Schlagwort: Verfahrensverzeichnis

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Dürfen die Daten der Mitarbeiter noch verarbeitet werden oder benötige ich ein Einwilligung, damit diese als Beschäftigte angemeldet werden dürfen? Wann wird zwingend eine Einwilligung benötigt und wann nicht? Das DSK-Papier beantwortet diese Fragen.

Rechtsgrundlage § 26 BDSG-neu

  • § 26 BDSG-neu gilt nicht für Beschäftigte bei Behörden, Kommunen und öffentlichen Stellen

Begriff „Beschäftigte“

  • Definition: § 26 Abs. 8 BDSG-neu
  • Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher;
  • Auszubildende;
  • Rehabilitanden;
  • Freiwillige nach dem Jugendfreiwilligendienstegesetz/Bundesfreiwilligendienstgesetz;
  • wirtschaftlich unselbstständige Personen;
  • Beamtinnen und Beamte des Bundes, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende

Inhalt § 26 BDSG-neu

Datenverarbeitung zum Zweck des Beschäftigungsverhältnisses

  • Personenbezogene Daten dürfen von Beschäftigten dürfen nur für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, sofern es für die Begründung, Durchführung oder Beendigung erforderlich ist
  • Die Verarbeitung ist auch aufgrund von Kollektivvereinbarungen (Tarifverträge, Betriebs- und Dienstvereinbarungen) zulässig (§ 26 Abs. 1 und 4 BDSG)
  • Es dürfen auch die Daten der Beschäftigten sofern es für die Rechte und Pflichten für die Beschäftigtenvertretung erforderlich ist unabhängig von Gesetzen, Verträgen, Vereinbarungen (§ 26 Abs. 1 Satz 1 HS 2 BDSG-neu)

Einwilligung

  • Keine Einwilligung für die Verarbeitung der Daten für das Beschäftigungsverhältnis nötig
  • Mitarbeiter können jedoch in eine Datenverarbeitung einwilligen, wenn diese einen rechtlichen oder wirtschaftlichen Vorteil erlangen
  • Dies ist auch möglich, wenn die Interessen zwischen Arbeitgeber und Beschäftigte übereinstimmen

Echte Freiwilligkeit des Beschäftigten?

  • Es wird die die Auffassung vertreten, dass eine Einwilligung der Mitarbeiter durch das Abhängigkeitsverhältnis zum Arbeitgeber nie vollständig unabhängig unterzeichnet wird
  • Die Einwilligung wird deshalb nicht direkt das Arbeitsverhältnis sondern eher Zusatzleistungen (Privatnutzung von Dienstfahrzeugen und EDV-Geräten, Einführung Gesundheitsmanagement, Aufnahme in Geburtstagslisten) betreffen

Anmerkung der Datenbeschützerin

Auch die Veröffentlichung von Mitarbeiterfotos (intern oder extern) bedürfen einer Einwilligung.

Besondere Kategorien personenbezogener Daten

  • Besondere Datenkategorien dürfen nur unter den Voraussetzungen des § 26 Abs. 3 BDSG-neu verarbeitet werden
  • Auch eine Einwilligung für die Verarbeitung der besonderen Datenkategorien ist möglich, sofern sich die Einwilligung ausdrücklich auf diese Daten beruft
  • Es müssen besondere Maßnahmen bei der Verarbeitung getroffen werden (§ 26 Abs. 5 BDSG-neu i.V.m. Art. 5 DSGVO)

Verarbeitung außerhalb von Dateisystemen

  • § 26 BDSG-neu gilt auch für die Verarbeitung außerhalb von Dateisystemen (§ 26 Abs. 7 BDSG-neu)
  • Somit fallen Papierdokumente, mündliche oder tatsächliche Handlungen (z.B. handschriftliche Notizen) unter die datenschutzrechtliche Bestimmungen

Ist die DSGVO überhaupt anwendbar?

  • Die Reichweite des § 26 BDSG-neu ist im Einzelfall zu prüfen
  • Des Weiteren ist Art. 88 DSGVO und § 24 BDSG zu berücksichtigen
  • Es muss jedoch ein Zusammenhang zwischen der Datenverarbeitung und Verwendungszwecken bestehen (Art. 6 Abs. 4 und 1 lit. f DSGVO)
  • Eine Verwendung zu anderen Zwecken (z.B. Verkauf an Dritte zu Werbezwecke) bleibt ausgeschlossen

Welche Folgen resultieren bei Nichtbeachtung des § 26 BDSG-neu?

Es kann ein Bußgeld (Art. 83 Abs. 5 lit. b DSGVO) verhängt werden. Es können auch strafrechtliche Folgen nach § 42 BDSG-neu drohen.

Anmerkung der Datenbeschützerin

Grundsätzlich sind alle Verarbeitungstätigkeiten in Bezug auf das Beschäftigungsverhältnis und freiwillige Einwilligungen in das Verfahrensverzeichnis aufzunehmen. Des Weiteren sind die Mitarbeiter über die Verarbeitungstätigkeiten zu informieren.

Freiwillige Einwilligungen sollten durch einen Vermerk (z.B. in der Personalakte) oder durch ein Formular schriftlich festgehalten werden.

DSK-Kurzpapier Nr. 14

Quelle

Konferenz der unabhängigen Datenschutzbehörden
des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_14.pdf

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Vor der DSGVO gab es zwar auch schon die Auftragsverarbeitung. Allerdings wurden mit der DSGVO die Auftragsverarbeiter mit mehr Rechten und Pflichten ausgestattet. Was das für die Auftragsverarbeiter bedeutet, wird in diesem DSK-Papier erläutert.

Was bedeutet Auftragsverarbeiter?

  • Eine Stelle verarbeitet im Auftrag des Verantwortlichen personenbezogene Daten

Neue Pflichten und Verantwortlichkeiten des Auftragsverabeiters

  • Gesamtverantwortung der Verarbeitung umfasst auch die Verarbeitung durch den Auftragsverarbeiter – keine Befreiung der Nachweispflicht durch Beauftragung eines Auftragsverarbeiters
  • Bei Verstoß gegen die Weisung des Auftraggebers (Verarbeitung der Daten zu eigenen Zwecken oder Zwecke Dritter) haftet der Auftragnehmer als eigener Verantwortlicher
  • Folge: Schadenersatz gegenüber den betroffenen Personen
  • Führen eines Verfahrensverzeichnisses, welches bei Anfrage der Aufsichtsbehörde vorzulegen ist
  • unverzügliche Meldung an den Auftraggeber bei Datenschutzverletzungen

Der Auftragsverarbeitungsvertrag

  • Rechtsgrundlage: Art. 28 DSGVO
  • Dieser kann schriftlich oder elektronisch abgeschlossen werden
  • Es können darin individuelle Regelungen getroffen werden oder von der Aufsichtsbehörde Standardklauseln verwendet werden
  • In diesem ist der Einsatz von Subunternehmern zu regeln und
  • Die Vorgaben des Art. 32 DSGVO (TOMs) zu beachten
  • Auftragsverarbeiter hat die Einhaltung des Datenschutzes nachzuweisen z.B. durch genehmigte Verhaltensregeln oder Zertifizierungen

Anmerkung der Datenbeschützerin

Mustervorlagen für einen Auftragsverarbeitungsvertrag werden beispielsweise von der GDD oder Bitkom zur Verfügung gestellt.

Wie sieht es mit Subunternehmern aus?

  • Werden weitere Auftragsverarbeiter (Subunternehmer) seitens des Auftragnehmers eingesetzt, ist die Genehmigung des Auftraggeber einzuholen
  • Bei Änderungen von Subunternehmern reicht eine Information an den Auftraggeber – dieser kann jedoch noch Widerspruch gegen die beabsichtigte Änderung einlegen
  • Zwischen Subunternehmer und Auftragsverarbeiter ist ebenfalls ein Auftragsverarbeitungsvertrag zu schließen

Anmerkung der Datenbeschützerin

Nachfolgende Grafik erläutert die Abfolge und Vertragsverhältnisse zwischen Auftraggeber – Auftragnehmer und Subunternehmer.

