Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Ratgeber

DSGVO: In 4 Schritten zum Verzeichnis der Verarbeitungstätigkeiten (Teil 4)

    DSGVO: In 4 Schritten zum Verzeichnis der Verarbeitungstätigkeiten (Teil 4)
Die Datenschutzgrundverordnung (DSGVO) wirkt ab Mai 2018. (Grafik: Shutterstock)

Wer ab nächstem Jahr der Dokumentationspflicht im Rahmen der DSGVO nicht nachkommt, muss Strafe zahlen. Wir erklären dir, wie du das perfekte Verzeichnis der Verarbeitungstätigkeiten erstellst.

Während es in den bisherigen Teilen um die Rechtsgrundlagen der Datenverarbeitung ging, wird sich dieser Teil den Dokumentations- und Rechenschaftspflichten widmen (auch bezeichnet als „Accountability“, Art. 5 Abs. 2 DSGVO).

Kurz gesagt möchte der Gesetzgeber mit erhöhten Dokumentationspflichten dafür sorgen, dass Unternehmen sich mehr Gedanken um den Datenschutz machen, und forciert dies mit Bußgeldern von bis zu zwei Prozent des Jahresumsatzes.

DSGVO: Hoher Aufwand für alle, die den Datenschutz bisher nicht  ernst genommen haben

Der Zeitaufwand wird je Unternehmen unterschiedlich ausfallen, ist jedoch eher in Tagen als in Stunden zu messen.

Unternehmen, die auch schon nach altem Recht ein „Verarbeitungsverzeichnis“ geführt haben, sparen sich viel Aufwand. Sie können die bisherigen Aufzeichnungen in ein „Verzeichnis von Verarbeitungstätigkeiten“ (Art. 30 DSGVO) überführen und müssen nur noch die bestehenden Prozesse auf deren Zulässigkeit nach der DSGVO prüfen (siehe Teile 2 und 3 der Beitragsreihe).

Alle anderen Unternehmen haben dagegen leider fast ausnahmslos einen nicht unerheblichen Fleißaufwand vor sich.

Befreiung bei weniger als 250 Mitarbeitern kommt äußerst selten infrage

Die Befreiung kommt praktisch nur für kleine Offline-Unternehmen infrage.

Viele Unternehmen verweisen darauf, dass das Gesetz Unternehmen mit weniger als 250 Mitarbeitern von den Rechenschaftspflichten befreit (Art. 30 Abs. 5 DSGVO). Allerdings gilt diese Ausnahme bereits dann nicht, wenn die Verarbeitung personenbezogener Daten „nicht nur gelegentlich“ erfolgt.

Da moderne Unternehmen Daten, sei es via Website, Shop, CRM-Systeme, Lohnabrechnungssysteme etc. permanent verarbeiten, wird diese Befreiung äußerst selten zur Anwendung kommen.

Wie wird ein Verzeichnis der Verarbeitungstätigkeiten umgesetzt?

Es gibt Vorgaben für den Inhalt, aber nicht für die Art seiner Darstellung.

Für das Verzeichnis der Verarbeitungstätigkeiten bestehen zwar inhaltliche Vorgaben (Art. 30 DSGVO), die Form ihrer Umsetzung ist jedoch frei wählbar. Je nach Unternehmensgröße und Arten der Verarbeitungen werden unterschiedliche Ansätze verfolgt.

Im Folgenden zeige ich, wie die Umsetzung zum Beispiel in einem kleineren Unternehmen erfolgen kann. Dabei geht es mir darum, das Grundverständnis zu vermitteln. Für Details und vertiefende Ausführungen verweise ich auf die Linkliste am Ende des Artikels.

Im Grundkonzept setzt sich das Verzeichnis der Verarbeitungstätigkeiten aus Grundangaben, einzelnen Verarbeitungstätigkeiten und dem Sicherheitskonzept zusammen.

1. Schritt – Grundangaben zum Unternehmen

Die Grundangaben zum Unternehmen bereiten keine Schwierigkeiten.

In diesem Schritt geht es lediglich um die Angaben zum Unternehmen, den zuständigen Personen und dem Datenschutzbeauftragten, welche in dieser Form erfolgen können:

Verzeichnis der Verarbeitungstätigkeiten – Grundangaben
Name des Unternehmens: Musterfrau GmbH
Adresse des Unternehmens: Paul-Lincke-Ufer 42/43, 10999 Berlin
Geschäftsführer/in: Helga Musterfrau
Registergericht, Registernummer AG Berlin-Charlottenburg, HRB 0123456X
Kontaktdaten (Telefon, E-Mail): Telefon 030/01234567890, info@musterfraugmbh.xyz
Zuständige Person für den Datenschutz, bzw. Datenschutzbeauftragter/ Kontaktdaten (Telefon, E-Mail): Max Mustermann, interner DSB, Adresse wie oben, mm@musterfraugmbh.xyz, Tel. 030/01234567890

2. Schritt – Einzelne Verarbeitungstätigkeiten bestimmen

Die einzelnen Verarbeitungstätigkeiten stellen den Kern des Verzeichnisses dar.

Die wesentliche Arbeit entfällt auf die Darstellung der einzelnen Verarbeitungstätigkeiten. Dabei kann bereits die Identifizierung und Zusammenfassung einzelner Verarbeitungsprozesse Schwierigkeiten bereiten.

Dabei gilt es, die einzelnen Tätigkeiten eher zu fein als zu grob gliedern. Die folgenden Beispiele einzelner Verarbeitungstätigkeiten (unterteilt in Kategorien) können dabei als Orientierungshilfe dienen:

Beispiele typischer Verarbeitungstätigkeiten:

  • Personalmanagement (Lohnabrechnung, Arbeitszeiterfassung, Bewerber, Bewertung);
  • Onlineshop (Vertragsdaten, einzelne Käufe, Profiling zum Kaufverhalten);
  • Mobile Applikation (Vertragsdaten, Verhaltensprofile, Inhalte);
  • Marketingmaßnahmen (Tracking & Remarketing, Newsletter, Postmailings, Gewinnspiele);
  • Sicherheit (Videoüberwachung, Chipkarten, Serverprotokollierung);
  • Verarbeitung von Daten im Auftrag Dritter.

Finde einen Job, den du liebst

2 Reaktionen
Werner
Werner

Das was dann dabei letztendlich herauskommt:
Kleine Firmen werden Ihre Online-Auftritte technisch und rechtlich in Ausland verlagern. