Die DSGVO und das Verarbeitungsverzeichnis

von | Mrz 20, 2018

Nachdem ich mir nun eine kurze (Blog-)Pause von der ganzen Thematik “DSGVO” gegönnt habe, geht es heute weiter mit dem 5. Teil der Reihe rund um die Datenschutzgrundverordnung, die in wenigen Wochen in Kraft tritt. Solltest du meine bisherigen Artikel zum Thema noch nicht gelesen habe, kannst du dir hier noch einmal die einzelnen Teile durchlesen:

  1. Das Monster DSGVO – Allgemeines
  2. Das Monster DSGVO – Datenschutzerklärung
  3. Das Monster DSGVO – Newsletter, Freebies und E-Mail-Marketing
  4. Das Monster DSGVO – Auftragsdatenvereinbarung

Heute geht es weiter mit dem nächsten großen Thema im Rahmen der Datenschutzgrundverordnung:

Das Verarbeitungsverzeichnis

Das Verarbeitungsverzeichnis bzw. die Pflicht dazu, dieses zu führen (oder eben nicht) findet sich in Artikel 30 der DSGVO.
Darin wird beschrieben, dass diejenigen Unternehmen bzw. Webseitenbetreber ein sogenanntes Verzeichnis von Verarbeitungstätigkeiten zu führen haben, die

a) ein Unternehmen mit mehr als 250 Mitarbeiter hat oder
b) besondere “Datenkategorien” (siehe Art. 9 DSGVO) verarbeitet werden oder
c) deren Datenverarbeitung nicht nur gelegentlich erfolgt.

Während die meisten Tierisch Selbstständigen wahrscheinlich großzügig über die ersten beiden Punkte hinwegsehen können, bleiben wir in der Praxis jedoch wahrscheinlich alle am letzten Punkt hängen.

Leider ist das Gesetz hier nicht klar und deutlich darin, was denn noch unter einer “gelegentlichen” Datenverarbeitung verstanden wird, und so wird man erst in den nächsten Monaten im Zuge der ersten Urteile der DSGVO mehr Klarheit haben.

Da aber im Zweifel hohe Abstrafungen drohen, sollte man sich hier vielleicht einfach vorher absichern, in dem man ein Verarbeitungsverzeichnis anfertigt. Das Verzeichnis muss nicht öffentlich gemacht werden, du solltest es aber auf Anfrage der Datenschutzbehörden vorgelegen können.

Hier findest du eine kostenfreie Vorlage für ein Verarbeitungsverzeichnis.

Inhalt und Form des Verarbeitungsverzeichnisses

Das Verarbeitungsverzeichnis gliedert sich in einen Pflichtteil und einen internen Zusatzteil. Der Pflichtteil ist dabei logischerweise verpflichtend für jedes Verarbeitungsverzeichnis zu führen, der interne Zusatzteil muss nicht geführt werden, erleichtert aber die Dokumentation im Falle eines Nachfragens durch die Behörden. Wichtig ist, dass du möglichst umfänglich alle Datenverarbeitungsprozesse (im folgenden auch “Verfahren” genannt) auflistest und das ganze in Schriftform (auch elektronisch möglich) vorhanden ist (auch das erleichtert dir bei einer Nachfrage die Beantwortung, denn du musst nicht erst umständlich das betroffene Verfahren recherchieren und die Aktualität deiner Angaben prüfen).

Inhalte des Pflichtteiles

An oberster Stelle werden die Angaben zur Firma, zum Verantwortlichen (Unternehmensleitung) und ggf. zum Datenschutzbeauftragten angegeben. Darunter werden die verschiedenen “Verfahren” aufgelistet, bei denen es in deinem Unternehmen zur Verarbeitung von Daten kommt, und wie diese Verarbeitung tatsächlich passiert. Bereits im ersten Teil meiner DSGVO-Reihe habe ich dir nahe gelegt, die verschiedenen Wege der Datenvereinbarung aufzuschreiben. Wenn du das gemacht hast, gilt es nun nur noch, diese Informationen zu gliedern.

Zu jedem Verfahren (nehmen wir z.B. den Newsletter-Versand) musst du nun die folgenden Punkte dokumentieren:

  • ggf. weitere Verantwortliche (z.B. dein Newsletter-Anbieter)
  • Zweck der Datenverarbeitung (z.B. Möglichkeit des Versands eines Newsletters)
  • Betroffenengruppe und Datenkategorie (Als Betroffenengruppe kann zum Beispiel “Kunden”, “Interessenten”, “Mitarbeiter” genannt werden, als Datenkategorie stellt zum Beispiel die E-Mail-Adresse  einen Teil der Stammdaten dar, im Bereich von Analysetools wäre es zum Beispiel “Nutzungsdaten”)
  • Empfänger (jeder, der in irgendeinen Kontakt mit den Daten dieses Verfahrens kommt – beim Beispiel Newsletter z.B. das Newslettertool, also CleverReach, ActiveCampaign, Newsletter2go etc.)
  • Dauer für eine Löschung der Daten (Die Daten sind grundsätzlich unverzüglich nach Erfüllungszweck zu löschen, also wenn jemand den Newsletter z.B. nicht mehr erhalten will, sofern dieser Punkt nicht durch gesetzliche Vorgaben, wie sie zum Beispiel bei Shop-Bestellungen entstehen, individuell betrachtet werden muss)
  • ggf. die geplante Weitervermittlung der Daten an Drittländer (Nicht-EU-Länder) – an wen, mit welchem Zweck und wie wird die Datensicherung dort garantiert?
  • technische und organisatorische Maßnahmen (kurz TOM), die im Rahmen des einzelnen Verfahrens ergriffen werden (also zum Beispiel Newsletter-Tool, dass selbst nach Bestimmungen der DSGVO arbeitet; aber auch das Unter-Verschluss-Halten von Kundendaten)

Inhalte des erweiterten Teils

Der erweiterte Teil wird nur intern verwendet. Er ist auch nicht verpflichtend, sondern dient mehr der internen Qualitätssicherung. Dort werden zum Beispiel Anwendungen gelistet, die im Rahmen der einzelnen Verfahren genutzt werden, und auch die Rechtmäßigkeit der Aufnahme von Daten wird hier z.B. mit einer Rechtsgrundlage dokumentiert. Ich denke aber, dass das für die meisten kleineren Selbstständigen zu weit führen würde.

Achtung wichtig!

Auch, wenn du einen (externen) Datenschutzbeauftragten hast, so bist doch du als Unternehmensleitung verantwortlich für das Verarbeitungsverzeichnis. Es liegt also unbedingt in deinem Interesse, dich mit dieser Thematik zu beschäftigen und den Weisungen deines Datenschutzbeauftragten Folge zu leisten.

Fazit

Meiner Einschätzung nach wird das Verarbeitungsverzeichnis noch das aufwendigste an der ganzen DSGVO-Geschichte sein, zumal dann, wenn man sich bisher mit dem Thema Datenschutz noch überhaupt nicht auseinander gesetzt hat. Auch muss das Verarbeitungsverzeichnis aktuell gehalten werden, wenn du beispielsweise mal ein Tool (z.B. den Newsletter-Anbieter) wechselst oder etwas neues dazu nimmst (z.B. ein Buchungstool auf deiner Homepage). Die Prüfung des Datenschutzes und der Konformität mit der DSGVO wird einiges an Zeit verschlingen, aber je gründlicher du das aufarbeitest, desto sicherer bist du, wenn es doch einmal zu einer behördlichen Nachfrage oder schlimmer – einer Abmahnung kommt. Denn mit einer guten Dokumentation kannst du zum einen deine Datenschutzarbeiten klar vorlegen, zum anderen wird die gute Dokumentation bei Abstrafungen ggf. mildernd gewertet.

 

 

WUSSTEST DU, DASS...

… Blogartikel und Social-Media-Postings ein extrem wertvolles SEO-Werkzeug sind?
Durch gute, interessante, spannende und regelmäßige Veröffentlichungen bleibst du mit Kunden und Interessenten in Kontakt und damit in ihrem Kopf!
Dir fehlen Ideen, WORÜBER du schreiben oder posten kannst?

Dann schau dir unbedingt meine Social-Media-Kalender an  – für Hunde-, Katzen- und Pferdebranche.

Hallo, ich bin Susann!

Hallo, ich bin Susann!

Ich bin seit über 10 Jahren Tierisch Selbstständig und unterstütze dich bei deiner Selbstständigkeit mit Tieren! Neben der Erstellung von Webseiten, Logos, Flyern, Visitenkaren und mehr findest du in meinem Blog allerhand Wissenswertes aber auch Unterhaltsames rund ums Thema Tierische Selbstständigkeit.

Melde dich zum kostenlosen Newsletter für Tierisch Selbstständige an

Zum Weiterlesen

Neue Kommentare

  1. Ich würde gerne mehr erfahren ,ich habe mit den Direktvertrieb Erfahrung,jedochvnur im Kosmetik Bereich. Mein Hobby sind meine Tiere und…

Social Media

Meine Pläne und Vorsätze für 2023

Meine Pläne und Vorsätze für 2023

Jetzt ist es also da, das neue Jahr; ich hoffe, ihr seid alle gut reingerutscht. Ich beginne das neue Jahr mit einem etwas persönlicherem Blogartikel für euch, denn ich möchte euch meine Vorsätze für das neue Jahr mitteilen. Bevor wir aber nach vorn blicken, möchte...

mehr lesen
Bloggen als Marketinginstrument – Ja oder nein?

Bloggen als Marketinginstrument – Ja oder nein?

Die richtigen Marketingkanäle zu finden ist gar nicht so einfach, insbesondere wenn man - wie ein großer Teil der Tierisch Selbstständigen - als Einzelkämpfer oder gar nebenberuflich versucht, sein Business in Schwung zu bekommen. Wenige Tierisch Selbstständige haben...

mehr lesen
FB, Insta und Co. im Marketing-Mix nutzen oder nicht?

FB, Insta und Co. im Marketing-Mix nutzen oder nicht?

In meinem letzten Artikel habe ich dir verschiedenste Marketing-Kanäle aufgeführt, unter anderem auch die sozialen Netzwerke, wie bspw. Facebook, Instagram und YouTube. Doch wie schon in dem Artikel zu lesen war, solltest du mit Bedacht deine Kanäle wählen, denn deine...

mehr lesen
Wie du deine Marketing-Kanäle findest

Wie du deine Marketing-Kanäle findest

Marketing ist mehr als Werbung Marketing bietet unendlich viele Möglichkeiten, wie du an neue Interessenten und Kunden für deine Selbstständigkeit kommst. Dabei sind die Möglichkeiten genauso individuell wie du und deine Selbstständigkeit. Wenn du dich zu Beginn...

mehr lesen

0 Kommentare