Datenschutzmanagementprozesse beim Erstellen und Führen von Verfahrensverzeichnissen nach 7 LDSG



Ähnliche Dokumente
Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle)

Datenschutz und Schule

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Das digitale Klassenund Notizbuch

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz

Datenschutz im Unternehmen. Was muss der Unternehmer wissen?

Verfahrensverzeichnis

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Einführung in die Datenerfassung und in den Datenschutz

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

Datenschutzbeauftragte

Checkliste zum Datenschutz

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Gesetzliche Grundlagen des Datenschutzes

D i e n s t e D r i t t e r a u f We b s i t e s

10 IDG (Gesetz über die Information und den Datenschutz, LS 170.4) 24 IDV (Verordnung über die Information und den Datenschutz, LS 170.

Beraten statt prüfen Behördlicher Datenschutzbeauftragter

GPP Projekte gemeinsam zum Erfolg führen

GDD-Erfa-Kreis Berlin

SharePoint Demonstration

Datenschutz-Unterweisung

Erstellung eines Verfahrensverzeichnisses aus QSEC

Computer & Netzwerktechnik. Externer Datenschutzbeauftragter

Erstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz. Seminar am

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

Schul-IT und Datenschutz

Hinweise zur Vorabkontrolle nach 9 Landesdatenschutzgesetz Schleswig-Holstein (LDSG)

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.

Beratungskonzept für die Datenschutz-Betreuung. durch einen externen Beauftragten für den Datenschutz

Zentrales Verfahren: Dokumentationspflichten für die zentrale Stelle und für die beteiligten Stellen

Der betriebliche Datenschutzbeauftragte

Kurz & Gut DATENSCHUTZ IM WISSENSCHAFTLICHEN BEREICH

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

1. Einführung. 2. Weitere Konten anlegen

Kursbeschreibung Ausbildung zum internen betrieblichen Datenschutzbeauftragten

Beschreibung Regeln z.b. Abwesenheitsmeldung und Weiterleitung

1. Anmeldung von Konten für das elektronische Postfach

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Grundsätze für die Überprüfung der besonderen Sachkunde von Sachverständigen

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: )

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Der Schutz von Patientendaten

Datenschutz eine Einführung. Malte Schunke

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Benutzerverwaltung Business- & Company-Paket

Version NotarNet Bürokommunikation. Bedienungsanleitung für den ZCS-Import-Assistenten für Outlook

Ordner Berechtigung vergeben Zugriffsrechte unter Windows einrichten

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Bericht des Gleichbehandlungsbeauftragten für das Geschäftsjahr 2012 gemäß 80 Tiroler Elektrizitätsgesetz 2012

Menü Netzwerk 1. Job-Pufferung Netzwerkpuffer Netzwerk<x>-Konfig NPA-Modus PCL-SmartSwitch. PS-SmartSwitch MAC-Binär-PS. Drucken. Arbeiten mit Farben

Kirchlicher Datenschutz

Gründe für ein Verfahrensverzeichnis

Workflows verwalten. Tipps & Tricks

Welche Vorteile bietet die Anmeldung eines Kindes mit dem kita finder+?

Sophos Anti-Virus. ITSC Handbuch. Version Datum Status... ( ) In Arbeit ( ) Bereit zum Review (x) Freigegeben ( ) Abgenommen

PRÜFMODUL D UND CD. 1 Zweck. 2 Durchführung. 2.1 Allgemeines. 2.2 Antrag

Erstellen eines Formulars

Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Personal- und Kundendaten Datenschutz bei Energieversorgern

ÖFFENTLICHES VERFAHRENSVERZEICHNIS FÜR DIE VERARBEITUNG PERSONENBEZOGENER DATEN IM BEREICH DER KUNDENSYSTEME

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

vom 15. Januar 1991 (ABl S. 36), geändert durch Verordnung vom 17. Januar 1995 (ABl. S. 41) Inhaltsverzeichnis

Datenschutz im Jobcenter. Ihre Rechte als Antragsteller

Musterlösung für Schulen in Baden-Württemberg. Windows Basiskurs Windows-Musterlösung. Version 3. Stand:

Programm. Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land)

Aktive Schnittstellenkontrolle

Personal- und Kundendaten Datenschutz in Werbeagenturen

SCHALTEN SIE DEN DATENSCHUTZ EIN. EINFACH & EFFEKTIV.