Auftraggeber Auftragnehmer Subunternehmer
Vertragsverhältnisse zwischen Auftraggeber – Auftragnehmer und Subunternehmer

Wartung und Fernzugriffe

  • Bei Fernwartung oder IT-Wartung besteht die Möglichkeit Zugriff und Einsicht auf personenbezogene Daten zu erlangen
  • Daher handelt es sich dabei um eine Verarbeitung (Auslesen, Abfragen, Verwenden) und somit um eine Auftragsverarbeitung

Technische Wartungen der IT-Infrastruktur

  • Rein technischen Wartungen (Arbeiten an Stromzufuhr, Kühlung, Heizung) unterliegen keiner Auftragsverarbeitung

Mit welchen Folgen ist bei Verstößen zu rechnen?

  • Es kann ein Bußgeld (Art. 83 Abs. 4, 5 und 6 DSGVO) verhängt werden.
  • Die Sanktionen können den Verantwortlichen und auch den Auftragsverarbeiter betreffen.

Wer ist Auftragsverarbeiter?

Im DSK-Papier ist als Anhang eine Auflistung über Auftragsverarbeiter beigefügt.

Eine Abgrenzung für Auftragsverarbeiter veröffentlichte das BayLDA.

Hinweis der Datenbeschützerin

Weitere Informationen um das Thema die Auftragsverarbeitung finden Sie im Blogbeitrag „Wann handelt es sich um einen Auftragsverarbeiter?

DSK-Kurzpapier Nr. 13

Quelle

Konferenz der unabhängigen Datenschutzbehörden
des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_13.pdf

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Wie kann ein Unternehmen die DSGVO umsetzten? Das DSK-Papier gibt hier Antworten auf die Vorgehensweise bei der Umsetzung der DSGVO.

Wer ist für die Umsetzung der DSGVO zuständig?

  • Der Entscheidungsträger z.B. Geschäftsführer
  • Entscheidungsträger = Verantwortlicher

Wie kann die DSGVO umgesetzt werden?

Die Umsetzung kann als Projekt angesehen werden, da verschiedene Abteilungen und Bereiche ineinandergreifen und zusammenarbeiten.

Bestandsaufnahme (Ist-Stand)

  • Prüfung der aktuellen Prozesse in denen personenbezogene Daten verarbeitet werden
  • Zuordnung der zugehörigen Rechtsgrundlage (Vertrag, gesetzliche Vorgabe, berechtigtes Interesse, Einwilligung)
  • Prüfung der aktuellen Datenschutzorganisation (wer ist zuständig, welche Maßnahmen wurden getroffen)
  • Welche Dienstleister werden eingesetzt?
  • Prüfung der bereits vorhandenen Dokumentation oder Vereinbarungen (z.B. Verfahrensverzeichnis, Datenschutzkonzepte, IT-Sicherheitskonzepte)

Ermittlung des Handlungsbedarfs (Soll-Stand)

Sofern der Handlungsbedarf ermittelt wurde, kann eine Analyse zwischen Ist- und Soll-Stand durchgeführt werden.

Vor allem sind folgende Punkte vor dem Hintergrund der DSGVO zu beachten:

Rechtsgrundlagen

  • Prüfung, ob eine Rechtsgrundlage für die Verarbeitung definiert werden kann (Vertrag, berechtigtes Interesse, gesetzliche Forderung, Einwilligung)
  • Prüfung, ob die Einwilligungen den Anforderungen des Art. 7 bzw. des Art. 8 DSGVO erfüllt

Betroffenenrechte

  • Beachtung der zustehenden Betroffenenrechte
  • Z.B. Informationspflichten, Recht auf Auskunft, Berichtigung, Löschung, Einschränkung etc.

Datenschutz durch Technikgestaltung

  • Beachtung der Vorgaben seitens der DSGVO nach Art. 25 DSGVO
  • Anforderungen bei der Prozessgestaltung mit einbinden

Dienstleistungsbeziehungen (Auftragsverarbeiter)

  • Prüfung der vorhandenen Auftragsverarbeitungsverträge

Anmerkung der Datenbeschützerin

Auftragsverarbeitungsverträge, die vor der DSGVO geschlossen wurden, sind nicht mehr gültig. Daher ist die Anforderung eines neuen Vertrags nötig.

