(1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Die Datenschutz-Dokumentation erstellt jeder Verantwortliche (natürliche oder juristische Person, die über die Zwecke und Mittel dieser Verarbeitung von personenbezogenen Daten entscheidet) bzw. der Auftragsverarbeiter (verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen).

Im Grunde Sie als Unternehmer/Betriebsinhaber! 

In Deutschland betrifft das über 99% der Betriebe.

Am besten gemeinsam mit einem Fachmann für Datenschutz!!!

Ab 250 Mitarbeitern stets; bei weniger als 250 Mitarbeitern nur, wenn die von Ihnen vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder es eine Verarbeitung besonderer Datenkategorien bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten erfolgt.

Und hier liegt wieder der feine Unterschied im Detail. Nämlich bei: "die Verarbeitung nicht nur gelegentlich erfolgt ".

Sie zahlen regelmäßig Ihren Mitarbeitern Gehalt oder stellen Ihren Kunden regelmäßig Rechnungen? Dann bedeutet das Regelmäßig und Sie müssen die Dokumentation erstellen.

Also in Deutschland eigentlich ALLE Gewerbetreibende!

Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Hier bestehen in der Praxis die meisten Probleme bei der Umsetzung. Was ist denn eine Verarbeitungstätigkeit? Wo fallen die Daten an? Was muss ich angeben? 

Tätigkeiten die regelmäßig im Verzeichnis der Verarbeitungstätigkeiten auftauchen sind zum Beispiel:

• Onlinebanking/Zahlungsverkehr
• Lohnbuchhaltung/Personaldaten
• Kundenverwaltung
• Rechnungswesen/Finanzbuchhaltung
• und eine Menge mehr

Die sogenannten TOMs werden in Art. 32 DSGVO unter dem Punkt "Sicherheit der Verarbeitung" beschrieben:

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.

(3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.

(4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

Kurz gesagt: Es geht dabei darum wie Sie Daten erheben, wo Sie die Daten speichern und Löschen, Wer Zugriff hat usw.

Also z.B. wie Ihre Räumlichkeiten geschützt sind (Schlösser, Alarmanlage, Videoüberwachung), wo und wie Ihre Daten gespeicher werden (Archiv, Datensicherung usw), wer an die Daten kommt (Wer hat Zugang, Passwörter, Berechitungen usw.).

Die TOMs erstellen Sie am besten mit einem Fachmann für Datenschutz geweinsam mit Ihrem IT-Verantwortlichen. 

Noch ein Tip: Am besten immer mit einem Fachmann für Datenschutz eine vor-Ort-Begehung durchführen. Nie nur ein Formular ausfüllen. Da wird viel übersehen.

Unter Auftragsverarbeitung versteht man die weisungsgebundene Datenverarbeitung durch Externe, bei der die Verantwortung für die ordnungsgemäße Datenverarbeitung beim Auftraggeber verbleibt. So liegt häufig bereits eine Auftragsverarbeitung vor, wenn Unternehmen z. B. die Lohn- und Gehaltsabrechnung durch andere Unternehmen durchführen lassen. Liegt eine Auftragsverarbeitung vor, ist zwischen den Parteien vor Beginn der Auftragsverarbeitung ein entsprechender Vertrag zu schließen.

Zu den klassischen Auftragsverarbeiter zählen:

• DV-technische Arbeiten für die Lohn- und Gehaltsabrechnung oder Finanzbuchhaltung
• Auslagerung der E-Mails oder Webseitenbetreiber
• Sicherheitsdienste (Pförtner)
• Datenträgerentsorgung durch Dienstleister

Es sind sehr viele Falschinformationen zu diesem Thema im Umlauf. Nicht jeder der von mir Daten bekommt ist gleich ein Auftragsdatenverarbeiter.

NachAussagen der Behörden sind folgende Dienstleistungen KEINE Auftragsdatenverabeitung:

• Tätigkeiten der Berufsgeheiminsträger (Steuerberater, Rechtsanwälte, Wirtschaftsprüfer, externer Betriebsarzt)
• Inkassobüro
• Bankinstitute für den Geldtransfer
• Postdienste für den Brief- und Pakettransport
• Blumen- oder Weinversender, die eine Liste mit Adressdaten zur Versendung der Präsente an dritte Personen erhalten (beauftragte Warensendung)
• vom Vermieter beauftragte Handwerker
• Reinigungsdienstleistungen im eigenen Unternehmen

Noch ein Tip: Aufgrund der Ansicht dass ein Steuerberater ein Berufsgeheimnisträger ist, müsse dieser NIE einen AV-Vertrag schließen ist nicht richtig. Sobald der Steuerberater auch die externe Buchführung durchführt, muss lau verschiedener Aufsichtsbehörden auch mit dem Steuerberater ein AV-Vertrag geschlossen werden.