TEAMWORK-Uploader. Dokumentenaustausch mit dem PC

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

POCKET POWER. Qualitätsmanagement. in der Pflege. 2. Auflage

Ihren Kundendienst effektiver machen

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Wenn mindestens 9 Mitarbeiter in einem Unternehmen (auch Praxis oder Kanzlei) bearbeiten, ist nach dem Bundesdaten-

Nicht über uns ohne uns

Bei der Focus Methode handelt es sich um eine Analyse-Methode die der Erkennung und Abstellung von Fehlerzuständen dient.

GSM: Airgap Update. Inhalt. Einleitung

Stellvertretenden Genehmiger verwalten. Tipps & Tricks

Datenschutz in beratenden Berufen 10 Tipps & Fragen zum Umgang mit personenbezogenen Daten

Leichte-Sprache-Bilder

Datenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?

D i e n s t v e r e i n b a r u n g über die Durchführung von Mitarbeiter/innen- Gesprächen

Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung

Internet Explorer Version 6

How to do? Projekte - Zeiterfassung

Erstellen einer in OWA (Outlook Web App)

OLXTeamOutlook 1.5 für Outlook 2003, 2002/XP, 2000 und 97/98

nach 20 SGB IX" ( 3 der Vereinbarung zum internen Qualitätsmanagement nach 20 Abs. 2a SGB IX).

Step by Step Webserver unter Windows Server von Christian Bartl

Benutzerhandbuch - Elterliche Kontrolle

Berechtigungsgruppen TimeSafe Leistungserfassung

Dok.-Nr.: Seite 1 von 6

Transkript:

Datenschutzmanagementprozesse beim Erstellen und Führen von Verfahrensverzeichnissen nach 7 LDSG Version 1.0 Ausgabedatum 20. März 2013 Status in Bearbeitung in Abstimmung freigegeben Kontakt Angelika Martin 0431/988-1280 uld34@datenschutzzentrum.de Inhalt 1 Verantwortlichkeiten bei Datenschutzmanagementprozessen...3 2 Das Einrichten eines Datenschutzmanagementsystems...3 3 Die Rolle der bzw. des behördlichen Datenschutzbeauftragten...4 4 Fazit...6

Verfahrensverzeichnisse müssen erstellt, geführt und vorgelegt bzw. veröffentlicht werden (siehe auch die Handreichung 1 Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle) ). Beim Erstellen werden die gesetzlich benötigten Angaben zum automatisierten Verfahren erhoben, bei schon bestehenden Verfahrensverzeichnissen ggf. aktualisiert und dokumentiert. Das Führen eines Verfahrensverzeichnisses beinhaltet das Ablegen, Speichern und das wiederauffindbare Vorhalten der erstellten Dokumente, um das Verfahrensverzeichnis bei einem Auskunftsersuchen vorlegen (zur Einsicht bereithalten) zu können. Alternativ kann das Verfahrensverzeichnis auch auf der Internetseite veröffentlicht werden. führt und koordiniert die Erstellung koordiniert die Erstellung veröffentlicht (optional) legt vor meldet Diese Aufgaben müssen durch entsprechend verantwortliche Personen nach definierten Prozessabläufen ausgeführt werden. Diese Handreichung informiert über Datenschutzmanagementprozesse und Festlegungen von Verantwortlichkeiten beim Erstellen und Führen von Verfahrensverzeichnissen nach 7 LDSG und betrachtet dabei insbesondere die Situation, ob eine datenverarbeitende Stelle eine behördliche Datenschutzbeauftragte oder einen behördlichen Datenschutzbeauftragten benannt hat oder nicht. 1 https://www.datenschutzzentrum.de/verfahrensverzeichnis - 2 -

