Compliance mit der Datenschutz-Grundverordnung (DS-GVO) Compliance with the General Data Protection Regulation (GDPR)

DATENSCHUTZHANDBUCHDATA PROTECTION MANUAL

DGD DEUTSCHE GESELLSCHAFT FÜR DATENSCHUTZ GMBHROBERT-BOSCH-STR. 1185221 DACHAU TELEFON: +49 (0) 8131-77987-0TELEFAX: +49 (0) 8131-77987-99WEB: WWW.DG-DATENSCHUTZ.DEE-MAIL: INFO@DG-DATENSCHUTZ.DE

”“

In an adjustable and customizable data protection manual, together we will establish the basic structure for your data protection, and work out an individual concept that will be

constantly improved. The regular data protection audit thereby serves as a basis for documentation.

In einem anpassbaren und personalisierbaren Datenschutzhandbuch legen wir mit Ihnen

gemeinsam die Grundstruktur für Ihren Datenschutz fest. Wir erarbeiten mit Ihnen ein individuelles Konzept, das stets weiterentwickelt wird. Das

regelmäßige Datenschutz-Audit dient dabei als Dokumentationsgrundlage.

”

“

4 | DATENSCHUTZHANDBUCH

SEITE 1

DER DATENSCHUTZBEAUFTRAGTEALS IHR STETER BEGLEITER

Ein Datenschutzbeauftragter zeigt sich dem Verantwortlichen bzw. dem Auftragsverarbeiter gegenüber für eine praxisnahe und dem Gesetz entsprechende Organisation des Datenschutzes verantwortlich. Unsere Experten beraten sowohl Unternehmen als auch Behörden. Der vertrauensvolle Umgang mit personenbezogenen Daten steht für uns dabei im Mittelpunkt.

Bennenung zum Datenschutzbeauftragten

Stellenbeschreibung des Datenschutzbeauftragten

Information über die Verarbeitungpersonenbezogener Daten

DATA PROTECTION MANUAL | 5

SEITE 2

THE DATA PROTECTION OFFICERAS YOUR CONSTANT COMPANION

A data protection officer is responsible for a practice-oriented and legally compliant organization of data protection on behalf of the controller or processor. Our experts advise both companies and public authorities. The confidential handling of personal data is our focus.

Designation as Data Protection Officer

Job Description of the Data Protection Officer

Information about the Processingof Personal Data

6 | DATENSCHUTZHANDBUCH

SEITE 1

MIT EINEM KONZEPT SICHERHEIT DEFINIEREN

Datenschutz und Informationssicherheit sind differenziert zu betrachten. Das Datenschutzrecht erfasst nur personenbezogene Daten, während Datensicherheit auch andere Informationen mit einbezieht. Zwar ergeben sich Schnittmengen, doch darf die bestehende Divergenz nicht außer Acht gelassen werden. Wir behandeln Informationssicherheit und Datenschutz jeweils als eigenständige Fachbereiche, vereinen jedoch beides in kombinierten Konzepten.

Leitlinie zur Informationssicherheit

Datenschutz- und Datensicherheitskonzept

Computerviren-Schutzkonzept

DATA PROTECTION MANUAL | 7

SEITE 2

DEFINING SECURITY AS AN OVERALL CONCEPT

Data protection and information security are to be viewed differently. Data protection law covers only personal data, while data security includes other types of information. Although there are overlaps, the existing divergence must not be ignored. We treat information security and data protection as separate subject areas, but bring them together in combined concepts.

Guideline for Information Security

Data Protection and Data Security Concept

Computer Viruses Protection Concept

8 | DATENSCHUTZHANDBUCH

SEITE 1

MIT PLANUNG FÜR TRANSPARENZ SORGEN

Der Entwicklung von Konzepten und Richtlinien kommt im Unternehmensalltag ein besonders hoher Stellenwert zu. Zum einen dienen sie als Nachweis der Einhaltung gesetzlicher Vorschriften, zum anderen können sie nach einem Sicherheitsvorfall ggf. die Exkulpation der Geschäftsführung ermöglichen. Deshalb sollten sowohl Konzepte zur Datensicherung und Archivierung als auch ein Notfallvorsorgekonzept vorgehalten werden können.

