THE SAFER SERVICE
FOR YOUR SECRETS
EXTERNE
DATENSCHUTZ-
BEAUFTRAGUNG
EXTERNE
DATENSCHUTZBEAUFTRAGUNG
Sie haben wenig Zeit für das Thema Datenschutz?
Mit einem externen Datenschutzbeauftragten sind Sie auf der sicheren Seite. documentus Bayern stellt Ihnen externe Datenschutzbeauftragte und -auditoren zur Seite. Unsere zertifizierten Experten führen Sie durch alle wichtigen Grundlagen und Neuerungen, sodass Ihr Unternehmen schnell und einfach DSGVO sicher wird.
MEHRWERT UND SICHERHEIT.
DER DOCUMENTUS DATENSCHUTZ.
1
FAKTENCHECK
-
Einführendes Gespräch mit der Geschäftsleitung
-
Ist-Analyse
-
Datenschutzstandards bewerten
2
UMSETZUNG
-
Maßnahmen planen und priorisieren
-
Umsetzungsplan überwachen Mitarbeiter sensibilisieren
3
BETREUUNG
-
Prüfen und umsetzen aktueller Entwicklungen
-
Jahresbericht erstellen
-
Ansprechpartner für Mitarbeiter sein
-
Hilfe im Beschwerde-Fall
Ihre
Vorteile
Ein externer Datenschutzbeauftragter hat einen objektiven Blick auf Ihr Unternehmen.
- Ihre Mitarbeiter können sich aufs Kerngeschäft konzentrieren.
- Sie haben einen sicheren Ansprechpartner, auch bei Urlaub oder Krankheit.
- Keine Schulungskosten. Wir bilden unsere Datenschutzbeauftragten regelmäßig weiter.
- Sie profitieren von unserer 30-jährigen Erfahrung als Marktführer in der Auftragsverarbeitung.
- Wir reden nicht nur, sondern nehmen Sie auch bei der Umsetzung an die Hand.
AUFGABEN DES
DATENSCHUTZ-
BEAUFTRAGTEN
VERZEICHNIS VON VERARBEITUNGSTÄTIGKEITEN
GEM. ART. 30 DSGVO
Jede Verarbeitungstätigkeit von personenbezogenen Daten (z.B. Debitorenbuchhaltung, Lohnbuchhaltung, Urlaubsplanung, etc.) muss gemäß den Vorgaben des Art. 30, Abs. 1 und 2 DSGVO dokumentiert werden und anschließend mittels Risikoanalyse bewertet werden.
AUFTRAGSVERARBEITUNGSVERTRÄGE
GEM. 28 DSGVO
Werden Verarbeitungstätigkeiten von personenbezogenen Daten (z.B. Aktenvernichtung, Archivierung, Digitalisierung, IT, Marketing) an externe im Auftrag vergeben, so muss ein Auftragsverarbeitungs-vertrag gem. den Vorgaben aus Art. 28, Abs. 3 u. 9 DSGVO erstellt und geschlossen werden.
INFORMATIONSPFLICHTEN
GEM. ART. 13 UND 14 DSGVO
… z.B. gegenüber: Mitarbeiter, Lieferanten, Interessenten, Bewerber, Kunden, etc.. Diese Dokumentationen können z.B. für intern als Aushang oder im Intranet, oder für extern als Datenschutzerklärung auf der Homepage zur Verfügung gestellt werden. Der Inhalt ist gem. den Vorgaben aus Art 13, Abs. 1 und 2 DSGVO und Art. 14, Abs. 1 und 2 DSGVO zu gestalten.
ERSTELLEN VON DOKUMENTEN
z.B.: Richtlinien, Inhalt und Form eines Cookie-Banners, Vertraulich-keits-/Verschwiegenheitsvereinbarung für Mitarbeiter und/oder Administratoren, Homeofficevereinbarung, Verpflichtungs-erklärungen, Geheimhaltungsvereinbarung für Geschäftspartner, Datenschutzjahresbericht, Formular zur Einwilligung der Bildrechte.
MELDUNG DATENSCHUTZPANNE
GEM. ART. 33 UND 34 DSGVO
Im Falle einer Verletztung des Schutzes personenbezogener Daten muss eine Systematik vorgehalten werden können, welche die Meldung der Verletzung binnen 72 Stunden an die Aufsichtsbehörde garantiert. Die Meldung ist gem. den Vorgaben aus Art. 33, Abs. 3 DSGVO zu dokumentieren und zu übermitteln. Ebenso muss die betroffene Personen gem. Art. 34 DSGVO benachrichtigt werden.
DATENSCHUTZMANAGEMENTSYSTEM (DSMS)
Datenschutzorganisation, Software oder Ordnerstruktur
DATENSCHUTZAUDIT BEI GESCHÄFTSPARTNER
Überprüfung Ihrer Unterauftragnehmer auf Einhaltung der Maßnahmen zur Sicherheit in der Verarbeitung (TOMs).
TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN
GEM. ART. 32 DSGVO
Dokumentation von …
1. Vertraulichkeit
a. Zutrittskontrolle
b. Zugangskontrolle
c. Zugriffskontrolle
d. Pseudonymisierung
e. Trennungskontrolle
2. Integrität
a. Weitergabekontrolle
b. Eingabekontrolle
3. Verfügbarkeit und Belastbarkeit
a. Verfügbarkeitskontrolle
4. Regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen
a. Incident-Response-Management
b. Datenschutzfreundliche Voreinstellung
c. Auftragskontrolle
d. Datenschutz-Management
und anschließender Bewertung ob ein angemessenes Schutzniveau hergestellt ist, bis hin zum IT-Quickcheck.
BETROFFENENANFRAGEN
GEM. ART. 15 DSGVO
Jede betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbe-zogene Daten verarbeiten. Ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf Informatio-nen gem. Art. 15, Abs. 1 DSGVO. Diese Anfrage ist systematisch zu dokumentieren.
DATENSCHUTZFOLGENABSCHÄTZUNG (DSFA)
GEM. ART. 35 DSGVO
Wird eine Verarbeitungstätigkeit mit einem hohen Risiko für die Rechte natürlicher Personen bewertet, oder steht diese Verarbei-tungstätigkeit auf einer „Blacklist“ der Aufsichtsbehörde, bzw. es handelt sich bei den zu verarbeitenden Daten um besondere Kategorien personenbezogener Daten gem. Art. 9 DSGVO (z.B. religiöse-, biometrische-, genetische Daten) so muss eine Daten-schutzfolgenabschätzung gem. den Vorgaben des Art. 35, Abs. 7 DSGVO durchgeführt werden. Geht aus der DSFA hervor, dass die Verarbeitung ein hohes Risiko zur Folge hätte, muss die Aufsichts-behörde vor der Verarbeitung konsultiert werden. Die Konsultation muss gemäß den Vorgaben des Art. 36, Abs. 3 DSGVO erfolgen.
VERZEICHNIS VON VERARBEITUNGSTÄTIGKEITEN
GEM. ART. 30 DSGVO
TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN
GEM. ART. 32 DSGVO
Jede Verarbeitungstätigkeit von personenbezogenen Daten (z.B. Debitorenbuchhaltung, Lohnbuchhaltung, Urlaubsplanung, etc.) muss gemäß den Vorgaben des Art. 30, Abs. 1 und 2 DSGVO dokumentiert werden und anschließend mittels Risikoanalyse bewertet werden.
AUFTRAGSVERARBEITUNGSVERTRÄGE
GEM. 28 DSGVO
Werden Verarbeitungstätigkeiten von personenbezogenen Daten (z.B. Aktenvernichtung, Archivierung, Digitalisierung, IT, Marketing) an externe im Auftrag vergeben, so muss ein Auftragsverarbeitungs-vertrag gem. den Vorgaben aus Art. 28, Abs. 3 u. 9 DSGVO erstellt und geschlossen werden.
INFORMATIONSPFLICHTEN
GEM. ART. 13 UND 14 DSGVO
… z.B. gegenüber: Mitarbeiter, Lieferanten, Interessenten, Bewerber, Kunden, etc.. Diese Dokumentationen können z.B. für intern als Aushang oder im Intranet, oder für extern als Datenschutzerklärung auf der Homepage zur Verfügung gestellt werden. Der Inhalt ist gem. den Vorgaben aus Art 13, Abs. 1 und 2 DSGVO und Art. 14, Abs. 1 und 2 DSGVO zu gestalten.
ERSTELLEN VON DOKUMENTEN
z.B.: Richtlinien, Inhalt und Form eines Cookie-Banners, Vertraulich-keits-/Verschwiegenheitsvereinbarung für Mitarbeiter und/oder Administratoren, Homeofficevereinbarung, Verpflichtungs-erklärungen, Geheimhaltungsvereinbarung für Geschäftspartner, Datenschutzjahresbericht, Formular zur Einwilligung der Bildrechte.
MELDUNG DATENSCHUTZPANNE
GEM. ART. 33 UND 34 DSGVO
Im Falle einer Verletztung des Schutzes personenbezogener Daten muss eine Systematik vorgehalten werden können, welche die Meldung der Verletzung binnen 72 Stunden an die Aufsichtsbehörde garantiert. Die Meldung ist gem. den Vorgaben aus Art. 33, Abs. 3 DSGVO zu dokumentieren und zu übermitteln. Ebenso muss die betroffene Personen gem. Art. 34 DSGVO benachrichtigt werden.
DATENSCHUTZMANAGEMENTSYSTEM (DSMS)
Datenschutzorganisation, Software oder Ordnerstruktur
DATENSCHUTZAUDIT BEI GESCHÄFTSPARTNER
Überprüfung Ihrer Unterauftragnehmer auf Einhaltung der Maßnahmen zur Sicherheit in der Verarbeitung (TOMs).
Dokumentation von …
1. Vertraulichkeit
a. Zutrittskontrolle
b. Zugangskontrolle
c. Zugriffskontrolle
d. Pseudonymisierung
e. Trennungskontrolle
2. Integrität
a. Weitergabekontrolle
b. Eingabekontrolle
3. Verfügbarkeit und Belastbarkeit
a. Verfügbarkeitskontrolle
4. Regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen
a. Incident-Response-Management
b. Datenschutzfreundliche Voreinstellung
c. Auftragskontrolle
d. Datenschutz-Management
und anschließender Bewertung ob ein angemessenes Schutzniveau hergestellt ist, bis hin zum IT-Quickcheck.
BETROFFENENANFRAGEN
GEM. ART. 15 DSGVO
Jede betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbe-zogene Daten verarbeiten. Ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf Informatio-nen gem. Art. 15, Abs. 1 DSGVO. Diese Anfrage ist systematisch zu dokumentieren.
DATENSCHUTZFOLGENABSCHÄTZUNG (DSFA)
GEM. ART. 35 DSGVO
Wird eine Verarbeitungstätigkeit mit einem hohen Risiko für die Rechte natürlicher Personen bewertet, oder steht diese Verarbei-tungstätigkeit auf einer „Blacklist“ der Aufsichtsbehörde, bzw. es handelt sich bei den zu verarbeitenden Daten um besondere Kategorien personenbezogener Daten gem. Art. 9 DSGVO (z.B. religiöse-, biometrische-, genetische Daten) so muss eine Daten-schutzfolgenabschätzung gem. den Vorgaben des Art. 35, Abs. 7 DSGVO durchgeführt werden. Geht aus der DSFA hervor, dass die Verarbeitung ein hohes Risiko zur Folge hätte, muss die Aufsichts-behörde vor der Verarbeitung konsultiert werden. Die Konsultation muss gemäß den Vorgaben des Art. 36, Abs. 3 DSGVO erfolgen.
FRAGEN UND
ANTWORTEN