Veröffentlicht von:

Rechtsanwalt Lars Hämmerling

Verarbeitungsverzeichnis, ADV, TOM, DSGVO usw. – Welche Datenschutztexte/-maßnahmen für Unternehmen unerlässlich sind!

04.08.2021
4 Minuten Lesezeit

Jedes Unternehmen, das personenbezogene Daten in irgendeiner Form verarbeitet – also letztlich jedes Unternehmen -, ist verpflichtet, sich an eine Vielzahl rechtlicher Vorgaben zum Datenschutz zu halten. Seit Mai 2018 gilt hierfür EU-weit die Datenschutzgrundverordnung (DSGVO). Im Folgenden haben wir eine kurze Übersicht von unerlässlichen datenschutzbezogenen Rechtstexten bzw. -maßnahmen zusammengestellt, die in keinem Unternehmen fehlen sollten:

Datenschutzerklärung

Unternehmen sind nach Art. 13 und 14 DSGVO sowie nach § 13 TMG verpflichtet, über jegliche Verarbeitung von personenbezogenen Daten zu informieren. Eine Datenschutzerklärung ist daher nicht nur z.B. auf einer Homepage erforderlich, sondern für nahezu jeden unternehmensinternen Vorgang, da in vielen Unternehmen beinahe jeder Prozess mit personenbezogenen Daten verknüpft ist. Das heißt bspw., für jeglichen Kundenkontakt sowie für jeglichen Vorgang, der mit den Mitarbeitern in Verbindung steht, muss ein Unternehmen eine entsprechende Datenschutzerklärung bereitstellen. Die Anforderungen an eine Datenschutzerklärung können je nach Art und Weise der spezifischen Datenverarbeitung variieren. Daher sind vorgefertigte Mustervorlagen aus dem Netz oft nicht ausreichend für eine unternehmensspezifische Datenschutzerklärung, wenn überhaupt reichen diese nur für eine Website aus.

Verarbeitungsverzeichnis

Sämtliche Verarbeitungsvorgänge personenbezogener Daten müssen gemäß Art. 30 DSGVO in einem sog. „Verzeichnis von Verarbeitungstätigkeiten“ dokumentiert werden. Hierbei müssen ebenfalls viele verschiedene Anforderungen beachtet werden. Die unternehmensspezifischen Anforderungen sind je nach Art und Weise der Datenverarbeitung sehr unterschiedlich und können nicht pauschalisiert werden. Daher reichen auch hierbei in der Regel Mustervorlagen aus dem Internet nicht aus. Zumal schon das Ausfüllen dieser den Laien häufig vor erhebliche Herausforderungen stellt.

Auftragsdatenverarbeitung (ADV) / Auftragsdatenverarbeitungsvertrag

Wer personenbezogene Daten durch einen Dritten, bspw. durch einen externen Dienstleister, verarbeiten lässt, ist nach § 28 DSGVO an Vorgaben zur sog. Auftragsdatenverarbeitung gebunden. Als Grundlage für eine Auftragsdatenverarbeitung durch einen Dritten ist ein Auftragsdatenverarbeitungsvertrag erforderlich. Bei der Auftragsdatenverarbeitung muss eine Vielzahl an Voraussetzungen beachtet werden. Der Auftraggeber ist hierbei weisungsverantwortlich, das heißt in gewissen Fällen auch für den Beauftragten mitverantwortlich. Auch hier empfiehlt es sich daher, sich keiner Online-Muster zu bedienen, sondern sich unternehmensbezogen datenschutzrechtlich beraten zu lassen.

Vertrag / Vereinbarung zur gemeinsamen Verantwortlichkeit

In Art. 26 DSGVO ist die gemeinsame Verantwortlichkeit geregelt. In Art. 26 Abs. 1, S. 1 DSGVO heißt es: „Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche.“ In diesem Fall müssen die Parteien eine Vereinbarung, z.B. in Form eines Vertrags, über die gemeinsame Datenvereinbarung abschließen. Darin muss u.a. geregelt sein, wer welche Bereiche der Datenverarbeitung übernimmt und welche damit einhergehende Pflichten erfüllt werden müssen. Wenn Sie eine gemeinsame Verantwortlichkeit zur Datenverarbeitung eingehen wollen, empfehlen wir, sich im Voraus durch einen Datenschutzexperten beraten zu lassen, um keine unnötigen Risken einzugehen.

Lösch- und Sperrkonzept

Nach Art. 17 DSGVO und § 35 BDSG hat jede Person von der personenbezogene Daten verarbeitet werden ein Recht auf Löschung dieser Daten. In modernen Datenverarbeitungsprozessen und teils komplexen Unternehmensstrukturen kann der Löschprozess mitunter sehr aufwendig sein. Daten sind oftmals nicht nur an einem Ort gespeichert, sondern hinterlassen – gerade in digitalen Prozessen -viele Spuren. Daher ist es erforderlich, dass Unternehmen ein ausgefeiltes Lösch- und Sperrkonzept haben, um eine ordnungsgemäße Löschung sicherzustellen und zu vereinfachen.

Technische und organisatorische Maßnahmen (TOM)

Als sog. „Technische und organisatorische Maßnahmen“ (TOM) werden Maßnahmen zur Sicherstellung einer sicheren Datenverarbeitung bezeichnet. Diese sind vor allem in Art. 32 DSGVO geregelt. So müssen zum Beispiel personenbezogene Daten ggf. pseudonymisiert und verschlüsselt verarbeitet werden. Welche TOM für Ihr Unternehmen notwendig sind hängt von den konkreten Datenverarbeitungsprozessen in Ihrem Unternehmen ab. Erfahrungsgemäß sind die Datenverarbeitungsprozesse in vielen Unternehmen nicht ausreichend durch TOM geschützt.

Datenschutz ernst nehmen!

Alle datenschutzrechtlichen Anforderungen sollten individuell auf Ihr Unternehmen und die konkrete Datenverarbeitung in Ihrem Unternehmen angepasst sein. In der Regel ist es nicht ausreichend, ein paar kostenlose Mustervorlagen aus dem Internet herunterladen. Datenschutz sollte in jedem seriösen Unternehmen höchste Priorität genießen. Zumal Datenschutzverstöße je nach Ausmaß hart sanktioniert werden können.

Wenn Sie Ihre datenschutzrechtlichen Vorkehrungen professionell einrichten lassen, überprüfen lassen oder auf den neusten Stand bringen lassen wollen, helfen wir Ihnen gerne dabei. Unser Team von Rechtsanwälten und Fachanwälten bietet bundesweit ein umfassendes Leistungsangebot im Datenschutzrecht an. Unsere Kanzlei verfügt zudem über zertifizierte Datenschutzbeauftragte (TÜV) und einen Datenschutzauditor (TÜV). Melden Sie sich gerne jederzeit für ein unverbindliches erstes Gespräch bei uns unter:

Tel. 040 5330-8720 oder 030 2064-9405
E-Mail hamburg@hvls-partner.de oder berlin@hvls-partner.de
„Nachricht senden“ auf anwalt.de (Fügen Sie hierbei Ihre Telefonnummer bitte auch noch einmal in die Nachricht an uns ein)

Rechtstipp aus den Rechtsgebieten

Bewerten Sie diesen Rechtstipp:

Artikel teilen:

Sie haben Fragen? Jetzt Kontakt aufnehmen!

Rechtsanwalt Lars Hämmerling

Veröffentlicht von:

Rechtsanwalt Lars Hämmerling

Datenschutzrecht • IT-Recht

Gewerblicher Rechtsschutz • Wettbewerbsrecht • Markenrecht • Urheberrecht & Medienrecht • Designrecht

… weitere weniger

Zum Profil

Hier bekommen Sie Recht –
aktuell und schnell

Wir halten Sie rund ums Recht mit unserem wöchentlichen Newsletter auf dem Laufenden!

Hier mehr erfahren

Weitere Rechtstipps von Rechtsanwalt Lars Hämmerling

Abmahnung d. BluePort Legal wg. Verwendung Fortuna Düsseldorf aufetsy.com / Markenrecht

Uns liegt mal wieder eine Abmahnung der Kanzlei BluePortLegal wegen einer angeblichen Markenrechtsverletzung vor. Die aktuelle Abmahnung wurde für den Düsseldorfer Turn- und Sportverein Fortuna ... Weiterlesen
Abmahnung der Scheidler GmbH durch RA Thiemo Wenck, rechtswidrige Angaben zu Futtermittel - ZeckenSchutz

Wir hatten bereits über die Abmahntätigkeit der Scheidler GmbH und Rechtsanwalt Thiemo Wenck aus Winsen (Luhe) berichtet. Weiterlesen
Internetsystem Vertrag über 48 Monate mit der Stuttgarter Zeitung Online-Service GmbH für 529,- € kündigen

Haben auch Sie eine Vereinbarung über die Erstellung eines Internetauftrittes über 48 Monate und z einem monatlichen Preis von 529,- € netto/629,51 € brutto mit der Stuttgarter Zeitung ... Weiterlesen

Alle Rechtstipps von Rechtsanwalt Lars Hämmerling

Weitere

Beiträge zum Thema

Viren und andere Malware: Was müssen Unternehmen beachten?

27.02.2024

Im Internet lauern viele Gefahren – auch durch Betrüger, die mit Viren, Trojanern und Co. vor allem eines ... Weiterlesen
Welche Datenschutzpflichten bestehen für Unternehmen?

14.05.2020

I. Verpflichtung und mögliche Konsequenzen In der heutigen Zeit erfolgt die Verarbeitung von personenbezogenen ... Weiterlesen
DSGVO-konformes Verarbeitungsverzeichnis - Was muss beachtet werden?

05.08.2021

Die Datenschutzgrundverordnung (DSGVO) regelt seit Mai 2018 innerhalb der Europäischen Union die gesetzlichen ... Weiterlesen