DSGVO – Verzeichnis der Verarbeitungstätigkeiten und wie du es erstellst

Im letzten Teil meiner Mini Serie habe ich dir erzählt, worauf du mit der in Kraft tretenden DSGVO achten musst, vor allem dann, wenn du ein Online Business betreibst.

In diesem Artikel möchte ich auf die praktische Umsetzung eingehen. Die ganze Theorie, was man darf und nicht darf, nutzt ja nichts, wenn man nicht auch die notwendigen Handlungen setzt.

Eine dieser Handlungen und das meiner Meinung nach zentrale Element ist das Verzeichnis der Verarbeitungstätigkeiten (oft auch Verfahrensverzeichnis genannt). Dass dieses geführt werden muss, steht in Artikel 30 der DSGVO.

Muss ich ein Verzeichnis der Verfahrenstätigkeiten führen?

Jetzt wirst du sicher die Frage stellen – „Muss dieses Verzeichnis wirklich jeder führen?“. Auf den ersten Blick sieht es so aus, dass man unter 250 Mitarbeitern keines haben muss. Also würden viele Kleinunternehmer ausgenommen sein. Das ist im Prinzip auch richtig, aber es gibt hier einige Zusätze, die zusätzlich erfüllt sein müssen.

Einer dieser Zusätze ist, dass es sich nur um gelegentliche Verarbeitung handeln darf. Wer also wirklich regelmäßig an seinem Business arbeitet und dabei personenbezogene Daten verarbeitet, wird daher um das Verzeichnis nicht herumkommen.

Ich bin auch der Meinung, dass man nicht mühsam versuchen sollte, Argumente zu finden, warum man diese Arbeit nicht machen muss. Hat man wirklich nur so wenige Tätigkeiten, wo personenbezogene Daten verarbeitet werden, dann ist das Verzeichnis auch in kürzester Zeit erstellt.

Damit geht man auf jeden Fall dem Risiko aus dem Weg, dass die Aufsichtsbehörde doch anderer Meinung sein könnte.

Auch in diesem Artikel gleich zu Beginn ein wichtiger Hinweis: Es handelt sich hier in keiner Weise um eine Rechtsberatung. Ich habe mich selbst sehr intensiv mit dem Thema beschäftigt und gebe dir hier mein Wissen und meine bisherigen Erfahrungen weiter.

 

Wie sieht dieses Verzeichnis der Verfahrenstätigkeiten aus?

Wie muss dieses Verzeichnis jetzt aussehen? Dazu schweigt die DSGVO ein wenig. Es ist nicht beschrieben, in welcher Form dieses Verzeichnis der Verfahrenstätigkeiten zu führen ist, sehr wohl aber, was darin beinhaltet sein muss. Die genauen Texte findet in Kapitel 4 – Artikel 30 – Absatz 1 Lit. a) bis g).

 

Pflichtangaben

Zuerst einmal sind Angaben zu Namen und Kontaktdaten folgender Personen notwendig (a):

Der Verantwortlicher, ein eventuell gemeinsamer Verantwortlicher, der Vertreter des Verantwortlichen und wenn vorhanden der Datenschutzbeauftragte.

Weiters sind dann bei den einzelnen Verfahren folgende Angaben zu machen:

b) Zwecke der Verarbeitung
c) Kategorien betroffener Personen und Kategorien personenbezogener Daten
d) Kategorien von Empfängern
e) Wenn vorhanden Datenübermittlung an Drittländer
f) Wenn möglich, Fristen für die Löschung der verschiedenen Datenkategorien
g) Wenn möglich, Technische und organisatorische Maßnahmen (TOM)

Und das war es dann auch schon. Mit diesen Pflichtangaben, lässt sich ein Verzeichnis, dass der DSGVO entspricht schon einmal erstellen.

 

Zusätzliche Angaben

Zusätzlich ist es aber sinnvoll weitere Daten zu erfassen, die an anderen Stellen in der DSGVO gefordert sind und im Verzeichnis -.

  • Konkrete Datenempfänger (optional)
  • Dienstleister, die Verarbeitung im Auftrag durchführen
  • Rechtsgrundlagen für die Verarbeitung
  • Datenquelle
  • Information der Betroffenen
  • Verantwortliche Abteilung
  • Datenschutz Folgenabschätzung

Damit weisst du jetzt einmal, welche Daten dieses Verzeichnis beinhalten sollte. Jetzt werden wir uns näher ansehen, wie wir diese Daten organisieren und was man dabei genau erfassen und notieren sollte.

 

Praktische Umsetzung

Verzeichnis der Verarbeitungstätigkeiten - Module

Um den Aufbau leichter zu verstehen und umsetzen zu können, habe ich das Verzeichnis in verschiedene Module unterteilt. Das sind

Die Stammdaten

Ein oder mehrere Verarbeitungstätigkeiten

und die technischen und organisatorischen Massnahmen (TOM).

 

Am Ende dieses Blog Beitrages findest du übrigens von mir erstellte Vorlagen für ein Verfahrensverzeichnis, die auf diesen Beitrag aufbauen und die du gerne verwenden kannst.

Gehen wir jetzt näher auf diese 3 Module ein.

 

Modul 1 – Stammdaten

Verzeichnis der Verarbeitungstätigkeiten - Stammdaten

Jedes Verzeichnis hat ein Stammdatenblatt, in dem alle Informationen erfasst werden , die für das gesamte Verzeichnis gültig sind. Das sind vor Namen und Kontaktdaten zu den Personen, die für den Datenschutz im Unternehmen verantwortlich oder mitverantwortlich sind.

Konkreter sind das:

  • Der Verantwortlicher
  • Ein eventuell gemeinsamer Verantwortlicher
  • Der Vertreter des Verantwortlichen und wenn vorhanden
  • Der Datenschutzbeauftragte.

Wenn es die eine oder andere Person nicht gibt, dann kann man die Daten einfach weglassen. Einen Verantwortlichen muss es auf jeden Fall geben, einen Datenschutzbeauftragten benötigt man in der Regel eher selten.

Den Download Link zum Stammdaten Blatt Vorlagen findest du, wie bereits angesprochen am Ende des Beitrages.

 

Modul 2 – Verarbeitungstätigkeiten

Verzeichnis der Verarbeitungstätigkeiten - Verarbeitungstätigkeiten

Gehen wir weiter zu den eigentlichen Verarbeitungen. Hier sollte es zumindest eine Verarbeitung geben. Ich nehme aber einmal an, dass du davon mehrere haben wirst.

Bei den Verarbeitungstätigkeiten, gibt es einige Pflichtangaben (laut Kapitel 4 – Artikel 30 – Absatz 1) und dann mehr oder weniger optionale Angaben. Obwohl die optionalen Angaben nicht in Artikel 30 gefordert werden, solltest du diese trotzdem in deinem Verzeichnis aufnehmen, da diese Angaben an anderen Stellen gefordert werden.

So jetzt aber die einzelnen Angaben im Detail.

Die Pflichtangaben sind in meiner Vorlage rot markiert, damit du beim Ausfüllen gleich erkennst, auf welche Daten du nicht verzichten solltest.

Damit du dir leichter tust, die einzelnen Angaben zu verstehen, habe ich der Erklärung in diesem Beitrag gleich ein Beispiel hinzugefügt. Es geht hier um die Verarbeitung des Newsletter Versandes inkl. Analyse.

 

Bezeichnung, Datum und Zweck (Pflichtangabe lit. b)

Für dich intern solltest du jeder Verarbeitungstätigkeiten einmal eine Bezeichnung vergeben und sinnvollerweise ein Datum seit wann du diese Daten verarbeitest. Jetzt folgt die erste Pflichtangabe, der Zweck der Verarbeitung.

Verzeichnis der Verarbeitungstätigkeiten - Zweck

Verzeichnis der Verarbeitungstätigkeiten – Zweck

In unserem praktischen Beispiel ist die Bezeichnung „Newsletter inkl. Analyse“ und der Zweck „Versand von E-Mails und Auswertung der Effektivität des Newsletterversandes“. Als Datum habe ich jenes Datum eingesetzt, an dem ich diese Verarbeitung dokumentiert habe. Wenn bekannt, dann sollte hier das Datum stehen, wann diese Verarbeitung begonnen wurde.

Jetzt geht es weiter mit den verschiedenen Kategorien. Wie du an dieser Bezeichnung schon siehst, ist es gar nicht gefordert so sehr in Detail mit den Daten zu gehen. Es reicht die Angabe einer Kategorie aus. Dennoch ist es durchaus sinnvoll, an gesonderter Stelle zu definieren, welche Daten die jeweiligen Kategorien beinhalten.

 

Kategorien der betroffenen Personen (Pflichtangabe lit. c)

In der Verarbeitungstätigkeit selbst, erfassen wir als nächstes einmal die Kategorien der betroffenen Personen und die Kategorien personenbezogener Daten.

Verzeichnis der Verarbeitungstätigkeiten - Kategorien Personen und Daten

Verzeichnis der Verarbeitungstätigkeiten – Kategorien Personen und Daten

Damit du eine Vorstellung hast, was solche Kategorien sein könnten, hier einige Beispiele für die Kategorien der betroffenen Personen:

Mitarbeiter
Kunden
Auftraggeber
Interessenten
Externe Mitarbeiter
Lieferanten
Beschäftigte von Kunden oder Lieferanten
Auftragsverarbeiter
Besucher der Website
Newsletter-Abonnenten

In meinem Beispiel sind vom Newsletterversand folgende Personen Kategorien betroffen:

  • Kunden
  • Interessenten
  • Newsletter-Abonnenten

 

Kategorien personenbezogener Daten (Pflichtangabe lit. c)

Weiter geht es mit den Daten der Personen. Auch hier reicht die Angabe der Kategorien personenbezogener Daten. An dieser Stelle wieder einige Beispiele, wie diese Kategorien bezeichnet werden könnten.

Mitarbeiterdaten (ggf. Religionszugehörigkeit)
Kundendaten
Interessentendaten
Beschäftigtendaten von Kunden oder Lieferanten
Adressdaten
Bankverbindungen
Kontaktdaten
Bonität
Lieferkonditionen
Zahlungskonditionen
Anwesenheitszeiten
Geburtsdatum

Du kannst in einem weiteren Dokument festhalten, aus welchen Daten sich diese Kategorien zusammensetzen. Das ist vor allem dann sinnvoll und wichtig, wenn es darum geht zu wissen, was man bei den Informationspflichten angibt oder ob sensible Daten (Artikel 9 der DSGVO) im Sinne der DSGVO verarbeitet werden.

Auch wenn ein User jetzt seine Betroffenenrechte ausübt und wissen möchte, welche Daten über ihn gespeichert wurden, dann hat man es mit diesen Detailinformation etwas leichter diese Frage zu beantworten.

Die Kategorie Kunden kann sich zum Beispiel zusammensetzen aus:

Name, Adressdaten, Telefon, E-Mail, Kundennummer, Bankdaten, Zahlungen, usw.

Wenn Mitarbeiterdaten verarbeitet werden, dann könnte es sein, dass auch die Religionszugehörigkeit verarbeitet wird und damit handelt es sich im Sinne der DSGVO um sensible Daten.

 

Empfänger Kategorien (Pflichtangabe lit. d)

Nach den Daten über die betroffene Person geht es jetzt zu den Kategorien der Empfänger der Daten. Hierbei unterscheidet man am besten zwischen internen und externen Empfängern.

Verzeichnis der Verarbeitungstätigkeiten - Kategorien Empfänger

Verzeichnis der Verarbeitungstätigkeiten – Kategorien Empfänger

Beispiele für die Kategorie von internen Empfängern sind:

Geschäftsführung
Buchhaltung
Vertriebsmitarbeiter
Mitarbeiter
Marketing Abteilung
IT-Abteilung
Personalabteilung

Neben den internen Empfängern, gibt es auch noch externe Empfänger Kategorien. Auch dazu einige Beispiele:

Steuerberater
Banken
Kunden
Lieferanten
Webmaster / Webagentur
Webhoster
Finanzamt
Sozialversicherung

Wenn wir uns wieder ansehen, welche Empfänger Kategorien wir bei unserem Newsletter Versand haben, dann sind das intern die Vertriebsmitarbeiter und die Marketing Abteilung. Extern, haben wir dafür die Kategorie der Anbieter von Newsletterempfängern.

Es ist zwar nicht vorgeschrieben im Verzeichnis der Verarbeitungstätigkeiten den konkreten Empfänger zu nennen, allerdings benötigen wir diesen mit Sicherheit an anderen Stellen.

Spätestens dann, wenn die Daten in ein Drittland übermittelt werden oder wenn es sich um eine Auftragsverarbeitung handelt, sind diese Empfänger konkret zu nennen. Aus diesem Grund habe ich dieses Feld in meiner Vorlage bereits an dieser Stelle eingefügt. Wenn es nicht notwendig ist, den konkreten Empfänger anzugeben, dann lässt man das Feld einfach aus.

 

Datenübermittlung an Drittländer (Pflichtangabe lit. e)

Wir vorhin bei den Kategorien schon angesprochen, ist eine weitere Detailangabe zu den Empfängern notwendig, wenn die Daten an einen Empfänger in einem Drittland also ausserhalb der EU weitergegeben werden.

Details dazu habe ich bereits in meinem ersten Teil zum Thema DSGVO geschrieben.

Wenn Daten in ein Drittland übermittelt werden, dann ist zuerst einmal die Entscheidung zu treffen, ob es sich um ein Land mit einem angemessenen Datenschutz Niveau handelt. Zu diesen Ländern zählen derzeit Andorra, Argentinien, Färöer Inseln, Guernsey, Isle of Man, Israel, Jersey, Kanada, Neuseeland, Schweiz, Uruguay.

Für Unternehmen in den USA gilt, dass diese das Privacy Shield Abkommen unterzeichnet haben müssen.

Verzeichnis der Verarbeitungstätigkeiten - Übermittlung an Drittländer

Verzeichnis der Verarbeitungstätigkeiten – Übermittlung an Drittländer

In meinem Beispiel findet eine Übertragung in ein Drittland statt. Als Drittland wird die USA angegeben und die Organisation ist MailChimp Rocket Science Group. Dieses Unternehmen ist im Privacy Shield. Den Link zum entsprechenden Eintrag habe ich in der Dokumentation festgehalten. In meinem Beispiel habe ich auch den Link, wo man den Auftragsverarbeitungsvertrag findet. Man kann an dieser Stelle auch den Link oder den Namen des unterzeichneten Dokuments festhalten.

 

Fristen für die Löschung der verschiedenen Datenkategorien (Pflichtangabe lit. f)

Jetzt fehlt noch die Angabe zu den Fristen der Datenlöschung. Hier solltest du für die einzelnen Datenkategorien angeben, wann die Daten gelöscht werden. Diese Hinweise sind vor allem dann wichtig, wenn der User sein Recht auf Datenlöschung ausübt und Gründe bestehen, diesem Wunsch nicht nachkommen zu können. Beispiele dafür sind gesetzliche Vorgaben wie etwa Gewährleistungsansprüche oder auf Grund des Finanzrechtes.

Verzeichnis der Verarbeitungstätigkeiten - Fristen für Löschung

Verzeichnis der Verarbeitungstätigkeiten – Fristen für Löschung

Für unseren Newsletter Versand gibt es keine dieser Vorgaben. Daher werden die Daten nach 12 Monaten gelöscht, wenn diese nicht verwendet wurden oder wenn der User sich von der Liste abmeldet.

 

Technische und organisatorische Massnahmen – TOM (Pflichtangabe lit. g)

Die letzte Angabe ist die Informationen zu den technischen und organisatorischen Massnahmen. Da diese Massnahmen meistens zentral in einem Dokument geregelt sind, reicht es bei den einzelnen Verarbeitungstätigkeiten aus, auf diese allgemeinen technischen und organisatorischen Massnahmen hinzuweisen.

Verzeichnis der Verarbeitungstätigkeiten - TOMs

Verzeichnis der Verarbeitungstätigkeiten – TOMs

Nur wenn es für die aktuell zu dokumentierende Verarbeitungstätigkeit zusätzliche oder abweichende Massnahmen gibt, sind diese anzuführen.

Damit hast du auch schon die Pflichtangaben für deine Verarbeitungstätigkeit erledigt.

Jetzt kommen wir noch zu den zusätzlichen Angaben, die aber wie schon erwähnt an anderen Stellen in der DSGVO gefordert sind.

 

Zulässigkeit (Rechtsgrundlagen)

Nochmal als Hinweis – nur weil die Daten nach Kapitel 30 nicht im Verzeichnis der Verarbeitungstätigkeit vorhanden sein müssen, heisst das nicht, dass man diese gar nicht dokumentieren muss.

Die Rechtsgrundlagen wurden im ersten Teil in der Sektion Erlaubnis zum Verarbeiten der Daten bereits erwähnt und die wichtigsten etwas näher beschrieben.

Es gibt laut DSGVO insgesamt 6 mögliche Rechtmäßigkeit für eine Verarbeitung. Dies sind:

  • Einwilligung des/der Betroffenen
  • Erfüllung eines Vertrages oder Durchführung vorvertraglicher Maßnahmen
  • Erfüllung einer rechtlichen Verpflichtung
  • Um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen
  • Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt.
  • Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten.

Im Verzeichnis der Verarbeitungstätigkeiten, solltest du angeben auf Grund welcher Rechtsgrundlagen du die Daten verarbeitest. Das können auch mehrere Gründe sein.

Im Fall unseres Beispiels des Newsletters ist es die Einwilligung des/der Betroffenen, da wir eine Double-Opt-In Anmeldung zu unserem Newsletter haben.

Verzeichnis der Verarbeitungstätigkeiten - Rechtsgrundlagen

Verzeichnis der Verarbeitungstätigkeiten – Rechtsgrundlagen

Solltest du eine bestehende Liste haben und es gibt keine Einwilligung, dann wirst du wahrscheinlich die Wahrung der berechtigten Interessen wählen müssen.

 

Konkrete Datenempfänger (optional)

Bisher haben wir bei den Empfängern nur die Kategorie angegeben. Es kann aber in vielen Fällen auch notwendig sein, den genauen Empfänger zu dokumentieren.

Das ist vor allem dann notwendig, wenn es sich um eine Auftragsverarbeitung oder um die Verarbeitung der Daten in einem Drittstaat handelt.

In unserem Beispiel Fall ist es „MailChimp Rocket Science Group“.

 

Dienstleister, die Verarbeitung im Auftrag durchführen (Auftragsdatenverarbeitung)

Wenn andere Dienstleister im Auftrag des Verantwortlichen Daten verarbeiten, dann spricht man von einer Auftragsdatenverarbeitung.

Genau heisst es in Artikel 4 der DSGVO bei den Begriffsbestimmungen unter Absatz 8:

„Auftragsdatenverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Wichtig dabei ist, dass der Auftragsdatenverarbeiter nicht eigenständig über die Verarbeitung entscheiden darf. Er macht das eben im Auftrag des Verantwortlichen.

Das bedeutet, dass du mit allen einen Auftragsdatenverabeitungsvertrag abschliessen musst, die dich bei der Verarbeitung der personenbezogenen Daten, für die du verantwortlich bist unterstützen.

Das bedeutet aber nicht, dass all jene, die theoretisch Zugriff auf die Daten haben könnten ein solcher Vertrag abgeschlossen werden muss.

Nehmen wir zum Beispiel das Reinigungspersonal her. Hier genügt es ein Geheimhaltungsabkommen mit den jeweiligen Personen abzuschliessen.

Ist es nicht möglich mit jeder einzelnen Person dieses Abkommen abzuschliessen, dann kann man es auch mit dem Unternehmen machen, dass diese Personen bereitstellt. Zu beachten, ist aber, dass das Unternehmen, mit dem man den Vertrag abschliesst mit jedem einzelnen Mitarbeiter ein solches Abkommen abschliessen muss.

In unserem Beispiel ist MailChimp unser Auftragsdatenverarbeiter und wir müssen mit diesem Unternehmen einen Auftragsdatenverarbeitungsvertrag abschliessen.

Verzeichnis der Verarbeitungstätigkeiten - Auftragsverarbeitung

Verzeichnis der Verarbeitungstätigkeiten – Auftragsverarbeitung

Es gibt im Internet einige gute Vorlagen und Muster für einen solchen Vertrag.

Zum Beispiel findet man bei GDD, der Gesellschaft für Datenschutz und Datensicherheit e.V. „GDD-Praxishilfe DS-GVO IV“ – Muster und Vorlagen in deutscher und englischer Sprache:

https://www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-gvo/praxishilfen-ds-gvo

Auf der Webseite von Bitkom gibt es ebenfalls Vorlagen und Muster in Englisch und Deutsch:

https://www.bitkom.org/Bitkom/Publikationen/Aktualisierte-Mustervertragsanlage-zur-Auftragsdatenverarbeitung.html

bzw.

https://www.bitkom.org/Bitkom/Publikationen/Mustervertragsanlage.html

Auch die Wirtschaftskammer Österreich bietet zu diesem Thema eine Vorlage an:

https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-mustervertrag-auftragsverarbeitung.html

In vielen Fällen, wird man allerdings mit diesen Vorlagen nicht weiterkommen, da die meisten Unternehmen (vor allem grosse Unternehmen) nur ihre eigenen Verträge akzeptieren und nicht mit jedem einzelnen einen speziellen Vertrag abschliessen wollen.

Die Praxis zeigt allerdings, dass eine Menge Unternehmen zum heutigen Zeitpunkt Anfang April 2018 immer noch daran arbeiten und man vertröstet wird, dass es rechtzeitig vor dem 25. Mai etwas geben wird.

Bei MailChimp unser Auftragsdatenverarbeiter aus unserem Beispiel, hat man das sehr gut und schon relativ zeitig gelöst.

Auf der Webseite https://mailchimp.com/legal/forms/data-processing-agreement/, kann man einige Felder zum eigenen Unternehmen ausfüllen und erhält dann sofort den Vertrag.

 

Datenquelle

Wenn du die Daten nicht selbst erhoben, sondern von einem externen Anbieter erhalten hast, dann solltest du hier die Quelle der Daten angeben.

In unserem Beispiel ist hier kein Eintrag erforderlich, da wir die Daten über das Anmeldeformular selbst erfassen.

 

Information der Betroffenen (Informationspflicht)

Mit der DSGVO gibt es die Pflicht die betroffenen Personen umfangreich über die Verarbeitung ihrer Daten zu informieren. In der DSGVO findest du die entsprechenden Stellen in Kapitel 3 – Artikel 13, wenn die personenbezogenen Daten bei der betroffenen Person erhoben wurden oder in Kapitel 3 – Artikel 14, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden.

Im Prinzip teilst du der betroffenen Person Teile der Informationen aus deiner Verarbeitungstätigkeit mit. Das sind also Angaben zu den Verantwortlichen, der Zweck, die Rechtsgrundlage (mit genauer Erklärung), die Empfänger, gegebenenfalls Daten in ein Drittland zu übermitteln, die Dauer der Speicherung, Aufklärung über die Rechte der betroffenen Person

Diesen Vorgang musst du dann durchführen, wenn du die Daten erfasst. Also zum Beispiel dann, wenn dein User Daten in ein Formular eingibt. Auch beim Besuch deiner Webseite erfasst du gezwungenermaßen Daten deiner Besucher. Zumindest wird die IP-Adresse in den Log-Files deines Providers abgespeichert.

Beim Besuch der Webseite reicht es allerdings, wenn du diese Information in den Datenschutzerklärungen aufführst. Problematisch, wird es immer dann, wenn Daten erfasst und an Dritte weitergegeben werden.

Das ist auch ein Grund, warum der Facebook Pixel und streng genommen auch Google Web Fonts problematisch sind. Der User kann vor der Übermittlung dieser Daten nicht informiert werden und auch nicht widersprechen, da diese sofort nach Aufruf der Webseite übermittelt werden.

Du musst deinen Nutzern nicht jedesmal diese Information zukommen lassen. Wenn der User bereits über die Informationen verfügt, muss er nicht erneut darauf hingewiesen werden.

Ein recht unterhaltsames aber durchaus praxisnahes Beispiel mit dem Titel Telefonieren unerwünscht – Informationspflichten nach der DSGVO, zeigt die Webseite von Datenschutz Notizen. Dort wird an einem Telefonat zur Terminvereinbarung bei einem Arzt gezeigt wird, wie sich die Informationspflicht auswirken könnte.

 

Verantwortliche Abteilung

Bei einem größeren Unternehmen, kann es sinnvoll sein, die verantwortliche Abteilung zu dokumentieren um einen Ansprechpartner für eventuelle Rückfragen zu haben.

 

Modul 3 – Technische und organisatorischen Massnahmen (TOM)

Verzeichnis der Verarbeitungstätigkeiten - TOM Kommen wir jetzt zum dritten und letzten Modul unserer Auftragsverarbeitung. Es geht um die technischen und organisatorischen Massnahmen.

Ich werde die Informationen über dieses Modul in diesem Beitrag recht kurz halten, da es so umfangreich ist, dass es besser ist dieses Thema in einem eigenen Beitrag zu behandeln.

Du wirst dazu mehr Infos in meinem Beitrag „Das hat die DSGVO mit IT-Sicherheit zu tun“ finden.

 

Datenschutz-Folgenabschätzung

Die Datenschutz-Folgenabschätzung steht eng in Zusammenhang mit den technisch und organisatorischen Massnahmen.

Erwähnt wird sie in Artikel 35 der DSGVO. Eine Folgenabschätzung ist dann durchzuführen, wenn die Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Die Datenschutz Folgenabschätzung ist besonders in folgenden Fällen erforderlich:

  • Bei Profiling, vor allem dann, wenn automatisierte Verarbeitung als Grundlage für Entscheidungen herangezogen wird, welche die betroffene Person in erheblicher Weise beeinträchtigt. Als Beispiel könnte man hier eine automatisierte Kreditvergabe nennen.
  • Umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten.
  • Bei systematischer umfangreicher Überwachung öffentlich zugänglicher Bereiche.

Auf die Datenschutz Folgenabschätzung möchte ich sowie auf die TOMs in einem eigenen Beitrag eingehen.

 

Ist das alles nicht furchtbar mühsam?

So das war es auch schon. Ich denke, bei vielen unter euch, wird jetzt ein Aufschrei kommen, wie kompliziert und aufwendig das ganze ist.

Du hast natürlich nicht ganz unrecht. So ein Verarbeitungsverzeichnis ist nicht so einfach in 10 Minuten erstellt, wenn du ein Business hast, das vor allem viele Online Dienste nutzt.

Es ist trotzdem ratsam sich einmal Gedanken zu all den Verfahren von Datenverarbeitung in seinem Unternehmen zu machen. Mit den von mir bereitgestellten Vorlagen, hast du schon eine recht gute Basis um das auch wirklich umsetzen zu können.

Wenn dir bis zum 25. Mai 2018 wirklich nicht mehr viel Zeit bleibt und du rasch einmal zu einem brauchbaren Entwurf kommen willst, dann empfehle ich dir den Beitrag Keine Zeit für ein Verarbeitungsverzeichnis nach DSGVO? Tipps für eine schnelle Notlösung in „dreckig“ von „Datenschutz Guru“ Stephan Hansen-Oest.

Er zeigt dort wie er mit einer einfachen Tabelle ein Verarbeitungsverzeichnis erstellt.Stephan Hansen-Oest weisst aber auch darauf hin, dass dies keine endgültige und dauerhafte Lösung sein sollte und dass es sich bei dem Erstellen des Verzeichnisses um einen Prozess handelt.

Seine Website und vor allem seinen Podcast https://www.datenschutz-guru.de/category/podcast/ kann ich dir nur sehr empfehlen. Vor allem die Serie „Crashkurs Datenschutzrecht (DSGVO)“ ist sehr hörenswert.

 

Gibt es Vorlagen und Muster?

Einige Muster, zum Beispiel zum Thema Auftragsverarbeitung, habe ich an den entsprechenden Stellen in diesem Beitrag schon verlinkt.

Auch für das Verarbeitungsverzeichnis gibt es einige Muster und Vorlagen, die ich dir jetzt noch vorstellen möchte.

Zuerst einmal das von mir angesprochene und erstellte Dokument, dass ich auch in den Beispielen verwendet habe.

Meine Vorlagen für dich:

Verarbeitungsverzeichnis Stammblatt
Verarbeitungsverzeichnis Verarbeitungstätigkeit

 

WKO Vorlage für ein Verarbeitungsverzeichnis:

https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-muster-verarbeitungsverzeichnis-verantwortliche.html

 

Muster Dokumente der Wirtschaftskammer Österreich:

https://www.wko.at/service/wirtschaftsrecht-gewerberecht/Musterdokumente-zur-EU-Datenschutzgrundverordnung.html

 

Vorlagen und Beispiele einer kompletten DSGVO Dokumentation für ein Handelsunternehmen mit der DSGVO Toolbox der Wirtschaftskammer Österreich:

https://www.wko.at/branchen/handel/datenschutzgrundverordnung-in-handelsunternehmen.html

 

Einen Leitfaden, der sich nur dem Verarbeitungsverzeichnis widmet findet man bei Bitkom unter https://www.bitkom.org/Bitkom/Publikationen/Das-Verarbeitungsverzeichnis.html

 

Auch bei GDD, der Gesellschaft für Datenschutz und Datensicherheit e.V. wird man mit der „GDD-Praxishilfe DS-GVO V“ – Verzeichnis von Verarbeitungstätigkeiten fündig.

 

Muster und gute Beispiele gibt es vom Bayerisches Landesamt für Datenschutzaufsicht:

https://www.lda.bayern.de/de/kleine-unternehmen.html

Ebenso vom Bayerischen Landesamt für Datenschutzaufsicht gibt es ein 64 Seiten starkes Heft mit dem Titel „Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine: Das Sofortmaßnahmen-Paket“*, welches zum Beispiel bei Amazon um 5,50 Euro erworben werden kann. Ich finde es sehr empfehlenswert, da sehr kompakt über die wichtigsten Dinge und Abläufe informiert wird. Vor allem der Preis dafür ist sehr fair.

 

Auch der „Datenschutz Guru“ Stephan Hansen-Oest hat einige Muster für ein Verarbeitungsverzeichnis zur Verfügung gestellt:  https://www.datenschutz-guru.de/verzeichnis-von-verarbeitungstaetigkeiten

 

Gibt es auch Tools zum Erstellen des Verzeichnisses

Ich bekomme auch oft die Frage, ob es denn nicht irgendeine Software oder ein Online Tool gibt um ein solches Verzeichnis erstellen zu können. Es gibt doch heute für fast alles irgendeine Software Lösung.

Die gute Nachricht für dich – ja es gibt solche Tools. Ich habe dazu einige recherchiert und auch einiges zu diesem Thema gefunden und probiert.

Jetzt kommt aber die schlechte Nachricht. Ein grosser Teil der Tools ist für kleinere Unternehmen nicht wirklich brauchbar. Die Kosten bewegen sich entweder einmalig im 4 bis 5 oder monatlich im 3 stelligen Bereich. Ich nehme kaum an, dass du einige hundert Euro pro Monat zahlen möchtest um dir die Arbeit zur Erstellung des Verzeichnisses etwas zu erleichtern.

Auf der anderen Seite gibt es auch kostenlose Lösungen, diese sind aber aktuell Anfang April 2018 immer noch in einer Probephase. Ich denke also für die praktische Umsetzung wohl nicht mehr zu verwenden.

 

Doch dann habe ich eine Lösung gefunden, die ich persönlich in der DSGVO Tool Landschaft ideal finde. Du kannst mit dieser Lösung nicht nur sehr einfach das in diesem Beitrag angesprochene Verarbeitungsverzeichnis erstellen. Sie hilft dir auch bei den restlichen Dokumentationen, wie die technisch und organisatorischen Massnahmen zu dokumentieren. Auch die Betroffenenrechte zu erfüllen wird mit diesem Tool um einiges erleichtert.

In den Stammdaten pflegt man zuerst die Bereiche, wie Datenkategorien, Personengruppen, Empfänger, Rechtsgrundlagen usw.. Dann verwendest du diese Daten um damit die einzelnen Verarbeitungen zu definieren. Der Vorteil ist, dass viele dieser Stammdaten bereits vorausgefüllt sind und nur mehr an persönliche Bedürfnisse angepasst werden müssen.

Ich habe diese Lösung zuerst einmal 14 Tage kostenlos getestet, was du übrigens auch machen kannst und mich dann entschlossen sie für meine DSGVO Dokumentation zu nutzen.

Wenn du dieses Tool nach Ablauf der Testzeit nutzen möchtest, kostet es im Jahr 180.- Euro, das sind also im Monat gerade einmal 15.- Euro. Erfasste Daten aus der Probezeit bleiben übrigens eine bestimmte Zeit lang gespeichert. Damit ist die Arbeit aus der Probezeit nicht verloren.

Und ja ich gebe es zu, dieses Tool hat mir so gut gefallen, dass ich mich auch für eine Vertriebspartnerschaft interessiert habe. Die die mich kennen, wissen, dass ich das wirklich nur mit Produkten machen, von denen ich persönlich wirklich überzeugt bin.

Dafür kann ich dir auch die Möglichkeit geben das Produkt etwas günstiger zu bekommen, falls du dich nach der Probephase dafür entscheiden solltest. Mit dem Gutscheincode „COMAS“ bekommst du einmalig 10.- Euro abgezogen.

Die Seite, wo du die DSGVO App findest ist hier: https://www.dsgvoapp.at/

 

Die wichtigsten Begriffe in englischer Sprache

Zum Schluss noch eine kleine Hilfe, wenn es notwendig ist mit ausländischen Partnern zu kommunizieren. Manchmal ist es erforderlich mit Unternehmen (z.B. Auftragsverarbeiter) Kontakt aufzunehmen, die nur Englisch sprechen. Da kann es hilfreich sein, die wichtigsten Begriffe zum Thema DSGVO auf Englisch zu kennen. Daher hier die wichtigsten Begriffe übersetzt:

DSGVO = GDPR (General Data Protection Regulation)
Verantwortlicher = Data Controller
Auftragsverarbeiter = Data Processor
Betroffene = Data Subjects
Datenschutzbeauftragter = Data Protection Officer (DPO)
Datenschutz-Folgenabschätzung = Data Protection Impact Assessment (DPIA)
Auftragsdatenverarbeitung (ADV) = Data Processing Agreement (DPA)

Wenn du weitere Begriffe benötigst, kann ich die den Tipp geben, auf die Seite https://dsgvo-gesetz.de/ zu gehen, wo du den kompletten Gesetzestext findest. Suche dir dort die entsprechende Stelle mit dem Begriff, den du übersetzt haben willst und schalte dann mit dem „English“ Symbol rechts oben auf die englische Sprache um. Du bekommst dann die Seite auf der du gerade warst in Englisch angezeigt.

  • = Affiliate Link
Kategorien: DSGVO.

Comments

    • Freut mich, wenn meine Informationen weiterhelfen in den Dschungel der DSGVO ein wenig Licht reinzubringen und bei Umsetzung helfen zu können.

      Liebe Grüße
      Andreas

  1. Besten Dank Andreas für diese hilfreiche Zusammenfassung!

    Bei einem Punkt bin ich mir unsicher. Du unterscheidest zwischen Empfänger (extern) und Auftragsdatenverarbeiter („Dienstleister, die Verarbeitung im Auftrag durchführen“). Ist das nicht dasselbe?

    Besten Dank und Gruss aus der Schweiz!

    • Hallo Andrea

      Auftragsverarbeiter und Empfänger sind für die DSGVO nicht genau das selbe. Ein Empfänger ist jemand dem die Daten offen gelegt werden. Er verarbeitet die Daten aber nicht. Ich habe die hier die Texte aus Kapitel 4 der DSGVO Absatz 8 und 9 heraus kopiert, wo die beiden Begriffe beschrieben werden. Die Begriffe kannst du auch direkt nachlesen unter https://dsgvo-gesetz.de/art-4-dsgvo/
      Da sind auch noch andere Beteiligte beschrieben.

      „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

      „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denen personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. 2Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;

      Ich hoffe die Info hilft weiter.

      Liebe Grüße
      Andreas

  2. Herzlichen Dank Andreas, zwar möchte ich gerade alles am liebsten hinschmeißen, da kannst ja Du nichts dafür. Das Gefühl vor einem Berg zu stehen, den ich gar nicht bewältigen kann, hast Du mir ein wenig genommen. Du hast Dir so viel Arbeit gemacht, dafür herzlichen Dank.

    • Hallo Elke, es freut mich, dass ich dich mit meinem Artikel dazu motivieren kann nicht aufzugeben und den Berg zu bewältigen. Du wirst sehen es ist zu schaffen. Beginne einfach mit dem minimal Notwendigen und verfeinere oder vertiefe dich dann, wo es nötig ist.

  3. Hallo Andreas,

    auch für diesen Artikel herzlichen Dank. Er hilft sehr, Licht in das Dunkel zu bringen.

    Auch diesen Artikel habe ich gern in meinem Blog geteilt (Fahrplan zur DSGVO).

    Herzliche Grüße
    Monika

    • Hallo Monika,

      es freut mich, wenn der Artikel etwas hilft die Arbeit für die DSGVO zu erleichtern. Danke für die Aufnahme in deinen Artikel, eine wirklich gute und umfassende Übersicht von guten Quellen zum Thema DSGVO.

      Liebe Grüße
      Andreas

  4. Markus Kleine

    Hallo Andreas,

    vielen Dank für die tollen Beiträge zur DSGVO. Endlich schreibt mal jemand so, dass man es auch ohne Jura Studium versteht.
    Eine Frage habe ich allerdings dennoch. Ich verstehe in den Stammdaten nicht so genau den Unterschied zwischen den Verantwortlichen und den gemeinsam Verantwortlichen. Muss ich bei einer GmbH mit drei Geschäftsführern alle drei dort aufführen, oder ist mit dem gemeinsamen Verantwortlichen ein externer (z.B. Auftragsdatenverarbeiter) gemeint?

    Viele Grüße,
    Markus Kleine

Trackbacks

  1. […] was sich für für Online Unternehmer ändert. Und zum Verzeichnis der Verarbeitungstätigkeiten hier weitere […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden .