1. Verzeichnis der Verarbeitungstätigkeiten

 In Art. 30 DSGVO werden die Inhalte des neuen Verarbeitungsverzeichnisses konkretisiert. BVDW-Mitglieder finden hier eine Musteranleitung für ein Verarbeitungsverzeichnis (Passwort erforderlich).
Hier finden Sie auch die Kurzpapiere der Datenschutzaufsichtsbehörden zu diesem Thema:

4. Datenschutzerklärungen für Webseiten und Online-Shops

Nutzer müssen vor Erhebung personenbezogener Daten umfassend informiert werden. In Art. 13 DSGVO sind die Mindestinformationen aufgezählt. Solche Datenschutzerklärungen sind insbesondere für Webseitenbetreiber und Online-Händler relevant. Hier finden Sie einen Überblick sowie eine Mustererklärung.

2. Datenschutz-Folgenabschätzung

Nach Art. 35 DSGVO müssen Unternehmen vor der Etablierung neuer Datenverarbeitungsprozesse eine so genannte Datenschutz-Folgenabschätzung durchführen.  BVDW-Mitglieder können hier eine Muster-Checkliste herunterladen (Passwort erforderlich).
Hier können Sie das Online-Tool der französischen Datenschutzbehörde herunterladen.
Hier finden Sie auch die Kurzpapiere der Datenschutzaufsichtsbehörden zu diesem Thema:

5. Meldung von Datenschutzverletzungen

Bei Datenschutzverletzungen muss die Aufsichtsbehörde künftig möglichst innerhalb von 72 Stunden informiert werden. Neben einem reibungslosen internen Kommunikations- und Reaktionsprozess  sollten Meldungen so weit wie möglich standardisiert erfolgen, um Zeit zu sparen. BVDW-Mitglieder können hier eine Muster-Meldung herunterladen (Passwor erforderlich).

3. Vereinbarung gemeinsam Verantwortlicher nach Art. 26 DSGVOs

Haben mehrere verantwortliche Datenverarbeiter gemeinsam Einfluss auf die Zwecke und Mittel der Datenverarbeitung, müssen sie eine Vereinbarung darüber schließen, wer welche datenschutzrechtlichen Verpflichtungen erfüllen muss und wer welche Informationen nach Art. 13 und 14 DSGVO geben muss. Nach dem jüngsten Urteil des EuGH zur Einbindung fremder Social-Media-PlugIns (z.B. Like-Buttons) ist beispielsweise ein Webseitenbetreiber gemeinsam mit dem Drittanbieter für die über das PlugIn luafenden Datenverarbeitungen verantwortlich, soweit der über die Zwecke und Mittel der Datenverarbeitung mitbestimmt. Seine Pflichten beschränken sich jedoch nur auf den teil, auf den er tatsächlich Einfluss hat. Informieren muss ein Webseitenbetreiber also jedenfalls darüber, dass er ein entsprechendes PlugIn einsetzt und dieses Daten an den Drittanbieter übermittelt. Zwischen Webseitenbetreiber und Drittem muss dann auch eine Vereinbarung nach Art. 26 DSGVO geschlossen werden. Die Vereinbarung muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber den Nutzern gebührend widerspiegeln. Die DSGVO gibt hier keine Form vor, sie sollte zu Dokumentationszwecken aber zumindest in Textform fixiert sein.

6. Auftragsverarbeitung nach Art. 28 DSGVO

Die Auftragsverarbeitung (ehemals Auftragsdatenverarbeitung gemäß § 11 BDSG) ist künftig nicht mehr auf den EU-Raum (z.B. an Unternehmen unter dem EU-US-Privacy Shield) beschränkt, da Auftragsverarbeiter gemäß Art. 4 Nr. 10 DSGVO keine Dritten sind. BVDW-Mitglieder können hier eine Muster-Vereinbarung abrufen (Passwort erforderlich).
Hier finden Sie eine Formulierungshilfe des Hessischen Datenschutzbeauftragten:

7. Präsentationen der BVDW Roadshow Datenschutz 2016

An dieser Stelle finden Sie Folien der Referenten unserer Datenschutz-Roadshow aus dem Jahr 2016. Die Folien beinhalten Informationen zu Themen wie Auftragsverarbeitung, Onmichannel-Marketing, Pseudonymisierung und Anonymisierung.