{"id":661,"date":"2018-05-28T11:55:06","date_gmt":"2018-05-28T09:55:06","guid":{"rendered":"https:\/\/portal.kiv-thueringen.de\/web\/?p=661"},"modified":"2026-03-27T10:43:00","modified_gmt":"2026-03-27T09:43:00","slug":"dsgvo-was-ist-zu-tun","status":"publish","type":"page","link":"https:\/\/portal.kiv-thueringen.de\/web\/loesungen\/dsgvo-was-ist-zu-tun\/","title":{"rendered":"DSGVO – was ist zu tun ?"},"content":{"rendered":"

Zum Umgang mit der DSGVO – ein Leitfaden<\/strong><\/h1>\n

Vorbemerkungen<\/h4>\n

Der Schutz pers\u00f6nlicher Daten soll in der Europ\u00e4ischen Union massiv gest\u00e4rkt und vereinheitlicht werden. Die neue Datenschutz-Grundverordnung (DSGVO) trat bereits am 24. Mai 2016 in Kraft und gilt am 25. Mai in allen 28 EU-Mitgliedsstaaten weitgehend einheitlich und ersetzt ggf. vorhanden Landesdatenschutzgesetze.\u00a0Die Mitgliedstaaten konnten jedoch eigene Erg\u00e4nzungen und Konkretisierungen vornehmen. Dies wurde durch die Bundesregierung durch das BDSG-Neu, welches selbigen Stichtag \u2013 25. Mai 2018 in Kraft trat vorgenommen. Auch der Th\u00fcringer Landtag hat das Landesrecht an den neuen EU-Datenschutz angepasst. Am 24.05.18 wurde das \u00fcberarbeitete Landesdatenschutzgesetz im Parlament verabschiedet.<\/p>\n

Was bedeutet dies konkret und wie kann vorgegangen werden?<\/strong><\/h4>\n

F\u00fcr jeden, der sich mit der Thematik Datenschutz und Datensicherheit in Vergangenheit besch\u00e4ftigt hat und diese Themen auch wirklich „lebt“, fallen die Anpassungen innerhalb seiner Organisation moderat aus, auf alle anderen kommen u.U. umfangreiche Anpassungen der Organisation zu.<\/p>\n

Der Fokus der DSGVO liegt auf dem Schutz der Daten der Betroffenen. Hierf\u00fcr kann das in der Vergangenheit erstellte IT-Sicherheitskonzept herangezogen und erg\u00e4nzt werden. Die Verordnung zielt hierbei vor allem auf die innerhalb der Organisation gelebten Prozesse zur Datenverarbeitung. Das IT-Sicherheitskonzept zielt mehr auf die technische Ausrichtung der Organisation zur Datenverarbeitung.<\/p>\n

Welche Themen sollten Sie in welcher Reihenfolge angehen? Wie haben versucht, Ihnen einzelne Schritte aufzuzeigen, um die Komplexit\u00e4t und die zeitliche Umsetzung etwas zu vereinfachen – hier unser kleiner Leitfaden:<\/p>\n

Grundlage schaffen – Benennung des Datenschutzbeauftragten, IT-Sicherheitsbeauftragten<\/h4>\n

Nach DSGVO Art.37 pr\u00fcfen Sie bitte die Aktualit\u00e4t zur\u00a0 Benennung Ihres Datenschutzbeauftragten. So k\u00f6nnen Sie ab sofort auch einen externen Datenschutzbeauftragten benennen, welcher dann eng mit Ihrem schon berufenen IT-Sicherheitsbeauftragten zusammen arbeiten kann. Denkbar sind hier auch interkommunale L\u00f6sungen, d.h. mehrere Kommunen bzw. Organisationen schlie\u00dfen sich zusammen und benennen diesen gemeinsam. Gerne k\u00f6nnen Sie auch auf uns zukommen und die KIV als Datenschutzbeauftragten benennen.<\/p>\n

Schritt 1: Sicherstellen der Au\u00dfenwirksamkeit der DSGVO gegen\u00fcber Ihren Kunden bzw. dem B\u00fcrger<\/h4>\n
    \n
  1. Bitte melden Sie ihren Datenschutzbeauftragten, nach Art.37(7) DSGVO, an den Landesdatenschutzbeauftragten.\n

    <\/strong>Information zu Meldung Datenschutzbeauftragte(r) in Th\u00fcringen<\/a>\u00a0(externer Link)
    \n    Formblatt zur Meldung Datenschutzbeauftragte(r) in Bayern<\/a>\u00a0(externer Link)
    \n    Formblatt zu Meldung Datenschutzbeauftragte(r) in Sachsen<\/a>\u00a0(externer Link)<\/li>\n

  2. Nachkommen der Informationspflicht nach Art.13, Art.14 DSGVO.<\/strong>
    \nHier erwartet der B\u00fcrger, Ihr Kunde, dass Sie ihn bei Abwicklung von Gesch\u00e4ftsprozessen (z.B. Mietvertrag) bzw. Verwaltungsakten (z.B. Beantragung Personalausweis) dar\u00fcber informieren, was mit seinen Daten w\u00e4hrend und nach der Datenerhebung geschieht. Hierzu m\u00fcssen Sie Ihn w\u00e4hrend der Erfassung oder \u00c4nderung entsprechend informieren. Bitte h\u00e4ndigen Sie dem Kunden bzw. B\u00fcrger ein „Informationsblatt nach Art.13, Art.14 DSGVO“ aus, oder \u00fcbermitteln dieses bei elektronischer Kommunikation, per Mail als Anlage. Denken Sie in diesem Zusammenhang immer daran, dass Sie keine personenbezogenen Daten per Mail \u00fcbermitteln sollten, da dieser Kommunikationskanal unsicher ist und die Absenderidentit\u00e4t nicht nachgewiesen werden kann. Hier lauern Gefahren, welche u.U. schnell zu einer Beschwerde beim Landesdatenschutzbeauftragten f\u00fchren k\u00f6nnen. Wir haben Ihnen weiter unten die entsprechenden Schritte zum Erstellen des „Informationsblatt nach Art.13, Art.14 DSGVO“ dargestellt.<\/li>\n
  3. Anpassen Ihrer Webseite<\/strong>
    \nIhre Webseite muss u. a. ab sofort darauf hinweisen, wenn Sie z.B. Cookies oder Analyse-Tools einsetzen. Wenn Sie wollen, k\u00f6nnen Sie sich gerne an unseren Datenschutzklauseln orientieren. Sofern Daten direkt innerhalb von Formularen eingegeben und anschlie\u00dfend auf dem System gespeichert werden, m\u00fcssen Sie hier ebenfalls ein „Informationsblatt nach Art.13, Art.14 DSGVO“ beif\u00fcgen bzw. die Verfahrensweise in der Datenschutzerkl\u00e4rung beschreiben. Weiterhin m\u00fcssen Sie darlegen, welche technischen und organisatorischen Ma\u00dfnahmen (TOMs) Sie zur Sicherstellung der Datenverarbeitung und -speicherung innerhalb Ihrer Organisation getroffen haben. Diese k\u00f6nnen individuell sehr verschieden sein, und gestalten sich je nach Art und Weise Ihrer IT-Organisation. Gerne unterst\u00fctzen wir Sie hier.
    \nGenerell empfehlen wir Ihnen, nicht<\/strong> die Formulare zur „Betroffenheitsauskunft nach Art.15 DSGVO“ (siehe weiter unten) auf der Webseite zu hinterlegen. Diese haben Sie u. U. von Ihren Fachverfahrensherstellern bekommen. Die Formulare sind viel zu detailliert, sodass die Aktualit\u00e4t nur mit sehr gro\u00dfem Aufwand sicher gestellt werden kann. Dar\u00fcber hinaus setzen Sie auch eine Vielzahl von Programme ein (FiBu, SFIRM usw.) und m\u00fcssten die Formulare dann f\u00fcr alle Anwendungen entsprechend formulieren. Dargestellt aber werden muss, wer Auskunft nach Art.15 DSGVO erteilt (siehe auch weiter unten „Betroffenheitsauskunft nach Art.15 DSGVO“).<\/li>\n
  4. Vorbereitung einer „Betroffenheitsauskunft nach Art.15 DSGVO“<\/strong>
    \nMit der Betroffenheitsauskunft erh\u00e4lt der B\u00fcrger oder Kunde die M\u00f6glichkeit abzufragen, welche Daten die Organisation \u00fcber ihn derzeit aktuell speichert. F\u00fcr jede Datenverarbeitende Stelle (siehe Schritt 2 (1) m\u00fcssen Sie dies vorbereiten. Unter Umst\u00e4nden kann der Auskunftsersuchende verlangen, dass Sie ihm die gespeicherten Daten sogar elektronisch aush\u00e4ndigen.<\/li>\n
  5. Festlegen, welcher Personenkreis Auskunft zum Thema DSGVO und Datenschutz erteilt.<\/strong>
    \nIm „Alltagsgesch\u00e4ft“ erhalten Sie vielleicht Anfragen zum Thema DSGVO und Datenschutz. Generell sollten Sie im Haus festlegen, wer gegen\u00fcber dem Auskunftsstellenden Informationen nach au\u00dfen geben darf. Wie empfehlen, dass Ihre Mitarbeiter auf den\u00a0 Datenschutzbeauftragten bzw. den „Verantwortlichen f\u00fcr die Datenverarbeitende Stelle“ (siehe unten) verweisen. Dies betrifft vor allem die Thematik „Betroffenheitsauskunft nach Art.15 DSGVO“.<\/li>\n<\/ol>\n