Datensicherungskonzept

Archivierungskonzept

Notfallvorsorgekonzept

DATA PROTECTION MANUAL | 9

SEITE 2

PLANNING TO ENSURE TRANSPARENCY

The development of concepts and guidelines is a particularly high priority in the daily business of an enterprise. On the one hand, concepts and guidelines serve as proof of compliance with legal requirements, and, on the other hand, may enable exculpation of the management after a security incident. Therefore, concepts for data backup and archiving, as well as an emergency preparedness concept, should be kept available.

Data Backup Concept

Archiving Concept

Emergency Preparedness Concept

10 | DATENSCHUTZHANDBUCH

SEITE 1

TECHNISCHER UND ORGANISATORISCHER DATENSCHUTZ SORGT FÜR TRANSPARENZ

Zwar ist das öffentliche Verfahrensverzeichnis in der Datenschutz-Grundverordnung nicht mehr vorgesehen, doch schafft es Transparenz. Dies vereinen wir mit dem Definitionsverzeichnis des Verantwortlichen oder Auftragsverarbeiters. Die hier festgelegten Definitionen gelten für die gesamte Datenschutzdokumentation und bilden einen der Grundpfeiler unseres Gesamtkonzepts.

Technische und organisatorischeMaßnahmen

Öffentliches Verfahrensverzeichnis undDefinitionen

DATA PROTECTION MANUAL | 11

SEITE 2

Public Index of Procedures and Definitions

TECHNICAL AND ORGANIZATIONAL DATA PROTECTION ENSURES TRANSPARENCY

Although the public index of procedures is no longer envisaged in the General Data Protection Regulation, it creates transparency. We combine it with the definition directory of the controller or processor. The definitions determined here apply to all data protection documentation, and form one of the cornerstones of our overall concept.

Technical and Organisational Measures

12 | DATENSCHUTZHANDBUCH

SEITE 1

MITARBEITER UMFASSEND INDATENSCHUTZPROZESSE EINBINDEN

Die Einhaltung datenschutzrechtlicher Vorschriften schafft Vertrauen. Deshalb erläutern wir die gesetzlichen Vorschriften gegenüber der Belegschaft und stellen Mitarbeiterinformationen bereit.

Erläuterungen zu den Datenschutzgesetzen

Mitarbeiterinformation zu QR-Codes undgekürzten Hyperlinks

Mitarbeiterinformation: SicheresLöschen mobiler Endgeräte

DATA PROTECTION MANUAL | 13

SEITE 2

EXTENSIVELY INVOLVING EMPLOYEESIN DATA PROTECTION PROCESSES

Compliance with data protection regulations creates trust. That is why we explain legal regulations to staff, and provide employee information.

Explanatory Notes to the Data Protection Laws

Employee Information about QR Codesand Short Links

Employee Information: Secure Deletionof Mobile Devices

14 | DATENSCHUTZHANDBUCH

SEITE 1

VORBEUGENDE AUFKLÄRUNG DER MITARBEITER

IT-Sicherheit spielt im Unternehmensalltag eine bedeutende Rolle. Bedachte Sicherheitsstrategien dienen dazu, der enormen Verantwortung gegenüber den Geschäftspartnern, Kunden und Aktionären gerecht zu werden. Sind die Mitarbeiter über potentielle Gefahren informiert, können Sicherheitsvorfälle vermieden werden.

Mitarbeiterinformationen zum Virenschutz und zuInternetgefahren

Mitarbeiterinformationen zu Schutzmaßnahmen gegen Phishing-Attacken

Mitarbeiterinformationen zum Einsatzvon Notebooks, Tablets und PDAs

DATA PROTECTION MANUAL | 15

SEITE 2

PREVENTIVE INFORMING OF EMPLOYEES

IT security plays an important role in day-to-day business. Thoughtful security strategies are designed to meet the enormous responsibilities of business partners, customers and shareholders. If employees are informed of potential dangers, security incidents may be avoided.

Employee Information about VirusProtection and Internet Threats

Employee Information for the Use ofNotebooks, Tablets and PDAs

Employee Information on ProtectionMeasures against Phishing Attacks

16 | DATENSCHUTZHANDBUCH

SEITE 1

DAS EIGENE PERSONALINFORMIEREN

In der heutigen Informationsgesellschaft stehen Unternehmen vor besonderen Herausforderungen. Das Management trägt nicht mehr die alleinige Verantwortung für Entscheidungen; diese werden von Mitarbeitern aus der gesamten Unternehmensstruktur getroffen. Doch zur Anleitung des Personals ist die Zugänglichmachung von Mitarbeiterinformationen notwendig.

