Modul 11 von 16 · 📖 6 min Lesezeit · ⏱ 30 min gesamt

KBM 11 Datenschutz im Büro — DSGVO praktisch

Inhaltsverzeichnis (6 Abschnitte)
  1. Konzepte und Hintergrund
  2. Architektur-Diagramm
  3. Praktische Schritte
  4. Häufige Fallstricke
  5. Weiterführende Ressourcen
  6. Wissens-Check

KBM 11 Datenschutz im Büro — DSGVO praktisch

In diesem Modul erlernen Sie die praktische Umsetzung der Datenschutz-Grundverordnung (DSGVO) im Büroalltag. Sie erfahren, wie Sie ein Verzeichnis von Verarbeitungstätigkeiten führen, Auftragsverarbeitung korrekt dokumentieren und Betroffenenrechte wirksam umsetzen. Zudem werden Sie geschult, Datenpannen frühzeitig zu erkennen und richtig zu melden.

Konzepte und Hintergrund

Verzeichnis von Verarbeitungstätigkeiten
Ein Pflichtdokument, in dem alle Tätigkeiten erfasst werden, bei denen personenbezogene Daten verarbeitet werden. Es dient der Transparenz und Nachvollziehbarkeit.
Auftragsverarbeitung
Die Verarbeitung von personenbezogenen Daten durch einen Auftragsverarbeiter im Auftrag des Verantwortlichen. Erfordert einen speziellen Vertrag mit strengen datenschutzrechtlichen Anforderungen.
Betroffenenrechte
Das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Diese Rechte müssen innerhalb gesetzlicher Fristen bearbeitet werden.
Meldung einer Datenpanne
Die Pflicht, eine Verletzung der Sicherheit der Verarbeitung der Aufsichtsbehörde zu melden, wenn sie zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Architektur-Diagramm

flowchart TD
    A[Kunden- und Mitarbeiterdaten] --> B[Datenbankserver]
    A --> C[CRM-System]
    B --> D[Zugriffskontrolle]
    C --> D
    D --> E[Benutzerrechteverwaltung]
    E --> F[DSGVO-konforme Protokollierung]
    F --> G[Auditing]

Praktische Schritte

  1. Erstellen Sie ein Verzeichnis aller Verarbeitungstätigkeiten mit Zweck, Rechtsgrundlage, Kategorien betroffener Personen und Datenempfänger.
  2. Prüfen Sie alle Verträge mit externen Dienstleistern auf die notwendigen Klauseln zur Auftragsverarbeitung gemäß Art. 28 DSGVO.
  3. Implementieren Sie ein System zur Bearbeitung von Betroffenenanfragen mit klaren Fristen und Eskalationswegen.
  4. Richten Sie eine Protokollierung für alle Zugriffe auf personenbezogene Daten ein, um die Sicherheit zu überwachen.
  5. Definieren Sie interne Abläufe für die Meldung von Datenpannen an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden.
  6. Schulen Sie Mitarbeiter regelmäßig in datenschutzrelevanten Themen und dokumentieren Sie die Schulungen.
  7. Implementieren Sie technische und organisatorische Maßnahmen (TOMs) wie Verschlüsselung und Zugriffskontrollen.
  8. Erstellen Sie eine Datenschutz-Folgenabschätzung für besonders sensible Verarbeitungen.

Häufige Fallstricke

Weiterführende Ressourcen

Wissens-Check

Vier Fragen zur Selbstkontrolle. Klicken Sie jede Frage an, um die richtige Antwort und Erklärung zu sehen.

Was ist der Hauptzweck eines Verzeichnisses von Verarbeitungstätigkeiten gemäß DSGVO?
  • A) Die Dokumentation aller internen Schulungsmaßnahmen
  • B) Die Gewährleistung von Transparenz und Nachvollziehbarkeit bei Datenverarbeitungen
  • C) Die Erfassung aller Hardware-Komponenten im Unternehmen
  • D) Die Protokollierung von Software-Updates und Patches

Richtige Antwort: B. Das Verzeichnis dient der Transparenz und Nachvollziehbarkeit bei der Verarbeitung personenbezogener Daten, nicht der Hardware-Dokumentation oder Schulungsprotokollierung.

Welche Frist gilt für die Meldung einer Datenpanne an die zuständige Aufsichtsbehörde?
  • A) Innerhalb von 24 Stunden nach Entdeckung
  • B)</strong) Innerhalb von 72 Stunden nach Entdeckung</li>
  • C) Innerhalb von 7 Werktagen nach Entdeckung
  • D)</strong) Innerhalb von 30 Tagen nach Entdeckung</li>

Richtige Antwort: B. Die DSGVO verlangt die Meldung einer Datenpanne innerhalb von 72 Stunden nach Entdeckung, wenn sie zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Was ist ein wesentliches Element eines Vertrags zur Auftragsverarbeitung nach Art. 28 DSGVO?
  • A)</strong) Die Festlegung der Gehaltsstrukturen der beteiligten Mitarbeiter</li>
  • B)</strong) Die Verpflichtung des Auftragsverarbeiters, nur nach schriftlicher Weisungen des Verantwortlichen zu handeln</li>
  • C)</strong) Die Definition von Service Level Agreements für die Systemverfügbarkeit</li>
  • D)</strong) Die Festlegung der Kündigungsfrist für den Vertrag</li>

Richtige Antwort: B. Der Auftragsverarbeiter ist verpflichtet, nur nach schriftlichen Weisungen des Verantwortlichen zu handeln, was ein zentraler datenschutzrechtlicher Grundsatz ist.

Welches Betroffenenrecht muss innerhalb eines Monats nach Eingang der Anfrage bearbeitet werden?
  • A) Das Recht auf Vergessenwerden
  • B) Das Recht auf Datenübertragbarkeit
  • C) Das Recht auf Auskunft
  • D) Das Recht auf Widerspruch

Richtige Antwort: C. Das Recht auf Auskunft muss gemäß Art. 12 DSGVO innerhalb eines Monats nach Eingang der Anfrage bearbeitet werden, bei komplexen Anfragen kann diese Frist um zwei Monate verlängert werden.