Dokumentationspflichten

  • Mit der Dokumentation kann der Verantwortliche seine Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachweisen
  • Dokumentation nach der DSGVO sind z.B. Verfahrensverzeichnis, Aufzeichnung von Datenschutzvorfällen, Auftragsverarbeitungsverträge

Datenschutz-Folgeabschätzungen (DSFA)

  • Die DSFA erfordert eine umfangreiche Dokumentation
  • Kann auch eine Konsultation mit der Aufsichtsbehörde nach sich ziehen

Meldepflichten

  • Meldung des Datenschutzbeauftragten bei der zuständigen Aufsichtsbehörde
  • Meldung von Datenpannen bei der zuständigen Aufsichtsbehörde

Datensicherheit

  • Definition eines angemessenen Schutzniveaus
  • regelmäßige Prüfung der Sicherungsmaßnahmen

Zertifizierung

  • Im Rahmen eines Zertifizierungsverfahren kann der Nachweis über die Einhaltung der DSGVO erfolgen

Hinweis der Datenbeschützerin

Folgende Vorgehensweise wird seitens der Datenbeschützerin vorgenommen. Dabei handelt es sich um eine grobe Beschreibung, um die DSGVO umzusetzen.

  1. Erstellung des Verfahrensverzeichnisses mit einer Risikoanalyse (Ist-Stand) sowie Aufnahme der aktuellen TOMs, Prüfung der Internetseite
  2. Anfertigung eins Managementberichts mit den identifizierten Risiken und Handlungsempfehlungen (Soll-Stand)
  3. Erstellung der Informationspflichten für die Kunden/Geschäftspartner und Mitarbeiter
  4. Einholung und Prüfung von Auftragsverarbeitungsverträgen
  5. Vermittlung von Prozessbeschreibungen zu Datenschutzvorfällen und Betroffenenrechten
  6. Planung und Durchführung von Mitarbeiterschulungen
  7. Jährliche Überprüfung / Audits

DSK-Kurzpapier Nr. 8

Quelle

Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_8.pdf

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Die DSK hat ein Kurzpapier über das Verfahrensverzeichnis herausgegeben. Hier werden die Fragen geklärt, wer ein Verfahrensverzeichnis erstellen muss, was diese zu beinhalten hat und warum dieses überhaupt zu erstellen ist.

Wer muss ein Verfahrensverzeichnis erstellen?

  • Verantwortliche / Auftragsverarbeiter (z.B. Geschäftsführer)
  • Unternehmen mit mehr als 250 Mitarbeiter
  • AUSNAHME des oben genannten Schwellenwert, wenn
  1. ein Risiko für die Rechte und Freiheiten für die betroffenen Person besteht (z.B. in Fällen von Scoring und Überwachungsmaßnahmen) ODER
  2. die Datenverarbeitung NICHT regelmäßig erfolgt ODER
  3. besondere Datenkategorien nach Art. 9 DSGVO (Gesundheitsdaten, etc.) verarbeitet werden

Trifft eine der genannten Ausnahmekategorien zu, ist der Verantwortliche ebenfalls zur Führung eines Verfahrensverzeichnisses verpflichtet.

Anmerkung der Datenbeschützerin

Schlussfolgernd aus den oben genannten Punkten ist daraus zu schließen, dass viele Unternehmen / Organisationen / Vereine zur Erstellung eines Verfahrensverzeichnis verpflichtet sind. Sofern Mitarbeiter eingestellt werden, ist eine regelmäßige Datenverarbeitung unumgänglich.

Muss das Verfahrensverzeichnis öffentlich zugänglich sein?

  • Nein, das war im BDSG-alt gefordert
  • Des Weiteren ist das Verfahrensverzeichnis auch nicht mehr der Aufsichtsbehörde zu melden
  • Das Verfahrensverzeichnis es jedoch auf Verlangen der Aufsichtsbehörde offenzulegen

Hinweise der Datenbeschützerin

Dieser Punkt ist dem Verantwortlichen unbedingt mitzuteilen. Möchten Kunden / Geschäftspartner Einsicht in das Verfahrensverzeichnis haben, ist diese zu verneinen und auf die Informationspflichten zu verweisen.

Welche Inhalte müssen in das Verfahrensverzeichnis?