1 Verantwortlichkeiten bei Datenschutzmanagementprozessen Die Verantwortung dafür, dass die technischen und organisatorischen Maßnahmen entsprechend dem Landesdatenschutzgesetz (LDSG) und der Datenschutzverordnung (DSVO) umgesetzt werden, liegt bei der Leitung der datenverarbeitenden Stelle. Diese Organisationsverantwortung liegt alleine bei der Leitung und kann nicht an andere untergeordnete oder externe Stellen, Referate usw. delegiert werden. Allerdings kann die Leitung die fachliche Zuständigkeit auf untergeordnete Stellen, die die entsprechenden fachlichen Kompetenzen besitzen, delegieren. Dabei muss der Leitung bewusst sein, dass die Delegation (Pflichtenübertragung) sie nur in Bezug auf die praktische Ausführung der entsprechenden Aufgabe entlastet und nicht in Bezug auf den Umfang der Organisationsverantwortung. Das bedeutet, dass die Leitung die Organisationsverantwortung für die Aufgabenbereiche behält, die sie fachlich delegiert. Aus diesem Grund ist es wichtig, dass innerhalb aller Organisationseinheiten einer datenverarbeitenden Stelle datenschutzkonforme Abläufe gewährleistet sind. Als Werkzeug dafür bietet sich das Datenschutzmanagementsystem an. Die DSVO beschreibt im 4 Abs. 6 das Instrument des Datenschutzmanagementsystems, das u. a. die ordnungsgemäße Anwendung automatisierter Verfahren und die Tätigkeiten der behördlichen Datenschutzbeauftragten oder des behördlichen Datenschutzbeauftragten berücksichtigt. 2 Das Einrichten eines Datenschutzmanagementsystems Wie lässt sich das Datenschutzmanagementsystem, insbesondere in Bezug auf das Delegieren von Zuständigkeiten, in einer datenverarbeitenden Stelle einrichten? (1) Im ersten Schritt muss festgelegt werden, wer für die Sicherstellung der datenschutzkonformen Abläufe in welchen Bereichen zuständig ist, das bedeutet in diesem Zusammenhang alle Tätigkeiten und Prozesse zum Erstellen und Führen von Verfahrensverzeichnissen (siehe auch die Handreichung 2 Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle) ). Diese Zuständigkeiten sollten z. B. im Organisationsplan, im Geschäftsverteilungsplan, in der Aufgabenbeschreibung der einzelnen Stellen usw. beschrieben werden und in die IT- und Sicherheitsdokumentation mit aufgenommen werden. So kann beispielsweise die Leitung der unterschiedlichen Fachabteilungen einer datenverarbeitenden Stelle für die ordnungsgemäße Anwendung der konventionellen (papierenen) und automatisierten Verfahren ihrer Abteilung zuständig sein (dieses Beispiel ist die Möglichkeit einer dezentralen Delegation von Zuständigkeiten). (2) Im weiteren Schritt müssen für die Zuständigen, basierend auf der Verfahrens- und Sicherheitskonzeption, Arbeitsanweisungen geschrieben werden. Dies kann z. B. in Form von Dienstanweisungen geschehen. So kann für die oben genannte Leitung der Fachabteilung festgelegt werden, nach welchem Verfahren sie für neue Mitarbeiterinnen und Mitarbeiter Benutzerkonten mit den entsprechenden Rechten bei der Administration beantragt, 2 https://www.datenschutzzentrum.de/verfahrensverzeichnis - 3 -

