ADDISON Akademie Internes Seminar (bei Kunden: Seminar oder Online-Schulung) Seminartitel 1 Seminartitel 2 Datenschutz- Grundverordnung (Refe- Teilnehmerunterlage rentenunterlage) Checkliste
Checkliste Datenschutz-Grundverordnung DS.101/DS.102 Stand: September 2017 Copyright (C) 2017 Wolters Kluwer Service und Vertriebs GmbH Die Angaben in den folgenden Unterlagen können ohne gesonderte Mitteilung geändert werden. Dieses Dokument ist urheberrechtlich geschützt. Alle Rechte, auch die der Übersetzung, des Nachdrucks und der Vervielfältigung des Dokuments oder Teilen daraus, sind vorbehalten. Ohne schriftliche Genehmigung seitens der Wolters Kluwer Software und Service GmbH darf kein Teil dieses Dokuments in irgendeiner Form (Fotokopie, Mikrofilm oder einem anderen Verfahren), auch nicht zum Zwecke der Unterrichtsgestaltung, reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden. Wolters Kluwer Service und Vertriebs GmbH Hindenburgstraße 46 71638 Ludwigsburg www.addison.de
Inhaltsverzeichnis 1. Verzeichnis von Verarbeitungstätigkeiten 4 2. Liste der Verarbeitungstätigkeiten 5 3. Verarbeitung 6 3.1. Finanzbuchhaltung (Achtung: Beispiel) 6 4. Compliance-Check 8 4.1. Rechtmäßigkeit der Datenverarbeitung und Verarbeitung nach Treu und Glauben 8 4.2. Zweckbindung 8 4.3. Datenminimierung 8 4.4. Speicherbegrenzung 8 4.5. Richtigkeit 8 4.6. Vertraulichkeit, Integrität und Verfügbarkeit 8 4.7. Transparenz 8 4.8. Persönliche Teilhabe und Zugang 8 4.9. Rechenschaftspflicht 8 5. Verarbeitung 10 5.1. Lohnbuchhaltung 10 6. Compliance-Check 11 6.1. Rechtmäßigkeit der Datenverarbeitung und Verarbeitung nach Treu und Glauben 11 6.2. Zweckbindung 11 6.3. Datenminimierung 11 6.4. Speicherbegrenzung 11 6.5. Richtigkeit 11 6.6. Vertraulichkeit, Integrität und Verfügbarkeit 11 6.7. Transparenz 11 6.8. Persönliche Teilhabe und Zugang 11 6.9. Rechenschaftspflicht 11 7. Weitere Verarbeitungen sind diesem Dokument anzufügen. 13 Wolters Kluwer Service und Vertriebs GmbH, Ludwigsburg 2017, Irrtum und Änderungen vorbehalten Seite 3 von 18
1. Verzeichnis von Verarbeitungstätigkeiten Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten Wolters Kluwer Service und Vertriebs GmbH, Ludwigsburg 2017, Irrtum und Änderungen vorbehalten Seite 4 von 18
2. Liste der Verarbeitungstätigkeiten Finanzbuchhaltung Lohnbuchhaltung Personalmanagement. Wolters Kluwer Service und Vertriebs GmbH, Ludwigsburg 2017, Irrtum und Änderungen vorbehalten Seite 5 von 18
3. Verarbeitung 3.1. Finanzbuchhaltung (Achtung: Beispiel) Zwecke der Verarbeitung Die Finanzbuchhaltung (Fibu) ist ein Teilbereich des betrieblichen Rechnungswesens. (Wikipedia) Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten Debitor (Name, Kontaktdaten, Bankdaten, Rechnungen/Gutschriften/Stornos) Kreditor (Name, Kontaktdaten, Bankdaten, Rechnungen/Gutschriften/Stornos) Mitarbeiter (Login-Daten, Protokolldaten) Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen Banken Berufsgenossenschaften Betriebsprüfer Bundesanzeiger Finanzamt Finanzgericht Krankenkassen Sozialversicherung Daten- und Aktenvernichter IT-Service gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien Keine Übermittlung Wolters Kluwer Service und Vertriebs GmbH, Ludwigsburg 2017, Irrtum und Änderungen vorbehalten Seite 6 von 18
vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien 10 Jahre nach Jahresabschluss nach Abgabenordnung eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 Ein allgemeines Sicherungskonzept für personenbezogene Daten ist anzufügen (Aufgabe der Informationssicherheit des Unternehmens). Wolters Kluwer Service und Vertriebs GmbH, Ludwigsburg 2017, Irrtum und Änderungen vorbehalten Seite 7 von 18
4. Compliance-Check 4.1. Rechtmäßigkeit der Datenverarbeitung und Verarbeitung nach Treu und Glauben Die Rechtsgrundlage für die Verarbeitung ist identifiziert? 4.2. Zweckbindung Der Zweck der Verarbeitung ist ausreichend beschrieben? Die personenbezogenen Daten werden nur für den festgelegten Zweck verarbeitet werden? Bei Zweckänderungen werden die Hinweispflichten beachtet und wieder eine Rechtmäßigkeitprüfung durchgeführt? 4.3. Datenminimierung Der Umfang der Datenverarbeitung ist auf das erforderliche Maß beschränkt? 4.4. Speicherbegrenzung Die Löschfristen sind für die Verarbeitung identifiziert, dokumentiert und werden eingehalten? 4.5. Richtigkeit Es wird sichergestellt, dass die personenbezogenen Daten in der Verarbeitung richtig und aktuell sind. 4.6. Vertraulichkeit, Integrität und Verfügbarkeit Für die Verarbeitung liegt eine Risikoanalyse aus Sicht der interessierten Parteien vor? Die angemessenen Informationssicherheitsmaßnahmen sind identifiziert, dokumentiert und wurden umgesetzt? 4.7. Transparenz Die gesetzlich vorgeschriebenen Transparenzpflichten werden eingehalten? 4.8. Persönliche Teilhabe und Zugang Die Betroffenenrechte werden eingehalten? 4.9. Rechenschaftspflicht Die Verantwortlichkeiten in dem Verfahren sind explizit geregelt und dokumentiert? Ein Datenschutzbeauftragter ist bestellt, soweit gesetzlich gefordert? Wolters Kluwer Service und Vertriebs GmbH, Ludwigsburg 2017, Irrtum und Änderungen vorbehalten Seite 8 von 18
