1 8 Table of Contents 10 44

MIDRANGE 01/2018

9 01/2018 · MIDRANGE MAGAZIN tungen nicht nur gelegentlich, wie zum Beispiel bei den Beschäftigtendaten, er- folgen. Auch dürfen keine besonderen Datenkategorien gemäß Art. 9 Abs. 1, wie zum Beispiel Religionsdaten, Ge- sundheitsdaten oder strafrechtliche Verurteilungen, verarbeitet werden. Trifft nur einer der genannten Fälle zu, besteht die Pflicht zur Führung des Ver- zeichnisses. Es empfiehlt sich, von dieser Aus- nahme keinen Gebrauch zu machen, da das Verzeichnis als zentrale Übersicht der Datenverarbeitung hilfreich ist. Die Dokumentation kann auch als Ausgangspunkt für die Datenschutz- folgenabschätzung und die Nachweis- pflichten im Sinne der Accountability dienen und ist grundsätzlich schrift- lich zu führen. Eine elektronische Verarbeitung ist nur zulässig, sofern der Aufsichtsbehörde auf Anforderung die Ausdrucke zur Verfügung gestellt werden können. Internationale Unter- nehmen dürften vielfach alle Doku- mentationen in Englisch verfügbar ha- ben, doch sind sie auf Anforderung der Aufsichtsbehörde auch in Deutsch zur Verfügung zu stellen. Die Dokumentationen müssen wesentliche Angaben, wie zum Bei- spiel den Zweck der Verarbeitung, die Beschreibung der Kategorien der personenbezogenen Daten sowie die betroffenen Personen und Empfänger, beinhalten. Unternehmen, die bereits in der Vergangenheit ihre Verfahrens- dokumentationen aktuell und vollstän- dig hatten, werden mit der Umstellung kaum Probleme haben. Lediglich bei Verfahren mit besonderem Risiko ist gegebenenfalls eine Datenschutzfol- genabschätzung durchzuführen. Das Verzeichnis ist Teil der Rechen- schaftspflicht, mit der Unternehmen die in der DS-GVO erforderlichen Do- kumentationsverpflichtungen erfüllen. Dies betrifft aber nur die normierten Rechenschaftspflichten aus Art. 5 Abs. 2. Verstöße durch ein fehlendes oder nicht vollständig geführtes Ver- zeichnis oder die Nchtvorlage nach Aufforderung durch die zuständige Aufsichtsbehörde können mit einer Geldbuße sanktioniert werden. Nach Art. 38 Abs. 4 kann diese bis zu zehn Millionen Euro oder zwei Prozent vom Umsatz betragen. Diese Rechtsfolge dürfte durchaus ein Grund sein, die Verfahrensdokumentation vollständig und aktuell zu halten. Erste Muster, wie eine Verfahrens- dokumentation nach DS-GVO ausse- hen kann, finden Sie bei den nachfol- genden Links. Weitere Muster werden sicher in Kürze verfügbar sein. Auch spezielle Software für den Daten- schutzbeauftragten kann bei der Er- stellung und Dokumentation hilfreich sein. ó www.bvdnet.de/wp-content/up- loads/2017/06/Muster_Verz_der_ Verarbeitungst%C3%A4tigkeiten_ Verantwortlicher.pdf ó www.bvdnet.de/wp-content/up- loads/2017/06/Muster_Verz_der_ Verarbeitungst%C3%A4tigkeiten_ Auftragsverarbeiter.pdf ó www.bvdnet.de/wp-content/up- loads/2017/06/Muster_Verz_der_ Verarbeitungst%C3%A4tigkeiten_ TOMs.pdf Eine umfangreiche Dokumentation zum Thema findet sich auch bei bitkom unter: www.bitkom.org/NP-Themen/ NP-Vertrauen-Sicherheit/Datenschutz/ FirstSpirit-1496129138918170529-LF- Verarbeitungsverzeichnis-online.pdf ó Dieser Artikel ist Resultat einer Zusam- menarbeit der Raz-Lee Security GmbH und dem Datenschutzbeauftragten Jürgen Hartz. Raz-Lee Security ist führender internationa- ler Anbieter von Sicherheits‑, Auditing- und Compliance (SOX, PCI, HIPAA etc.)-Lösungen für die IBM i. Zu Raz-Lee-Kunden zählen Un- ternehmen aller Größen, von KMUs bis zu Unternehmen mit Hunderten von Systemen, in allen vertikalen Märkten und Branchen. Fi- nanzinstitute wie Banken und Versicherungen sind besonders zahlreich unter der Raz-Lee- Klientel vertreten. ZUM UNTERNEHMEN www.razlee.de ist als externer Datenschutzbeauftragter für verschiedene mittelständige Unternehmen bestellt. Er war viele Jahre im Kundendienst in leitenden Funktionen bei internationalen Unternehmen tätig. Zuletzt über 10 Jahre Al- leingesellschafter und Geschäftsführer eines Kundendienstunternehmens für Consumer- elektronik mit über 120 Mitarbeitern. Seit 2005 berät er Unternehmen in den Fra- gen des Datenschutzes. Betriebliche Belan- ge und Anforderungen mit den gesetzlichen Vorschriften in Einklang zu bringen, ist die besondere Herausforderung dieser Aufgabe. Dabei kommt ihm die eigene unternehmeri- sche Tätigkeit der vergangen Jahre zugute. Als Referent und Moderator ist er bei zahl- reichen Datenschutzveranstaltungen aktiv. Er ist stellv. Vorstandvorsitzender des BvD e.V. (Berufsverband der Datenschutzbeauftrag- ten) und in verschieden Gremien tätig. Jür- gen Hartz ist per E‑Mail über info@jhartz.de erreichbar. JÜRGEN HARTZ Quelle: Ingo Bartussek – Fotolia.com

RkJQdWJsaXNoZXIy NDM3NDQ=