    \u00a0<\/strong><\/p>\n

    Schritt 2: Schaffung der Innenwirksamkeit der DSGVO<\/h4>\n

    Dieser Schritt ist der aufw\u00e4ndigste, da er im Schritt 4 fortgef\u00fchrt werden muss. Sie m\u00fcssen alle organisatorischen und technischen Ma\u00dfnahmen ergreifen, welche die Datenverarbeitung im Sinne der DSGVO und des Th\u00fcrDSG sicherstellt. Daf\u00fcr m\u00fcssen Sie ein sogenanntes Informations- und Sicherheitsmanagementsystem (ISMS) implementieren, welches Ihre Organisation auf ein pr\u00fcfungssicheres Niveau hebt.<\/p>\n

    Denken Sie daran: Sollte ein Betroffener sich an den Landesdatenschutzbeauftragten wenden, wird dieser aktiv und \u00fcberpr\u00fcft alle Aktivit\u00e4ten und Regelungen, welche innerhalb Ihrer Organisation wirken.<\/strong><\/p>\n

    Ein schon vorhandenes IT-Sicherheitskonzept, welches auf den technischen Bereich ausgerichtet ist, ist eine gute Basis um die zus\u00e4tzlich notwendigen Prozesse zu implementieren. Da in viele Beh\u00f6rden und Unternehmen ein entsprechendes ISMS noch nicht nach einem Standard wie ISO27001 oder ISIS12 wirkt, sollten Sie mit folgenden Punkten beginnen um Schaden und Imageverlust abzuwenden:<\/p>\n

      \n
    1. Festlegen der „Datenverarbeitenden Stelle“<\/strong>
      \nViele denken, der Bereich IT ist die datenverarbeitende Stelle. Dies ist nicht so, denn die IT stellt innerhalb Ihrer Organisation nur die Ressourcen zur Datenhaltung bereit. Ausgehend von Ihrer Organisationsstruktur m\u00fcssen Sie ALLE Gesch\u00e4ftsprozesse untersuchen, welche Daten erheben, speichern und verarbeiten. Diese Prozesse werden mittels Hard- und Software abgewickelt (z.B. Ordnungswidrigkeit – Fachanwendung und Mobile Datenerfassungsger\u00e4te, Bereich Liegenschaften – Mietvertr\u00e4ge, Meldewesen – Erteilen Personalausweis etc.). Die Datenverarbeitende Stelle kann hierbei ein Amt, Bereich oder \u00fcbergreifend dargestellt werden.<\/li>\n
    2. Festlegen des Verantwortlichen der „Datenverarbeitenden Stelle“<\/strong>
      \nNach der Definition, welcher Bereich bzw. welches Amt die Datenverarbeitende Stelle f\u00fcr den jeweiligen Gesch\u00e4ftsprozess darstellt, legen Sie bitte deren Verantwortlichen fest. Dies ist wiederum nicht der Bereich IT! Es muss ein Person mit der ihr \u00fcbertragenen Verantwortung, z.B. Bereichs- oder Amtsleiter sein. Der Verantwortliche ist dann im „Informationsblatt nach Art.13, Art.14 DSGVO“ einzutragen (siehe oben und unten).<\/li>\n
    3. Schaffung einer DSGVO- und Th\u00fcrDSG-konformen Verarbeitung der Daten<\/strong>
      \nHierzu geh\u00f6rt die Implementierung von grundlegenden Prozessen, welche der Nachweisbarkeit der Anwendung von Datenschutz und Datensicherheit dienen. Diese Prozesse sind so zu dokumentieren, dass sie einer Pr\u00fcfbeh\u00f6rde dargestellt werden k\u00f6nnen. Zur ordnungsgem\u00e4\u00dfen Anwendung eines ISMS geh\u00f6ren eine Vielzahl von Prozessen, wie Meldeprozesse bei Vorkommnissen, Dokumentation von Ereignissen, richtiger Umgang mit Daten und datenverarbeitenden Einrichtungen, Festlegung und Reflektion von \u00dcberwachungsprozessen zur Wirksamkeit des ISMS in der Organisation, Risikoermittlung und -behandlung, Lieferanten und Dritte, Dokumentation von Rechten und Zug\u00e4ngen in einem Antragswesen, Ma\u00dfnahmen zur Qualit\u00e4tssicherung u.v.m. Als erstes konzentrieren Sie sich bitte auf die Implementation eines entsprechenden Antragswesens- um klar nachweisen zu k\u00f6nnen, welcher Personenkreis mit den B\u00fcrger- bzw. Kundendaten arbeiten kann. Hierf\u00fcr m\u00fcssen Sie analysieren, welche Rechte welche Person in Ihrem IT-System und vor allem in welcher Fachanwendung hat. Hierf\u00fcr erstellen Sie f\u00fcr jede Fachanwendung ein Berechtigungskonzept. Die im Berechtigungskonzept hinterlegten Rechte, z.B. in Form von Rollen oder Gruppen m\u00fcssen Sie dann in einem Antrag zusammenfassen, welcher durch den Mitarbeiter und dem Verantwortlichen der „Datenverarbeitenden Stelle“ gezeichnet wird. Auch sollten Sie, um den Verantwortlichen der\u00a0„Datenverarbeitenden Stelle“ nicht zu \u00fcberlasten, die praktische Umsetzung innerhalb der Fachanwendungen an einen sogenannten „Verfahrensverantwortlichen“ delegieren. Dies kann eine Person sein, welche sich im Programm auskennt und dieses inhaltlich administriert.Vorsicht.<\/strong> Nach DSGVO und Th\u00fcrDSG m\u00fcssen Sie sicherstellen, dass eine Aufgaben- und Funktionstrennung eingehalten wird, d.h. der IT-Administrator darf auf keinen Fall das Fachverfahren inhaltlich administrieren – das Vieraugenprinzip muss gewahrt sein.
      \nHier wird es wahrscheinlich u.U. bei vielen Anwendern zu Problemen kommen, da \u00fcber eine generelle Neuaufstellung der IT-Organisation nachgedacht werden muss! Die Rollen und Funktionen des Verantwortlichen der „Datenverarbeitenden Stelle“ und des Verfahrensverantwortlichen sollten Sie in einer Richtlinie zur Rollendefinition dokumentieren. Die Personen sind anschlie\u00dfend schriftlich zu berufen.<\/li>\n
    4. Erstellen der „Verzeichnisse der Verarbeitungst\u00e4tigkeiten“<\/strong>
      \nDie vorhandenen Verfahrensverzeichnisse m\u00fcssen angepasst werden. Im Ergebnis entstehen die „Verzeichnisse der Verarbeitungst\u00e4tigkeiten“. Hier m\u00fcssen Sie eine sogenannte „Risikofolgeabsch\u00e4tzung“ durchf\u00fchren. Dies gelingt Ihnen i.d.R. erst dann, wenn Sie ein ISMS eingef\u00fchrt haben oder dies aktiv anwenden – siehe unten.<\/li>\n
    5. Erstellen und Anpassen der Technischen und Organisatorischen Ma\u00dfnahmen (TOMs)<\/strong>
      \nDie TOMs legen dar, wie und in welcher Form Sie die Daten innerhalb Ihrer Organisation verarbeiten. Diese k\u00f6nnen f\u00fcr jede „Datenverarbeitende Stelle“ unterschiedlich sein. Die TOMs m\u00fcssen Sie f\u00fcr entsprechende „Betroffenheitsausk\u00fcnfte nach Art.15“ (siehe unten) parat haben.<\/li>\n
    6. Schulungen<\/strong>
      \nAls Beh\u00f6rde und Unternehmen sind Sie verpflichtet, Ihre Mitarbeiter zu den aktuellen Themen zu schulen. Dies empfiehlt sich insbesondere, da Sie im Rahmen der Au\u00dfenwirksamkeit Ihren Mitarbeiter vermitteln m\u00fcssen, wie mit Ausk\u00fcnften nach Schritt 1 umzugehen ist und wer ab sofort nach Schritt 2 die Verantwortung im Haus tr\u00e4gt.
      \nDokumentieren Sie die Schulungen zur Vorlage bei einer Pr\u00fcfung!<\/strong><\/li>\n
    7. Datenschutzrechtliche Belehrung<\/strong>
      \nBitte \u00fcberarbeiten Sie Ihre datenschutzrechtlichen Belehrungen. Aktualisieren Sie die entsprechenden Verweise auf die neuen Gesetzlichkeiten der DSGVO und des Th\u00fcrDSG, ggf. des BDSG. Belehren Sie Ihre Mitarbeiter und h\u00e4ndigen Sie die Belehrung gegen Unterschrift aus. Gleiches gilt f\u00fcr Dritte, wie z.B. Reinigungspersonal.<\/li>\n<\/ol>\n