Mitarbeiterinformationenzur Nutzung von VPN- und RAS

Mitarbeiterinformationen zur E-Mail-Kommunikation

Mitarbeiterinformationenzu Mobilfunkdaten

DATA PROTECTION MANUAL | 17

SEITE 2

INFORMING OWN STAFF

With the abundance of information in today’s society, enterprises face particular challenges. Management no longer bears sole responsibility for decisions; these are made by employees throughout the entire company structure. Still, making employee information available is necessary for the personnel guidance.

Employee Information to the Email Communication

Employee Informationon Mobile Communications Data

Employee Information for the Use of VPN and RAS

18 | DATENSCHUTZHANDBUCH

SEITE 1

RICHTLINIEN ZUR VERMEIDUNGVON RISIKEN

Richtlinien dienen der Entwicklung rechtskonformer Organisationsstrukturen. Den Mitarbeitern eines Unternehmens erlauben sie, Entscheidungen in Übereinstimmung mit Unternehmensinteressen und Gesetzen zu treffen. Richtlinie zu Einführung und Nutzung

bestehender und zukünftigerMobilfunkeinrichtungen

Richtlinie zur Datenschutzorganisation

Richtlinie und Informationzur Nutzung der Kommunikationssysteme

DATA PROTECTION MANUAL | 19

SEITE 2

GUIDELINES FOR PREVENTION OF RISKS

Guidelines serve the development of legally compliant organizational structures. They allow the employees of an enterprise to make decisions in accordance with company interests and legal provisions.

Policy to the Data ProtectionOrganisation

Policy to the Introduction and Use of existing and future Mobile CommunicationFacilities

Policy and Information on the Use of Communication Systems

20 | DATENSCHUTZHANDBUCH

SEITE 1

DATENVERARBEITUNG VORAUSSCHAUEND REGELN

Richtlinien legen strukturelle Rahmenbedingungen fest. Sie regeln sowohl den richtigen Einsatz der im Unternehmen vorhandenen IT-Systeme als auch die Vorgehensweise bei unterschiedlichen Datenverarbeitungsvorgängen. Dadurch werden rechtskonforme Prozessstrukturen gebildet.

Richtlinie zum sicheren Löschen vonDaten auf Datenträgern

Richtlinie zum Einsatz vonFirewall-Systemen

Richtlinie zum elektronischenPersonalaktensystem

DATA PROTECTION MANUAL | 21

SEITE 2

Policy for the Secure Deletion of Data on Data Carriers

Policy to the Deployment of FirewallSystems

Policy to the ElectronicEmployee Information System

PROACTIVE REGULATION OF DATA PROCESSING

Guidelines establish structural framework conditions. They regulate both the correct utilisation of IT systems available at the enterprise, as well as the approach to different data processing operations. Thereby, legally compliant process structures are formed.

22 | DATENSCHUTZHANDBUCH

SEITE 1

SICHERHEITSRICHTLINIENFESTLEGEN

Für Mitarbeiter aus unterschiedlichen Fachabteilungen sollten jeweils eigene Sicherheitsrichtlinien gelten. Dadurch kann der stets rechtskonforme Zugriff auf IT-Umgebungen gewährleistet sowie ein hohes Datenschutzlevel aufrechterhalten werden.

Sicherheitsrichtlinie für Administratoren

Sicherheitsrichtlinie für das Outsourcingvon IT-Dienstleistungen

Sicherheitsrichtlinie für Benutzer

DATA PROTECTION MANUAL | 23

SEITE 2

Safety Policy for Administrators

Security Policy for the Outsourcingof IT Services

Safety Policy for Users

ESTABLISHING SECURITY GUIDELINES

For employees from different departments, separate security guidelines should apply. In this way, legally compliant access to IT environments is guaranteed, and a high level of data protection is maintained.

24 | DATENSCHUTZHANDBUCH

SEITE 1

BETRIEBSVEREINBARUNGEN SCHAFFEN TRANSPARENZ

Der steigende Einsatz informationstechnologischer Systeme und die Abhängigkeit vom technologischen Fortschritt erfordern oft eine gemeinsame Ausarbeitung von Betriebsvereinbarungen. Vorlagen dieser Vereinbarungen können dabei die Arbeit für den Betriebsrat erheblich erleichtern.

