Die Datenschutz-Grundverordnung (DSGVO) hat bereits viele Kontroversen ausgelöst, und eine der größten ist sicherlich die Frage, welche Dokumente erforderlich sind. Zum Beispiel denken Unternehmen oft, dass es ausreicht, eine Datenschutzpolitik und ein Einverständnisformular auf ihrer Website zu haben; dies ist jedoch nur ein kleiner Teil der Dokumente, die notwendig sind, um vollständig mit dieser neuen Datenschutzverordnung übereinzustimmen.
Daher haben wir eine Liste der Anforderungen für die DSGVO Dokumentation erstellt, damit Sie alle obligatorischen Dokumente an einem Ort finden können. Bitte beachten Sie, dass die Namen der Dokumente nicht von der DSGVO vorgeschrieben werden. Daher können Sie einige andere Titel verwenden. Sie haben auch die Möglichkeit, einige dieser Dokumente zusammenzuführen.
Vorgeschriebene Dokumente und Aufzeichnungen gemäß EU DSGVO
Im Folgenden finden Sie die Dokumente, die Sie haben müssen, wenn Sie die DSGVO vollständig einhalten möchten:
- Politik des Schutzes personenbezogener Daten (Artikel 24) – Dies ist ein Top-Level-Dokument für die Verwaltung des Datenschutzes in Ihrem Unternehmen, welches definiert, was und wie Sie etwas erreichen möchten. Siehe auch: Inhalt der Datenschutzpolitik nach DSGVO.
- Datenschutzerklärung (Artikel 12, 13 und 14) – Dieses Dokument (das auch auf Ihrer Website veröffentlicht werden kann) erläutert in einfachen Worten, wie Sie personenbezogene Daten Ihrer Kunden, Website-Besucher und anderer verarbeiten werden.
- Datenschutzerklärung für Arbeitnehmer (Artikel 12, 13 und 14) – erläutert, wie Ihr Unternehmen personenbezogene Daten Ihrer Mitarbeiter verarbeiten wird (die Patientenakten, Strafregister usw. beinhalten könnten).
- Politik der Datenspeicherung (Artikel 5, 13, 17 und 30) – beschreibt den Prozess der Entscheidung darüber, wie lange eine bestimmte Art von personenbezogenen Daten aufbewahrt wird und wie diese sicher vernichtet wird.
- Datenspeicherungsplan (Artikel 30) – führt alle Ihre personenbezogenen Daten auf und beschreibt, wie lange jede Art von Daten aufbewahrt wird.
- Formular der Einverständniserklärung betroffener Personen (Artikel 6, 7 und 9) – Dies ist der gängigste Weg, die Zustimmung einer betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten zu erhalten. Erfahren Sie mehr: Ist die Einwilligung notwendig? Sechs rechtliche Grundlagen für die Datenverarbeitung gemäß DSGVO.
- Formular der elterlichen Einverständniserklärung (Artikel 8) – Falls die betroffene Person jünger als 16 Jahre alt ist, muss ein Elternteil die Einwilligung zur Verarbeitung der personenbezogenen Daten erteilen.
- Verzeichnis der DSFA (Artikel 35) – Hier zeichnen Sie alle Ergebnisse Ihrer Datenschutz-Folgenabschätzung auf. Sehen Sie dieses Webinar: Seven steps of Data Protection Impact Assessment (DPIA) according to EU GDPR.
- Vereinbarung über die Datenverarbeitung mit Lieferanten (Artikel 28, 32 und 82) – Sie benötigen dieses Dokument, um den Datenschutz mit einem Auftragsverarbeiter oder einem anderen Lieferanten zu regeln.
- Reaktion auf eine Datenschutzverletzung und Meldeverfahren (Artikel 4, 33 und 34) – Es beschreibt, was vor, während und nach einer Datenschutzverletzung zu tun ist. Siehe auch: 5 Schritte des Umgangs mit Datenschutzverletzungen gemäß DSGVO.
- Verzeichnis der Datenschutzverletzung (Artikel 33) – Hier zeichnen Sie alle Ihre Datenschutzverletzungen auf. (Hoffentlich eine sehr kurze Aufzeichnung.)
- Meldungsformular der Datenschutzverletzung an die Aufsichtsbehörde (Artikel 33) – Falls Sie eine Datenschutzverletzung erlitten haben, müssen Sie dies der Aufsichtsbehörde auf formelle Weise mitteilen.
- Meldungsformular der Datenschutzverletzung an betroffene Personen (Artikel 34) – Auch in diesem Falle der Datenschutzverletzung haben Sie die unangenehme Pflicht, die davon betroffene Personen auf formelle Weise zu informieren.
Dokumente, die unter bestimmten Umständen notwendig sind
Sie benötigen folgende Dokumente, wenn folgende Umstände auftreten:
- Arbeitsbeschreibung des Datenschutzbeauftragten (Artikel 37, 38 und 39) – Sie müssen einen Datenschutzbeauftragten (DSB) haben, wenn (a) die Verarbeitung von einer öffentlichen Behörde oder einer öffentlichen Einrichtung durchgeführt wird, mit Ausnahme von Gerichten, die in ihrer Eigenschaft als Justizbehörde tätig sind; oder (b) die Kernaktivitäten bestehen aus Verarbeitungstätigkeiten, die eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang erfordern; oder (c) die Kernaktivitäten beziehen sich auf die Verarbeitung in großem Umfang spezieller Kategorien von Daten und personenbezogenen Daten in Bezug auf strafrechtliche Verurteilungen und Straftaten. Erfahren Sie in dieser kostenlosen Online-Schulung, was der DSB tun muss: GDPR Data Protection Officer Course.
- Verzeichnis der Verarbeitungstätigkeiten (Artikel 30) – Dieses Dokument ist vorgeschrieben, falls (a) das Unternehmen mehr als 250 Mitarbeiter beschäftigt; oder (b) die Verarbeitung des Unternehmens wahrscheinlich zu einer Gefährdung der Rechte und Freiheiten der betroffenen Personen führt; oder (c) die Verarbeitung ist nicht gelegentlich; oder (d) die Verarbeitung enthält spezielle Datenkategorien; oder (e) die Verarbeitung umfasst personenbezogene Daten in Bezug auf strafrechtliche Verurteilungen und Straftaten.
- Standardvertragsklauseln für die Übertragung personenbezogener Daten an Verantwortliche (Artikel 46) – sind vorgeschrieben, falls Sie personenbezogene Daten an Verantwortliche außerhalb des Europäischen Wirtschaftsraums (EWR) übermitteln und Sie sich auf Musterklauseln als rechtliche Grundlage für grenzüberschreitende Datenübertragungen verlassen.
- Standardvertragsklauseln für die Übertragung personenbezogener Daten an Auftragsverarbeiter (Artikel 46) – sind vorgeschrieben, falls Sie personenbezogene Daten an Auftragsverarbeiter außerhalb des Europäischen Wirtschaftsraums (EWR) übermitteln und Sie sich auf Musterklauseln als rechtliche Grundlage für grenzüberschreitende Datenübertragungen verlassen.
Nicht-vorgeschriebene Dokumente
Hier sind die Dokumente, die nicht von der DSGVO vorgeschrieben sind. Möglicherweise finden Sie jedoch diese Art von Dokumenten sehr nützlich, wenn Sie die Einhaltung ohne Sorgen aufrechterhalten wollen:
- EU DSGVO Bereitschaftsbewertung – nützlich, wenn Sie die Lücke zwischen dem, was Sie bereits haben und der DSGVO herausfinden möchten. Siehe auch: EU GDPR Readiness Assessment Tool.
- Projektplan zur Einhaltung der EU DSGVO – sinnvoll, wenn Sie ein mittelständisches bis großes Unternehmen sind und genau wissen wollen, wer für die Einhaltung verantwortlich ist und welche Fristen gelten. Laden Sie hier einen kostenlosen DSGVO-Projektplan herunter.
