Externe Datenflüsse Teil 1 – Auftragsverarbeiter & Datenempfänger erfassen

Externe Datenflüsse Teil 1 – Auftragsverarbeiter & Datenempfänger erfassen

Datenschutz endet nicht an der eigenen Unternehmensgrenze. Sobald personenbezogene Daten an externe Stellen weitergegeben werden, müssen auch diese Flüsse erfasst werden. In MoeWe gibt es dafür ein Modul „Datenweitergaben“. Hier dokumentieren Sie z. B. Auftragsverarbeiter (Art. 28 DSGVO), gemeinsame Verantwortliche (Art. 26) oder sonstige Empfänger (z. B. Behörden, Partner, externe Berater). Praxisbeispiel: Ihr Unternehmen nutzt einen externen Cloud-Dienstleister für die Gehaltsabrechnung – das ist eine klassische Auftragsverarbeitung. Diese Beziehung sollten Sie im Tool anlegen. Gehen Sie dazu entweder über die betroffene Verarbeitung („Datenweitergabe hinzufügen“) oder direkt ins Datenweitergaben-Modul und klicken dort auf „Eintrag hinzufügen“. Im Formular erfassen Sie zunächst die Grunddaten des Empfängers/Vertragspartners: Name der externen Stelle (Firma des Dienstleisters), ggf. Adresse und Ansprechperson. Diese Stammdaten sind wichtig, um später etwa ein eigenes Verzeichnis aller Auftragsverarbeiter zu generieren oder bei Anfragen schnell Auskunft geben zu können. Anschließend wählen Sie die Art der Weitergabe bzw. Rechtsgrundlage: Ist es ein Auftragsverarbeiter (Art. 28), eine gemeinsame Verantwortung (Art. 26) oder eine reine Datenübermittlung auf Basis von Art. 6 (z. B. gesetzliche Pflicht)? MoeWe stellt gängige Optionen zur Auswahl bereit, inklusive Spezialfälle wie Drittland-Übermittlungen mit Standardvertragsklauseln. Treffen Sie hier eine Auswahl – sie hilft später, Berichte zu filtern (z. B. alle laufenden AV-Verträge auflisten). Sobald die externe Stelle erfasst ist, verknüpfen Sie sie mit der zugehörigen Verarbeitungstätigkeit, falls das nicht schon automatisch geschieht. Damit ist transparent, welche Prozesse Daten nach außen geben.

Lessons Learned:

• Jeder externe Datenempfänger (Auftragsverarbeiter, Partner, Behörde etc.) sollte im Tool mit Name und Kontaktdaten erfasst werden.
• Die Art der Datenweitergabe (AV, gemeinsame Verantwortlichkeit, gesetzliche Übermittlung etc.) muss eindeutig festgelegt sein.

Durch die Verknüpfung von Weitergaben mit Verarbeitungstätigkeiten bleibt nachvollziehbar, welcher Prozess welche externen Stellen einbindet.