  • Rechtsgrundlage: Art. 30 DSGVO
  • Zwecke der Verarbeitung
  • Betroffene Personen (z.B. Kunden / Geschäftspartner / Mitarbeiter)
  • Datenkategorien der betroffenen Personen (z.B. Name, Adresse, Telefonnummer etc.)
  • Empfänger (intern / extern) der Daten (z.B. interne Mitarbeiter, Steuerberater etc.)
  • Beschreibung der technischen und organisatorischen Maßnahmen

Hinweise der Datenbeschützerin

Weitere Angaben sind nach Art. 30 DSGVO noch erforderlich (diese wurden im Papier nicht genannt):

  • Namen und Kontaktdaten des Verantwortlichen/gemeinsamen Verantwortlichen sowie des Vertreters
  • Kontaktdaten des Datenschutzbeauftragten (wenn vorhanden)
  • Übermittlung der Daten in ein Drittland oder internationale Organisations mit Beschreibung der Schutzmaßnahmen (besondere Bedingung nach Art. 44 ff.)
  • Löschfristen (wenn möglich)

Was passiert, wenn kein Verfahrensverzeichnis erstellt wird?

  • Es kann ein Bußgeld nach Art. 83 Abs. 4 lit. a DSGVO durch die Aufsichtsbehörde erlassen werden

Anmerkung der Datenbeschützerin

In Deutschland wurde noch kein Bußgeld aufgrund eines fehlenden bzw. fehlerhaften Verfahrensverzeichnisses bekannt.

Warum muss ein Verfahrensverzeichnis erstellt werden?

  • Das Verfahrensverzeichnis ist nur ein Teilbereich des Datenschutzmanamgents
  • Mit der Erstellung und Pflege des Verfahrensverzeichnisses kommt der Verantwortliche seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nach

Weitere Dokumentation für das Datenschutzmanamgent

  • Vorliegen und Nachweis von Einwilligungen
  • Prüfung der ordnungsgemäßen Datenverarbeitung
  • Ergebnis der Datenschutz-Folgeabschätzung

Anmerkungen der Datenbeschützerin

Weitere Informationen zum Verfahrensverzeichnis finden Sie in unserem Blogartikel: Datenschutz Verfahrensverzeichnis mit Muster.

DSK-Kurzpapier Nr. 1

Quelle

Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_1.pdf

Heutzutage ist es nicht unüblich, dass eine Bonitätsprüfung vor Abschluss eines Vertrages durchgeführt wird.

Wann eine Einwilligung benötigt wird oder sich auf das berechtigte Interesse gestützt werden kann, wird nachfolgend erläutert.

Einwilligung

Grundsätzlich ist immer eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO der Betroffenen für eine Bonitätsprüfung nötig.

Insbesondere wenn

  • Vorkasse
  • Überweisung
  • SEPA-Lastschrift

angeboten wird, ist eine Einwilligung unumgänglich.

Berechtigtes Interesse

Das berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO liegt vor, wenn der Verantwortliche ein Risiko für Zahlungsausfälle sieht. Beim Vorliegen eines berechtigten Interesses ist keine Einwilligung von Nöten. Es ist immer abhängig davon, ob der Verantwortliche/Geschäftsführer in Vorleistung tritt.

Eine Bonitätsprüfung kann vor allem bei

  • Kauf auf Rechnung

durch das berechtigte Interesse gerechtfertigt sein.

Aufbewahrung Bonitiätsergebnis

Es gibt keine gesetzliche Aufbewahrungspflicht für das Ergebnis der Bonitätsabfrage.

Empfehlung der Datenbeschützerin

Eine Aufbewahrung von 1 – 2 Jahren ist empfehlenswert.

Aufnahme in das Verfahrensverzeichnis

Bei Durchführung der Bonitätsprüfung ist Verfahren in das Verfahrensverzeichnis mit aufzunehmen.

Weitere Informationen zum Thema Verfahrensverzeichnis finden Sie in unserem Blogartikel.

Informationen an die Betroffenen

Die Betroffenen sind über die Bonitätsprüfung mittels der Informationspflicht zu informieren.

Informationen zum Thema der Informationspflicht können Sie in unserem Blogartikel nachlesen.