- Politik des Schutzes personenbezogener Daten von Arbeitnehmern (Artikel 24) – ähnlich wie die Top-Level Politik zum Schutz personenbezogener Daten, aber diese konzentriert sich speziell auf Ihre Mitarbeiter.
- Verzeichnis der Datenschutzerklärungen (Artikel 12, 13 und 14) – Dies könnte sehr nützlich sein, wenn Sie Datenschutzerklärungen an mehreren Stellen veröffentlicht haben und die Kontrolle über alle haben möchten.
- Richtlinien für das Datenverzeichnis und die Zuordnung der Verarbeitungstätigkeiten (Artikel 30) – Da Sie wahrscheinlich ein Verzeichnis der Verarbeitungstätigkeiten benötigen, helfen Ihnen diese Richtlinien dabei, dieses Dokument auszufüllen.
- Formular für die Widerrufung der Einverständniserklärung betroffener Personen (Artikel 7) – Ein nützliches Dokument, wenn eine betroffene Person ihre Zustimmung widerrufen möchte.
- Formular für die Widerrufung der elterlichen Einverständniserklärung (Artikel 8) – Ein nützliches Dokument, wenn Sie mit einer betroffenen Person unter 16 Jahren zu tun haben.
- Verfahren des Zugangsersuchens betroffener Personen (Artikel 7, 15, 16, 17, 18, 20, 21 und 22) – hilft Ihnen zu definieren, wer was tut, wenn Sie eine solche Anfrage erhalten (was wahrscheinlich der Fall sein wird).
- Formular des Zugangsersuchens betroffener Personen (Artikel 15) – erleichtert es der betroffenen Person und Ihnen, solche Anfragen zu bearbeiten, da Sie ein klareres Bild davon haben, was die betroffene Person wünscht.
- Formular der Offenlegung für betroffene Personen (Artikel 15) – Sie werden genau wissen, welche Informationen zugeschickt werden sollen, sobald Sie das Zugangsersuchen der betroffenen Person erhalten haben.
- Methodik der Datenschutz-Folgenabschätzung (Artikel 35) – Da dies wahrscheinlich die komplexeste Aufgabe in Ihrem DSGVO-Einhaltungsprojekt ist, werden Sie die Richtlinien zur Durchführung der DSFA sehr nützlich finden.
- Verfahren der grenzüberschreitenden personenbezogenen Datenübertragung (Artikel 1, 44, 45, 46, 47 und 49) – Sie werden diese Richtlinie als nützlich empfinden, wenn Sie personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums übermitteln.
- DSGVO Einhaltungsfragebogen für den Auftragsbearbeiter (Artikel 28 und 32) – Sie werden dies bei der Durchführung der Due Diligence eines Auftragsverarbeiters sehr hilfreich finden.
- Dokumente zur Regelung der Sicherheit personenbezogener Daten (Artikel 32) – z. B. IT-Sicherheitspolitik, Zugangssteuerungsrichtlinie, Sicherheitsverfahren für die IT-Abteilung, Bring Your Own Device (BYOD) Richtlinie, Richtlinie zu Mobilgeräten und Telearbeit, Richtlinie zum aufgeräumten Arbeitsplatz und leeren Bildschirm, Richtlinie zur Klassifizierung von Informationen, Richtlinie der Anonymisierung und Pseudonymisierung, Richtlinie des Einsatzes von Verschlüsselung, Notfallwiederherstellungsplan, Verfahren für interne Audits, ISO 27001 Interne Audit Checkliste – diese Dokumente werden Sie bezüglich des Datenschutzes als sehr hilfreich empfinden. Am einfachsten ist es, einen Informationssicherheitsstandard wie ISO 27001 als Richtlinie zu verwenden.
Hier können Sie eine kostenlose Vorschau des EU DSGVO Dokumentations- Toolkits herunterladen, in der Sie die Struktur und einen Teil der Texte für jedes der oben genannten Dokumente sehen können.