      \u00a0<\/strong><\/p>\n

      Schritt 3: DSGVO konformer Umgang mit Dritten und Zulieferer<\/h4>\n

      Ihre Organisation sollte mit allen Zulieferern und Dritten „Vereinbarungen zur Auftragsverarbeitung“ abgeschlossen haben, welche festlegen, wie der Dienstleister mit den Daten umgeht. Sofern eine Rechtsgrundlage f\u00fcr eine Weiterverarbeitung besteht und Sie im Rahmen dieser Daten \u00fcbermitteln (z.B. Krankenkassen, Lohn, Finanzamt, Clearingstellen im Einwohnerbereich, Personenstandsregister Land Th\u00fcringen etc.) m\u00fcssen Sie hier keine expliziten Vereinbarungen abschlie\u00dfen.<\/p>\n

        \n
      1. Bitte pr\u00fcfen Sie daher, wer Sie bei der Verarbeitung unterst\u00fctzt. <\/strong>
        \nDies sind alle Firmen, welche Daten in Ihrem Auftrag weiter verarbeiten oder auf Technik zur Datenverarbeitung in Ihrem Haus Zugriff haben (z.B. Rechenzentren, IT-Dienstleister, Firmen zur Wartung von Kopiertechnik, Softwarelieferanten etc.).<\/li>\n
      2. \u00dcberarbeitung und Anpassung der vorhanden „Vereinbarungen zur Auftragsdatenverarbeitung“<\/strong>
        \nDie bestehenden Vertr\u00e4ge behalten Ihre G\u00fcltigkeit. Sie sollten zeitnah die Firmen kontaktieren und angepasste Vertr\u00e4ge anfordern. Seit der Verabschiedung des Th\u00fcrDSG am 24.05.18 sind wir dabei, die „Vereinbarung zur Auftragsverarbeitung“ mit den entsprechenden Verweisen auf die neuen Paragraphen zu \u00fcberarbeiten. Diese gehen Ihnen in den n\u00e4chsten Tagen zeitnah zu. Bitte unterschreiben Sie nicht ungepr\u00fcft Vereinbarungen, welche Ihnen zugesandt wurden. So haben wir nach unseren Pr\u00fcfungen festgestellt, dass diese teilweise widerspr\u00fcchliche und nicht rechtskonforme Klauseln enthalten. Wichtig ist, dass der „Verantwortliche der Datenverarbeitenden Stelle“ diese ebenfalls zeichnet – siehe Schritt 2.<\/li>\n<\/ol>\n

        \u00a0<\/strong><\/p>\n

        Schritt 4: Einf\u00fchrung eines ISMS<\/h4>\n

        Die Punkte oben stellen den Beginn der Einf\u00fchrung eines ISMS dar. Der Prozess muss im Weiteren geplant und fortgef\u00fchrt werden, um vor allem bei einem datenschutzrechtlichen Versto\u00df der Pr\u00fcfbeh\u00f6rde nachzuweisen, welche Aktivit\u00e4ten Sie hier unternommen haben. F\u00fcr die Initiierung und Fortf\u00fchrung des Prozesses ist nicht der Datenschutzbeauftragte oder IT-Sicherheitsbeauftragte, sondern der B\u00fcrgermeister, Landrat, Gesch\u00e4ftsf\u00fchrer etc. verantwortlich.<\/p>\n

        \u00a0<\/strong><\/p>\n

        Im Detail:<\/strong><\/h2>\n


        \n<\/strong>Erstellen des „Informationsblatt nach Art.13, Art.14 DSGVO“<\/h4>\n
          \n
        1. Ermitteln der betroffenen Fachanwendungen<\/strong>
          \nErmitteln Sie als erstes, welche Fachanwendungen und welche Datenhaltung in sonstigen Dokumenten im Haus durch die einzelnen Mitarbeiter durchgef\u00fchrt werden. Sie werden hier neben Datenbanken auch auf Excel-Tabellen und Worddokumente sto\u00dfen. Listen Sie diese in einem Verzeichnis auf.
          \nErg\u00e4nzen Sie dieses Verzeichnis um den Punkt „Name der Datenverarbeitende Stelle“ und „Verantwortlich innerhalb der Datenverarbeitenden Stelle“.<\/li>\n
        2. Erstellen der „Informationsbl\u00e4tter nach Art.14 DSGVO“\u00a0<\/strong>
          \nF\u00fcr alle Datenerhebungen, mit denen Sie Informationen des B\u00fcrgers \/ Kunden sammeln, m\u00fcssen Sie diesen dar\u00fcber informieren. Folgender Inhalt muss auf dem Informationsblatt vermerkt sein:<\/li>\n<\/ol>\n\n\n\n\n\n\n\n\n
          a.<\/td>\nVerantwortung f\u00fcr die „Datenverarbeitende Stelle“ – Name, Vorname, Kontakt (nicht der Datenschutzbeauftragte ist hier verantwortlich !!)<\/td>\n<\/tr>\n
          b.<\/td>\nZweck und Rechtsgrundlage der Datenerhebung mit Art und Form der erhobenen Daten. Sollte keine Rechtsgrundlage vorhanden sein, m\u00fcssen Sie die Datenerhebung und -verarbeitung begr\u00fcnden<\/td>\n<\/tr>\n
          c.<\/td>\nBeschreibung der erhobenen Daten in Kategorien, nicht jedes einzelne Attribut (z.B. Steuerdaten als Kategorie, nicht einzeln Steuernummer, Finanzamt, Finanzamtsnummer etc.)<\/td>\n<\/tr>\n
          d.<\/td>\nBeschreibung der erhobenen Daten in Kategorien, nicht jedes einzelne Attribut (z.B. Steuerdaten als Kategorie, nicht einzeln Steuernummer, Finanzamt, Finanzamtsnummer etc.)<\/td>\n<\/tr>\n
          e.<\/td>\nAngabe, welche Daten an Dritte \u00fcbermittelt werden (Offenlegung) – Empf\u00e4nger, Kategorie, Rechtsgrundlage<\/td>\n<\/tr>\n
          f.<\/td>\nDauer der Speicherung<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

          \u00a0<\/strong><\/p>\n

          Erstellen der „Betroffenheitsauskunft nach Art.15 DSGVO“<\/h4>\n

          Der Kunde \/ B\u00fcrger kann dar\u00fcber Auskunft verlangen, welche Daten im Detail \u00fcber ihn gespeichert sind. Dar\u00fcber hinaus kann er ebenfalls verlangen, dass ihm alle \u00fcber ihn\u00a0 gespeicherten Daten elektronisch in einem g\u00e4ngigen Format \u00fcbergeben werden. Hier m\u00fcssen Sie wirklich aus ALLEN Fachanwendungen und sonstigen Dokumenten die Informationen zusammenstellen – was eigentlich kaum leistbar ist. Um Problemen aus dem Weg zu gehen empfehlen wir daher folgende Schritte:<\/p>\n

            \n
          1. Definieren Sie eine Schnittstelle bzw. Anlaufpunkt, welcher diese T\u00e4tigkeit leisten<\/strong>.
            \nHier k\u00f6nnen Sie den Verantwortlichen der „Datenverarbeitenden Stelle“ oder den Datenschutzbeauftragten festlegen.<\/li>\n
          2. Ver\u00f6ffentlichen Sie diese Information auf Ihrer Webseite und informieren Ihre Mitarbeiter<\/strong>
            \nStellen Sie unbedingt klar, dass keinerlei fernm\u00fcndliche<\/u> Aussagen erteilt werden und Informationen ausschlie\u00dflich \u00fcber ein gesicherten Kommunikationskanal<\/u> (wie z.B. De-Mail) elektronisch \u00fcbermittelt werden k\u00f6nnen.<\/li>\n
          3. Etablieren Sie eine Richtlinie innerhalb der Organisation
            \n<\/strong>Diese legen fest, wie mit Auskunftsersuchen umgegangen wird. So sollten Sie definieren, dass \u00fcber die Verantwortlichen der „Datenverarbeitenden Stellen“ zuerst die Daten zur Person zusammengetragen werden und dann gesammelt, aufbereitet und \u00fcbermittelt werden.\u00a0 Senden Sie auf keinen Fall per Email Daten, dieser Kommunikationsweg ist unsicher und stellt schon bei Nutzung einen Rechtsversto\u00df gegen das Datenschutzrecht dar. Nur De-Mail oder die Nutzung von Portalen mit Authentifizierung per eID des Personalausweises garantieren die Identit\u00e4t des Antragsstellers. Weiterhin regeln Sie in der Richtlinie, wie diese Identit\u00e4t bei Antragsstellung und \u00dcbermittlung gepr\u00fcft wird. So kann pers\u00f6nliches Erscheinen bei „Betroffenheitsauskunft“, sofern der Antragsteller keine DE-Mail hat, vorgeschrieben werden um die Identit\u00e4t zu \u00fcberpr\u00fcfen. Generell werden fernm\u00fcndlich keine Ausk\u00fcnfte erteilt<\/li>\n
          4. Inkraftsetzung und Schulung<\/strong>
            \nVerabschieden Sie die Richtlinie durch den Leiter der Organisation und schulen Ihre Mitarbeiter im Umgang.<\/li>\n
          5. Erstellen Sie die Betroffenheitsauskunft<\/strong>
            \nAls Basis k\u00f6nnen Sie die Zuarbeiten Ihrer Verfahrenshersteller nutzen oder die „Informationsbl\u00e4tter nach Art.14 DSGVO“, mit dem Unterschied, dass dann alle Attribute detaillierter ausgef\u00fchrt werden m\u00fcssen (Kategorien reichen nicht mehr aus). Da die Daten des Antragstellers in mehreren Fachanwendungen oder Dokumenten enthalten sein k\u00f6nnen, m\u00fcssen Sie den Antrag entsprechend der Richtlinie auch durch alle Ihre „Datenverarbeitenden Stellen“ „laufen“ lassen (z.B. Standesamt, Meldeamt, Bauamt, K\u00e4mmerei). Somit werden sie unter Umst\u00e4nden mehrere Betroffenheitsausk\u00fcnfte erhalten.<\/li>\n
          6. Erteilen einer Betroffenheitsauskunft<\/strong>
            \nBei Erteilen der Auskunft gegen\u00fcber dem Antragsteller \u00fcbermitteln Sie nur die Informationen, welche wirklich angefordert sind und unterscheiden am besten:<\/li>\n<\/ol>\n\n\n\n\n\n
            a.<\/td>\nAntragsteller will nur Auskunft, welche Daten gespeichert sind:
            \n– R\u00fcck\u00fcbermittlung der einzelnen Betroffenheitsausk\u00fcnfte<\/td>\n<\/tr>\n
            b.<\/td>\nZus\u00e4tzlich will der Antragsteller die Technisch Organisatorische Ma\u00dfnahmen einsehen:
            \n– R\u00fcck\u00fcbermittlung der TOMs<\/td>\n<\/tr>\n
            c.<\/td>\nZus\u00e4tzlich will der Antragsteller alle Daten:
            \n– Auszug aller Daten aus allen Datenverarbeitenden Stellen. Dokumente und Mails sind nach unserer Auffassung hierbei nicht zu ber\u00fccksichtigen
            \n– Speicherung und \u00dcbermittlung – siehe oben<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

            \u00a0<\/strong><\/p>\n

            Zusammenfassung<\/strong><\/h2>\n

            Wir hoffen, dass Sie mittels des Leitfadens die komplexe Thematik besser bew\u00e4ltigen k\u00f6nnen. Der Th\u00fcringer Gemeinde- und St\u00e4dtebund e.V. stellt im Mitgliederportal auch entsprechende Unterlagen bereit, welche als Handreichung dienen<\/strong>.
            \nGerne unterst\u00fctzen wir Sie hier – nehmen Sie hierzu Kontakt mit unserem Vertrieb auf.<\/u><\/p>\n

             <\/p>\n

            \u00a9 Vervielf\u00e4ltigung, Nachdruck nur mit Genehmigung der KIV Th\u00fcringen GmbH<\/strong><\/span><\/p>\n

             <\/p>\n

             <\/p>\n","protected":false},"excerpt":{"rendered":"

            Zum Umgang mit der DSGVO – ein Leitfaden Vorbemerkungen Der Schutz pers\u00f6nlicher Daten soll in der Europ\u00e4ischen Union massiv gest\u00e4rkt und vereinheitlicht werden. Die neue Datenschutz-Grundverordnung (DSGVO) trat bereits am 24. Mai 2016 in Kraft und gilt am 25. Mai… weiterlesen<\/a><\/p>\n","protected":false},"author":8,"featured_media":748,"parent":5,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-661","page","type-page","status-publish","has-post-thumbnail","hentry"],"_links":{"self":[{"href":"https:\/\/portal.kiv-thueringen.de\/web\/wp-json\/wp\/v2\/pages\/661","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/portal.kiv-thueringen.de\/web\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/portal.kiv-thueringen.de\/web\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/portal.kiv-thueringen.de\/web\/wp-json\/wp\/v2\/users\/8"}],"replies":[{"embeddable":true,"href":"https:\/\/portal.kiv-thueringen.de\/web\/wp-json\/wp\/v2\/comments?post=661"}],"version-history":[{"count":27,"href":"https:\/\/portal.kiv-thueringen.de\/web\/wp-json\/wp\/v2\/pages\/661\/revisions"}],"predecessor-version":[{"id":34781,"href":"https:\/\/portal.kiv-thueringen.de\/web\/wp-json\/wp\/v2\/pages\/661\/revisions\/34781"}],"up":[{"embeddable":true,"href":"https:\/\/portal.kiv-thueringen.de\/web\/wp-json\/wp\/v2\/pages\/5"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/portal.kiv-thueringen.de\/web\/wp-json\/wp\/v2\/media\/748"}],"wp:attachment":[{"href":"https:\/\/portal.kiv-thueringen.de\/web\/wp-json\/wp\/v2\/media?parent=661"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}