Das Monster DSGVO – Das Verarbeitungsverzeichnis

von | Mrz 20, 2018 | Dein Business, Dein Recht

Nachdem ich mir nun eine kurze (Blog-)Pause von der ganzen Thematik „DSGVO“ gegönnt habe, geht es heute weiter mit dem 5. Teil der Reihe rund um die Datenschutzgrundverordnung, die in wenigen Wochen in Kraft tritt. Solltest du meine bisherigen Artikel zum Thema noch nicht gelesen habe, kannst du dir hier noch einmal die einzelnen Teile durchlesen:

  1. Das Monster DSGVO – Allgemeines
  2. Das Monster DSGVO – Datenschutzerklärung
  3. Das Monster DSGVO – Newsletter, Freebies und E-Mail-Marketing
  4. Das Monster DSGVO – Auftragsdatenvereinbarung

Heute geht es weiter mit dem nächsten großen Thema im Rahmen der Datenschutzgrundverordnung:

Das Verarbeitungsverzeichnis

Das Verarbeitungsverzeichnis bzw. die Pflicht dazu, dieses zu führen (oder eben nicht) findet sich in Artikel 30 der DSGVO.
Darin wird beschrieben, dass diejenigen Unternehmen bzw. Webseitenbetreber ein sogenanntes Verzeichnis von Verarbeitungstätigkeiten zu führen haben, die

a) ein Unternehmen mit mehr als 250 Mitarbeiter hat oder
b) besondere „Datenkategorien“ (siehe Art. 9 DSGVO) verarbeitet werden oder
c) deren Datenverarbeitung nicht nur gelegentlich erfolgt.

Während die meisten Tierisch Selbstständigen wahrscheinlich großzügig über die ersten beiden Punkte hinwegsehen können, bleiben wir in der Praxis jedoch wahrscheinlich alle am letzten Punkt hängen. Leider ist das Gesetz hier nicht klar und deutlich darin, was denn noch unter einer „gelegentlichen“ Datenverarbeitung verstanden wird, und so wird man erst in den nächsten Monaten im Zuge der ersten Urteile der DSGVO mehr Klarheit haben. Da aber im Zweifel hohe Abstrafungen drohen, sollte man sich hier vielleicht einfach vorher absichern, in dem man ein Verarbeitungsverzeichnis anfertigt. Das Verzeichnis muss nicht öffentlich gemacht werden, du solltest es aber auf Anfrage der Datenschutzbehörden vorgelegen können.

Am Ende dieses Artikels findest du eine kostenfreie Vorlage für ein Verarbeitungsverzeichnis.

Inhalt und Form des Verarbeitungsverzeichnisses

Das Verarbeitungsverzeichnis gliedert sich in einen Pflichtteil und einen internen Zusatzteil. Der Pflichtteil ist dabei logischerweise verpflichtend für jedes Verarbeitungsverzeichnis zu führen, der interne Zusatzteil muss nicht geführt werden, erleichtert aber die Dokumentation im Falle eines Nachfragens durch die Behörden. Wichtig ist, dass du möglichst umfänglich alle Datenverarbeitungsprozesse (im folgenden auch „Verfahren“ genannt) auflistest und das ganze in Schriftform (auch elektronisch möglich) vorhanden ist (auch das erleichtert dir bei einer Nachfrage die Beantwortung, denn du musst nicht erst umständlich das betroffene Verfahren recherchieren und die Aktualität deiner Angaben prüfen).

Inhalte des Pflichtteiles

An oberster Stelle werden die Angaben zur Firma, zum Verantwortlichen (Unternehmensleitung) und ggf. zum Datenschutzbeauftragten angegeben. Darunter werden die verschiedenen „Verfahren“ aufgelistet, bei denen es in deinem Unternehmen zur Verarbeitung von Daten kommt, und wie diese Verarbeitung tatsächlich passiert. Bereits im ersten Teil meiner DSGVO-Reihe habe ich dir nahe gelegt, die verschiedenen Wege der Datenvereinbarung aufzuschreiben. Wenn du das gemacht hast, gilt es nun nur noch, diese Informationen zu gliedern.

Zu jedem Verfahren (nehmen wir z.B. den Newsletter-Versand) musst du nun die folgenden Punkte dokumentieren:

  • ggf. weitere Verantwortliche (z.B. dein Newsletter-Anbieter)
  • Zweck der Datenverarbeitung (z.B. Möglichkeit des Versands eines Newsletters)
  • Betroffenengruppe und Datenkategorie (Als Betroffenengruppe kann zum Beispiel „Kunden“, „Interessenten“, „Mitarbeiter“ genannt werden, Als Datenkategorie stellt zum Beispiel die E-Mail-Adresse  einen Teil der Stammdaten dar, im Bereich von Analysetools wäre es zum Beispiel „Nutzungsdaten“)
  • Empfänger (jeder, der in irgendeinen Kontakt mit den Daten dieses Verfahrens kommt – beim Beispiel Newsletter z.B. das Newslettertool, also CleverReach, ActiveCampaign, Newsletter2go etc.)
  • Dauer für eine Löschung der Daten (Die Daten sind grundsätzlich unverzüglich nach Erfüllungszweck zu löschen, also wenn jemand den Newsletter z.B. nicht mehr erhalten will, sofern dieser Punkt nicht durch gesetzliche Vorgaben, wie sie zum Beispiel bei Shop-Bestellungen entstehen, individuell betrachtet werden muss)
  • ggf. die geplante Weitervermittlung der Daten an Drittländer (Nicht-EU-Länder) – an wen, mit welchem Zweck und wie wird die Datensicherung dort garantiert?
  • technische und organisatorische Maßnahmen (kurz TOM), die im Rahmen des einzelnen Verfahrens ergriffen werden (also zum Beispiel Newsletter-Tool, dass selbst nach Bestimmungen der DSGVO arbeitet; aber auch das Unter-Verschluss-Halten von Kundendaten)

Inhalte des erweiterten Teils

Der erweiterte Teil wird nur intern verwendet. Er ist auch nicht verpflichtend, sondern dient mehr der internen Qualitätssicherung. Dort werden zum Beispiel Anwendungen gelistet, die im Rahmen der einzelnen Verfahren genutzt werden, und auch die Rechtmäßigkeit der Aufnahme von Daten wird hier z.B. mit einer Rechtsgrundlage dokumentiert. Ich denke aber, dass das für die meisten kleineren Selbstständigen zu weit führen würde. Ob ich für mich selbst einen eigenen erweiterten Teil anlege, habe ich noch nicht entschieden.

Achtung wichtig!

Auch, wenn du einen (externen) Datenschutzbeauftragten hast, so bist doch du als Unternehmensleitung verantwortlich für das Verarbeitungsverzeichnis. Es liegt also unbedingt in deinem Interesse, dich mit dieser Thematik zu beschäftigen und den Weisungen deines Datenschutzbeauftragten Folge zu leisten.

Fazit

Meiner Einschätzung nach wird das Verarbeitungsverzeichnis noch das aufwendigste an der ganzen DSGVO-Geschichte sein, zumal dann, wenn man sich bisher mit dem Thema Datenschutz noch überhaupt nicht auseinander gesetzt hat. Auch muss das Verarbeitungsverzeichnis aktuell gehalten werden, wenn du beispielsweise mal ein Tool (z.B. den Newsletter-Anbieter) wechselst oder etwas neues dazu nimmst (z.B. ein Buchungstool auf deiner Homepage). Die Prüfung des Datenschutzes und der Konformität mit der DSGVO wird einiges an Zeit verschlingen, aber je gründlicher du das aufarbeitest, desto sicherer bist du, wenn es doch einmal zu einer behördlichen Nachfrage oder schlimmer – einer Abmahnung kommt. Denn mit einer guten Dokumentation kannst du zum einen deine Datenschutzarbeiten klar vorlegen, zum anderen wird die gute Dokumentation bei Abstrafungen ggf. mildernd gewertet.

0 Kommentare

Ähnliche Beiträge

Wie du deinen Twitter-Account löschen kannst

        Meine Blogartikel enthalten u.U. Verlinkungen zu fremden Angeboten oder berichten über Angebote Dritter. Diese Links sind ohne Aufforderung der Verlinkten gesetzt worden. Durch die Nennung der Namen kann dieser Artikel als "werbend"...

mehr lesen