bei Berechtigungsänderungen vorzugehen hat, der Administration mitteilt, wenn Mitarbeiterinnen und Mitarbeiter ausscheiden oder lange Zeit abwesend sind (Löschen oder Deaktivieren von Benutzerkonten), die Einhaltung der bereichsspezifischen Gesetze (z. B. bei der Einspielung von Softwareupdates) gewährleisten kann usw. Innerhalb dieses Schrittes wird ebenfalls festgehalten, in welcher Form die Informationen zur Erstellung des Verfahrensverzeichnisses (oder bei schon vorhandenem Verfahrensverzeichnis die Informationen einer Aktualisierung) an die entsprechend verantwortliche Person weitergegeben wird. Die Verantwortlichkeit für das Erstellen bzw. Führen des Verfahrensverzeichnisses ist abhängig davon, ob in der datenverarbeitenden Stelle eine behördliche Datenschutzbeauftragte oder ein behördlicher Datenschutzbeauftragter bestellt wurde oder nicht (diese Thematik wird im nächsten Abschnitt aufgegriffen). (3) Nach der Festlegung der Zuständigkeiten und Arbeitsabläufe muss im letzten Schritt ein Protokollierungs- und Kontrollverfahren festgelegt werden. Dabei sollte darauf geachtet werden, dass die ausführenden Personen (in diesem Beispiel die Leitung der Fachabteilungen und die Administration) nicht gleichzeitig die kontrollierenden Personen sind. Als Kontrollinstanz bietet sich z. B. die oder der behördliche Datenschutzbeauftragte, das Rechnungsprüfungsamt oder die Innenrevision an. Auch die Protokollierungs- und Kontrollprozesse müssen in die Verfahrens- und Sicherheitskonzeption aufgenommen werden. 3 Die Rolle der bzw. des behördlichen Datenschutzbeauftragten Die Aufgaben der behördlichen Datenschutzbeauftragten oder des behördlichen Datenschutzbeauftragten sind im 10 Abs. 4 LDSG definiert. Demnach führt sie oder er u. a. das Verfahrensverzeichnis nach 7 LDSG und führt die Vorabkontrolle nach 9 Abs. 1 LDSG durch. Auch wenn die behördliche Datenschutzbeauftragte oder der behördliche Datenschutzbeauftragte das Verfahrensverzeichnis führt, bedeutet das im Umkehrschluss nicht, dass sie oder er die für das Verfahrensverzeichnis notwendigen Informationen ( 7 Abs. 1 Nr. 1 bis 8 LDSG) selber erhebt. Dieses Fachwissen liegt in den entsprechenden Fachabteilungen und sollte auch dort abgerufen werden. Ein Arbeitsprozess zum Einführen eines Datenschutzmanagementsystems und zum Delegieren von Verantwortlichkeiten ist weiter unten in diesem Dokument beschrieben. Die Bestellung von förmlich bestellten behördlichen Datenschutzbeauftragten nach 10 LDSG hat für die datenverarbeitenden Stellen Vorteile. Die behördliche Datenschutzbeauftragte oder der behördlicher Datenschutzbeauftragte ist sowohl intern als auch in der Kommunikation mit Auskunftssuchenden und dem ULD eine zentrale Ansprechperson zu allen Fragestellungen in Bezug auf Datenschutz. organisiert und koordiniert interne Datenschutzmanagementprozesse. führt das Verfahrensverzeichnis, indem sie oder er mit den unterschiedlichen Fachabteilungen kommuniziert und die von diesen zur Verfügung gestellten Informationen zusam- - 4 -

menführt. Das Verfahrensverzeichnis, das die Öffentlichkeit aller automatisierten Verfahren und die Transparenz der Datenverarbeitung einer datenverarbeitenden Stelle sicherstellt, wird durch die behördliche Datenschutzbeauftragte oder den behördlichen Datenschutzbeauftragten in einer geeigneten Weise zur Veröffentlichung bereitgehalten. Es kann beispielsweise in Papierform vorliegen oder auf der Internetseite veröffentlicht werden. führt die Vorabkontrolle für Verfahren nach 8 Abs. 1 LDSG (gemeinsame Verfahren mehrerer datenverarbeitenden Stellen oder Abrufverfahren) oder für Verfahren, in dem personenbezogene Daten nach 11 Abs. 3 LDSG verarbeitet werden (rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben, Daten mit einem besonderen Berufs- oder Amtsgeheimnis), durch. Mit der förmlichen Bestellung einer behördlichen Datenschutzbeauftragten oder eines behördlichen Datenschutzbeauftragten sind die Verantwortlichkeit und die Zuständigkeit im Hinblick auf die oben beschriebenen Aufgabenbereiche in der datenverarbeitenden Stelle eindeutig festgelegt. Das Verfahrensverzeichnis und die Vorabkontrolle bleiben in der Ausführungshoheit der eigenen datenverarbeitenden Stelle. Die Pflicht zum Führen des Verfahrensverzeichnisses, zur Durchführung einer Vorabkontrolle und zum Einführen von Datenschutzmanagementprozessen entfällt nicht, wenn in einer datenverarbeitenden Stelle keine behördliche Datenschutzbeauftragte oder kein behördlicher Datenschutzbeauftragter bestellt ist. Vielmehr müssen interne Regelungen im Organisationsablauf getroffen werden, um das Datenschutzmanagementsystem in die Geschäftsprozesse zu integrieren ( 4 Abs. 6 DSVO) und vor allem die Verantwortlichkeiten in Bezug auf die folgenden Datenschutzmanagementprozesse sicherzustellen: Die notwendigen Informationen nach 7 Abs. 1 LDSG (Verfahrensverzeichnis) müssen für alle automatisierten Verfahren, die personenbezogene Daten verarbeiten, zusammengestellt werden und dem ULD gemeldet werden. Das ULD führt ein Verzeichnis über diese Meldungen und veröffentlicht dieses in Zukunft gemäß 7 Abs. 4 LDSG auf seiner Internetseite. Die datenverarbeitende Stelle muss organisatorisch sicherstellen, dass neue Verfahren oder wesentliche Änderungen der bestehenden Verfahren zeitnah (spätestens mit der ersten Einspeicherung gemäß 7 Abs. 3 LDSG) an das ULD gemeldet werden. Benötigen Verfahren eine Vorabkontrolle nach 9 Abs. 1 LDSG, dann muss die datenverarbeitende Stelle das ULD informieren und dem ULD die Gelegenheit geben, innerhalb einer angemessenen Frist zu prüfen, ob die Datenverarbeitung zulässig und die vorgesehenen Maßnahmen nach den 5 und 6 LDSG (allgemeine und besondere Maßnahmen zur Datensicherheit) ausreichend sind. Eine Vorabkontrolle ist gemäß 1 Nr. 5 und 3 Abs. 5 ULD- Benutzungs- und Entgeltsatzung gebührenpflichtig. Wird eine Vorabkontrolle durch das ULD durchgeführt, muss die datenverarbeitende Stelle durch organisatorische Maßnahmen und Benennung von verantwortlichen Personen sicherstellen, dass für das geprüfte Verfahren entsprechend 3 Abs. 5 Satz 7 ULD-Benutzungs- und Entgeltsatzung eine nach DSVO erstellte Dokumentation der ordnungsgemäßen Datenverarbeitung vorliegt. Diese Dokumentation stellt die Grundlage der Vorabkontrolle dar. - 5 -

4 Fazit Unabhängig davon, ob eine datenverarbeitende Stelle eine behördliche Datenschutzbeauftragte oder ein behördlicher Datenschutzbeauftragte bestellt hat, müssen innerhalb der Organisation Datenschutzmanagementprozesse zum Erstellen und Führen eines Verfahrensverzeichnisses nach 7 LDSG definiert und praktiziert sowie die entsprechenden verantwortlichen Personen benannt werden. Die Handreichung 3 Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle) gibt sowohl praktischen Hinweise, wie ein Verfahrensverzeichnis erstellt, geführt, zur Einsicht bereitgehalten und ggf. veröffentlicht werden kann, als auch Informationen darüber, was bei gemeinsamen bzw. gemeinsamen Verfahren mit zentraler Stelle in Bezug auf die Verantwortlichkeiten und den Datenschutzmanagementprozessen beachtet werden muss. 3 https://www.datenschutzzentrum.de/verfahrensverzeichnis - 6 -

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback