Die Bedeutung der Datenschu... / 3 Dokumentationspflichten für Unternehmen

3.1 Verzeichnis von Verarbeitungstätigkeiten

Jeder Verantwortliche (früher "Verantwortliche Stelle") ist gem. Art. 30 Abs. 1 DSGVO zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet. Dieses Verzeichnis ist der zentrale Bestandteil der Datenschutzdokumentation und listet alle Verarbeitungen von personenbezogenen Daten im Unternehmen auf. Das Verzeichnis muss dabei die folgenden Angaben enthalten:

  • Name und Kontaktdaten des Verantwortlichen
  • Name und Kontaktdaten des Datenschutzbeauftragten
  • Zweck der Verarbeitung
  • Beschreibung der Kategorien betroffener Personen
  • Beschreibung der Kategorien personenbezogener Daten
  • Aufzählung der Empfänger der personenbezogenen Daten
  • Fristen für die Löschung der personenbezogenen Daten
  • allgemeine Beschreibung der technischen und organisatorischen Maßnahmen
 
Praxis-Tipp

Bestehende Verzeichnisse prüfen

Das Verzeichnis ist eines der zentralen Dokumente für die Datenschutzorganisation. Innerhalb dieses Verzeichnisses können auch weitere Dokumentationspflichten, wie etwa durchgeführte Risikoanalysen oder Datenschutz-Folgeabschätzungen erfüllt werden. Unternehmen sollten rechtzeitig bestehende Verzeichnisse auf Vollständigkeit und Aktualität prüfen. Zudem sollte ein Mechanismus im Unternehmen etabliert werden, damit das Verzeichnis stets auf dem aktuellen Stand ist. Im Bereich des Beschäftigtendatenschutzes ist hier allen voran an folgende Verarbeitungen zu denken, die in dem Verzeichnis der Verarbeitungen dokumentiert werden sollten:

  • Verwaltung der Personalakten
  • Arbeitszeiterfassung
  • Lohn- und Gehaltsabrechnung
  • Bewerbungsmanagement
  • Betriebliche Altersvorsorge

3.2 Verzeichnis über Tätigkeit als Auftragsverarbeiter

Die Verpflichtung zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten trifft nicht nur jeden Verantwortlichen, sondern auch alle Auftragsverarbeiter gem. Art. 28 DSGVO (früher "Auftragsdatenverarbeiter"). Jeder Auftragsverarbeiter muss gem. Art. 30 Abs. 2 DSGVO ein Verzeichnis der von ihm durchgeführten Verarbeitung führen, das mindestens die folgenden Angaben enthalten muss:

  • Name und Kontaktdaten des Verantwortlichen, für den der Auftragsverarbeiter tätig wird
  • Name und Kontaktdaten des Auftragsverarbeiters
  • Kategorien von Verarbeitungen, die im Auftrag durchgeführt werden
  • gegebenenfalls Übermittlungen von personenbezogenen Daten in Drittländer
  • falls möglich, eine allgemeine Beschreibung der getroffenen technischen und organisatorischen Maßnahmen
 
Praxis-Tipp

Zusammenfassung unterschiedlicher Vorgänge in einem Verzeichnis

Erbringt ein Unternehmen eine Vielzahl von gleichartigen Verarbeitungen für eine Vielzahl von Verantwortlichen, so können diese Verarbeitungen auch für das Verzeichnis zusammengefasst werden. Dies bietet sich vor allem für Letter Shops, Wartungsunternehmen oder externe Lohnbuchhalter an.

3.3 Dokumentation der Datenschutzprozesse

Um der in Art. 5 Abs. 2 DSGVO genannten Rechenschaftspflicht nachkommen zu können, bedarf es eines umfangreichen Datenschutzkonzeptes bzw. einer unternehmensweiten Datenschutz-Policy. Darin sollte grundsätzlich geregelt werden, wie die Datenschutzorganisation im Unternehmen aufgebaut ist, welche Personen für welche Bereiche verantwortlich sind, welche Schutzmaßnahmen bei der Verarbeitung von personenbezogenen Daten getroffen werden, wie mit Betroffenenrechten umgegangen wird, wie das Löschen von personenbezogenen Daten gewährleistet wird und wie mit Datenpannen im Unternehmen umgegangen wird.

 
Praxis-Tipp

Mitarbeiter schulen

Die reine Erstellung eines Konzepts oder einer Policy ist nicht ausreichend. Mindestens genauso wichtig ist es, alle Mitarbeiter dahingehend zu schulen, dass die Inhalte des Konzeptes auch von allen Beschäftigten im Unternehmen eingehalten werden.

3.4 Risikoanalyse

Bei jeder Verarbeitung von personenbezogenen Daten ist eine Bewertung hinsichtlich des Risikos für die Rechte und Freiheiten natürlicher Personen durchzuführen und zu dokumentieren.

Für die Risikobewertung muss in einem ersten Schritt der drohende Schaden für die Rechte und Freiheiten natürlicher Personen (hier z. B.: Arbeitnehmer und Bewerber) klassifiziert werden. Anschließend ist eine Prognose hinsichtlich der Eintrittswahrscheinlichkeit einer Rechtsverletzung zu erstellen. Abschließend muss basierend auf den Ergebnissen der vorangegangenen Schritte analysiert werden, ob die Verarbeitung ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt.

3.5 Datenschutz-Folgeabschätzung

Soweit eine Risikoanalyse einer Datenverarbeitung zum Ergebnis hat, dass die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bedeutet, ist eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) durchzuführen und zu dokumentieren. Die Folgeabschätzung muss dabei Folgendes beinhalten:

  • Systematische Beschreibung der Verarbeitungsvorgänge
  • Zweck der Verarbeitung
  • Mit der Verarbeitung verfolgte Interessen
  • Bewertung der Notwendigkeit und Verhältnismäßigkeit
  • Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen
  • Getroffene und geplante Abhilfemaßnahmen, durch die der Schutz der personenbezogenen Daten sichergestellt wird

Darüber hinaus muss eine Datenschutz-Folgeabschätzung auch in den...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Personal Office Platin. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Personal Office Platin 30 Minuten lang und lesen Sie den gesamten Inhalt.


Meistgelesene beiträge