte sich wichtig und Sie sollten bei Anfragen der Datenschutzbehörden diese Unterlagen vorweisen können! Leider hilft es nichts, sich erst bei Anfragen mit dem Thema zu befassen, da die Erstellung des Datenschutzmanagementsystem einige Zeit in Anspruch nimmt und Sie die gesetzten Fristen mit hoher Wahrscheinlichkeit nicht einhalten können.
Beispielhaft finden Sie nachstehend Details der Inhalte eines Verzeichnisses der Verarbeitungstätigkeiten:
Wer muss ein Verarbeitungsverzeichnis führen? Gem. Art. 30 Abs. 5 EU-DSGVO ist diese Pflicht zwar beschränkt auf Unternehmen mit einer Größe ab 250 Mitarbeitern oder mit einem besonderem Risiko bei der Verarbeitung oder mit Verarbeitung von sensiblen Daten (Art. 9 und 10 EU-DSGVO) oder einer nicht nur gelegentlichen Verarbeitung. Dies dürfte nicht zuletzt wegen des letzten Passus "einer nicht nur gelegentlichen Verarbeitung" alle betreffen. Dabei wird das Verarbeitungsverzeichnis zum zentralen Bestandteil der Dokumentation unabhängig davon, ob ein DSB benannt werden muss, oder nicht.
Die Inhalte des Verarbeitungsverzeichnisses für Verantwortliche ergeben sich aus Art. 30 Abs. 1 DS-GVO und umfassen u.a.:
- den Namen und die Kontaktdaten des Verantwortlichen
- ggf. des gemeinsam mit ihm Verantwortlichen
- ggf. des Vertreters in der EU
- ggf. des Datenschutzbeauftragten beim Verantwortlichen
- die Zwecke der Verarbeitung
- die Kategorien betroffener Personen
- die Kategorien personenbezogener Daten
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation
- einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation
- bei den in Art. 49 Abs. 1 UAbs. 2 EU-DSGVO genannten Datenübermittlungen die Dokumentierung geeigneter Garantien
- die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
- eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gem. Art. 32 Abs. 1 EU-DSGVO
Es können ggf. weitere Informationen im Verarbeitungsverzeichnis vermerkt werden, jedoch ist auch hier der Grundsatz der Datensparsamkeit zu beachten. Das Verarbeitungsverzeichnis verlässt ggf. Ihr Unternehmen in Richtung Aufsichtsbehörde. Es sollte also so viel wie nötig und so wenig wie möglich beinhalten.
Sie wissen nicht, wie Sie Ihr Datenschutzmanagementsystem erstellen sollen?
Fragen Sie uns.
Hinweis: wir bieten keine Rechtsberatung an!
Gratis EBook
Bestellen Sie hier unser EBook zum Thema DSGVO für Versicherungsmakler über den Makler-Nachfolger-Club e.V. gratis!