Dokumentationspflicht der TOMs?

Moin!

Ich habe eine Frage betreffend der Anforderungen an die Dokumentation der technischen und organisatorischen Maßnahmen.

Hintergrund:

Gemäß Art. 28 (1) DSGVO soll ein Auftragsverarbeiter hinreichend Garantien dafür bieten, dass die Verarbeitung im Einklang mit der DS-GVO erfolgt.

Art. 28 (3) führt aus, dass die in Artikel 32 beschriebenen Maßnahmen zu ergreifen sind (Absatz c), und dass der AV dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt (Absatz h).

In Art. 32 sind dann die zu treffenden Maßnahmen beschrieben, jedoch ohne explizite Vorgaben zur Art und Weise der Dokumentation.

Meine Frage:

Was genau ist unter erforderlichen Informationen zum Nachweis zu verstehen? Würde es womöglich genügen, wenn der Auftragsverarbeiter in dem Auftragsverarbeitungsvertrag zusichert, dass alle Verpflichtungen ordnungsgemäß eingehalten werden? 

Ohne eine detaillierte Beschreibung aller Einrichtungen und Abläufe in dem Unternehmen, wie es in den einschlägigen Musterdokumenten der Fall ist?

Was meint Ihr?

Schöne Grüße
KT

KT

Hat sich bestimmt schon erledigt, aber evtl. für andere, die hier lesen:

Ohne detaillierte Beschreibung wird kaum ein Verantwortlicher einer Auftragsverarbeitung zustimmen. Er macht sich damit ja zur Zielscheibe für erhebliche Bußgelder, die genau diese mangelnde Sorgfalt ahnden sollen. Pauschale Erklärungen reichen nicht. Entweder seitenlange Checklisten des Verantwortlichen beantworten oder diesem die eigenen detailliert aufgestellten TOMs übermitteln und hoffen, dass diese akzeptiert werden.

Alle Angaben ohne Gewähr für Vollständigkeit oder Richtigkeit und nur basierend auf persönlicher Erfahrung als interner DSB seit 2016.

db73

Bitte melden Sie sich an, um auf diese Frage zu antworten.