Die Auftragsverarbeitungen und Joint Controllerships sind identifiziert und dokumentiert, ein datenschutzkonformer Vertrag ist von den Parteien unterschrieben und liegt zumindest in elektronischer Form vor? Die Verarbeitung wird regelmäßig auditiert und die Auditergebnisse liegen schriftlich vor? Die Mitarbeiter in dieser Verarbeitung sind rollenspezifisch über ihre Datenschutzaufgaben geschult. Die Schulungen werden regelmäßig wiederholt? Wolters Kluwer Service und Vertriebs GmbH, Ludwigsburg 2017, Irrtum und Änderungen vorbehalten Seite 9 von 18
5. Verarbeitung 5.1. Lohnbuchhaltung Zwecke der Verarbeitung Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 Wolters Kluwer Service und Vertriebs GmbH, Ludwigsburg 2017, Irrtum und Änderungen vorbehalten Seite 10 von 18
6. Compliance-Check 6.1. Rechtmäßigkeit der Datenverarbeitung und Verarbeitung nach Treu und Glauben Die Rechtsgrundlage für die Verarbeitung ist identifiziert? 6.2. Zweckbindung Der Zweck der Verarbeitung ist ausreichend beschrieben? Die personenbezogenen Daten werden nur für den festgelegten Zweck verarbeitet werden? Bei Zweckänderungen werden die Hinweispflichten beachtet und wieder eine Rechtmäßigkeitprüfung durchgeführt? 6.3. Datenminimierung Der Umfang der Datenverarbeitung ist auf das erforderliche Maß beschränkt? 6.4. Speicherbegrenzung Die Löschfristen sind für die Verarbeitung identifiziert, dokumentiert und werden eingehalten? 6.5. Richtigkeit Es wird sichergestellt, dass die personenbezogenen Daten in der Verarbeitung richtig und aktuell sind. 6.6. Vertraulichkeit, Integrität und Verfügbarkeit Für die Verarbeitung liegt eine Risikoanalyse aus Sicht der interessierten Parteien vor? Die angemessenen Informationssicherheitsmaßnahmen sind identifiziert, dokumentiert und wurden umgesetzt? 6.7. Transparenz Die gesetzlich vorgeschriebenen Transparenzpflichten werden eingehalten? 6.8. Persönliche Teilhabe und Zugang Die Betroffenenrechte werden eingehalten? 6.9. Rechenschaftspflicht Die Verantwortlichkeiten in dem Verfahren sind explizit geregelt und dokumentiert? Ein Datenschutzbeauftragter ist bestellt, soweit gesetzlich gefordert? Wolters Kluwer Service und Vertriebs GmbH, Ludwigsburg 2017, Irrtum und Änderungen vorbehalten Seite 11 von 18
Die Auftragsverarbeitungen und Joint Controllerships sind identifiziert und dokumentiert, ein datenschutzkonformer Vertrag ist von den Parteien unterschrieben und liegt zumindest in elektronischer Form vor? Die Verarbeitung wird regelmäßig auditiert und die Auditergebnisse liegen schriftlich vor? Die Mitarbeiter in dieser Verarbeitung sind rollenspezifisch über ihre Datenschutzaufgaben geschult. Die Schulungen werden regelmäßig wiederholt? Wolters Kluwer Service und Vertriebs GmbH, Ludwigsburg 2017, Irrtum und Änderungen vorbehalten Seite 12 von 18
7. Weitere Verarbeitungen sind diesem Dokument anzufügen. Wolters Kluwer Service und Vertriebs GmbH, Ludwigsburg 2017, Irrtum und Änderungen vorbehalten Seite 13 von 18
Weiterführende Informationen Wichtige Hinweise Handlungsanweisungen Nützliche Tipps und Tricks Beispiele zu den Themen Notizen Sprechertext Wolters Kluwer Service und Vertriebs GmbH, Ludwigsburg 2017, Irrtum und Änderungen vorbehalten Seite 14 von 18
Hier die wichtigsten Kontaktinformationen der : Erreichbar Montag bis Donnerstag von 08:30 12:00 Uhr sowie von 13:00 16:30 Uhr und Freitag von 08:30 12:00 Uhr sowie von 13:00 14:30 Uhr Telefon: 07141/914-180 Telefax: 07141/914-92 E-Mail: addison-akademie@wolterskluwer.com ADDISON ADDISON Niederlassung Bereich AKTE Wolters Kluwer Service und Vertriebs GmbH Wolters Kluwer Software und Service GmbH ADDISON Niederlassung Hindenburgstraße 46 Goethestraße 51 71638 Ludwigsburg 29410 Salzwedel Um die Qualität unserer Seminare stetig zu steigern, fragen wir Sie nach Ihrer Beurteilung. Dazu erhalten Sie von uns am Tag des Seminars bzw. der Onlineschulung eine E-Mail mit der Aufforderung das entsprechende Formular auszufüllen und abzuschicken. Wir möchten Sie bitten, die Beurteilungen entsprechend auszufüllen, da uns Ihre Meinung und Ihre Anliegen sehr am Herzen liegen und wir uns auch in diesem Bereich immer weiter entwickeln möchten.