Datenkontrolleur

Christian Ebert - Bahnhofstr. 2 - 38877 Benneckenstein - info@CHRIZZ.consulting

Gesammelte personenbezogene Daten

Dokumentation der Verarbeitungstätigkeiten Auftragsverarbeiter gem. Artikel 30 Abs. 2 DS-GVO

Zweck der Datenerhebung

Seit dem 25.05.2018 gilt in der EU ein einheitliches Datenschutzrecht. Für die Auftragsverarbeitung (z. B. Buchhaltung- Buchen lfd. Geschäftsvorfälle, lfd. Lohnabrechnungen) ist ein Vertrag zwischen dem Auftraggeber (Unternehmer) und dem Auftragsverarbeiter (selbständiger Buchhalter/Bilanzbuchhalter) erforderlich, der alle wesentlichen Punkte im Hinblick auf die Daten und den Datenschutz beinhaltet. Dabei sind insbesondere zu regeln: • Gegenstand und Dauer der Verarbeitung • Art und Zweck der Verarbeitung • Art der personenbezogenen Daten & Kategorien von betroffenen Personen • Umfang der Weisungsbefugnisse • Verpflichtung der zu Verarbeitung befugten Personen zur Vertraulichkeit • Sicherstellung von technischen & organisatorischen Maßnahmen • Hinzuziehung von Subunternehmern • Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener • Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsdatenverarbeitung • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters • Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt Haftung bei Datenschutzverstößen Grundsätzlich haften der Auftraggeber und der Auftragsverarbeiter gegenüber dem Betroffenen gemeinsam. Jedoch beschränkt sich die Haftung des Auftragsverarbeiters auf Verstöße gegen speziell die ihm auferlegten Pflichten. Beiden Parteien steht die Möglichkeit der Exkulpation zur Verfügung. Dazu müssen sie nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind. Welche besonderen Pflichten hat der Auftraggeber Nach Art. 30 Abs. 1 DSGVO sind die Unternehmer zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet. Dieses Verzeichnis dient der rechtlichen Absicherung des Unternehmers. Es enthält mehrere Verfahrensbeschreibungen, die die Verarbeitung personenbezogener Daten dokumentieren. Alle im Unternehmen eingesetzten Anwendungen sind aufzuführen, z. B.  E-Mailverarbeitung, Zeiterfassung, Personalverwaltung oder Websitebesucheranalysen. Eine Beschreibung der technischen und organisatorischen Maßnahmen ist beizufügen. Welche besonderen Pflichten hat der Auftragsverarbeiter Gemäß Art. 30 Abs. 2 DSGVO müssen auch Auftragsverarbeiter ein Verzeichnis über die Verarbeitungstätigkeiten führen, die sie für den für die Verarbeitung Verantwortlichen erbringen. Auch hier ist eine Beschreibung der technischen und organisatorischen Maßnahmen beizufügen. Welche Sanktionen drohen Unternehmen Die Sanktionsmöglichkeiten wurden erheblich verschärft. Bei Verstößen gegen die Verpflichtungen der Art. 28 ff. DSGVO können den für die Verarbeitung Verantwortlichen und den Auftragsverarbeitern nach Art. 83 DSGVO Geldbußen in Höhe von bis zu 20 Millionen Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes drohen, je nachdem welcher Betrag höher ist. Die neuen Vorschriften sollten daher dringen beachtet werden.