Betriebsvereinbarung über die Arbeitan Bildschirmgeräten

Betriebsvereinbarung über die Installationund Nutzung von Videosystemen

Betriebsvereinbarung über die Errichtung außerbetrieblicher Arbeitsstätten in Mitarbeiterwohnungen

DATA PROTECTION MANUAL | 25

SEITE 2

Betriebsvereinbarung über die Errichtung außerbetrieblicher Arbeitsstätten in Mitarbeiterwohnungen

WORK COUNCIL AGREEMENTS CREATE TRANSPARENCY

Both the increasing use of information technology systems and dependence on technological progress often require a joint development of work council agreements. Templates of these agreements may significantly facilitate operation of the works council.

Works Council Agreement on the Work withDisplay Screen Devices

Works Council Agreement on the Installationand Use of Video Systems

Works Council Agreement on the Establishment of ExternalWorkplaces in Employee Homes

26 | DATENSCHUTZHANDBUCH

SEITE 1

MITARBEITERDATEN SOLLTEN BESONDERS GESCHÜTZT SEIN

Verarbeitungen der Mitarbeiterdaten gehören in einem Unternehmen heute zum Alltag. Ist ein Betriebsrat vorhanden, so ist er in die Verarbeitung von Personaldaten zu involvieren. Dann werden auch Betriebsvereinbarungen unabdingbar.

Betriebsvereinbarung über die Nutzung von Festnetztelefon, Handy und Fax

Betriebsvereinbarung über dieZeiterfassung

Betriebsvereinbarung über dieZutrittskontrolle

DATA PROTECTION MANUAL | 27

SEITE 2

EMPLOYEES SHOULD BE PARTICULARLY PROTECTED

Processing of employee data is a daily routine at a company. If there is a work council, it is to be involved into the processing of personnel data. Work council agreements will then become indispensable.

Works Council Agreement on the Useof Fixed-line Phones, Mobile Phones and Fax

Works Council Agreement onthe Time Recording

Works Council Agreement onAccess Control

28 | DATENSCHUTZHANDBUCH

SEITE 1

AUFTRAGSVERARBEITER IN DIE PFLICHT NEHMEN

Datenschutz spielt im Auftragsverhältnis eine besondere Rolle. Der Verantwortliche verpflichtet daher den Auftragsverarbeiter durch einen Vertrag auf die Einhaltung gesetzlicher Bestimmungen. Werden die Obliegenheiten dabei missachtet, drohen empfindliche Strafen.

Vertrag zum Datenschutz und zurDatensicherheit in Auftragsverhältnissen

Standardvertragsklauseln

DATA PROTECTION MANUAL | 29

SEITE 2

COMMITING PROCESSORS

Data protection plays a special role in contractual relations. Therefore, the controller commits the processor to comply with legal requirements through a contract. If the requirements are ignored, severe penalties may follow.

Contract for Data Protection andData Security in a Contractual Relationship

Standard Contractual Clauses

30 | DATENSCHUTZHANDBUCH

SEITE 1

VERZEICHNISSE UNDDATENSCHUTZ-FOLGENABSCHÄTZUNGEN

Der Verantwortliche muss seine Verfahrensabläufe in Verfahrensverzeichnissen dokumentieren. Wiederum der Auftragsverarbeiter hat ein Verzeichnis über Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten zu führen. Ferner sind Datenschutz-Folgenabschätzungen zu dokumentieren.

Verzeichnis der Kategorien von im Auftrag eines Verantwortlichen durchgeführtenTätigkeiten

Datenschutz-Folgenabschätzung

Verzeichnis von Verarbeitungstätigkeiten

DATA PROTECTION MANUAL | 31

SEITE 2

RECORDS AND DATA PROTECTION IMPACT ASSESSMENTS

The controller must document his procedures in records of processing activities. In turn, the processor shall keep records of categories of processing activities carried out on behalf of a controller. Data protection impact assessments are also to be documented.

Records of Categories of Processing Activitiescarried out on Behalf of a Controller

Data Protection Impact Assessment

Record of Processing Activities

DGD Deutsche Gesellschaft für Datenschutz GmbHRobert-Bosch-Str. 1185221 Dachau

Telefon: +49 (0) 8131-77987-0Telefax: +49 (0) 8131-77987-99Web: www.dg-datenschutz.deE-Mail: info@dg-datenschutz.de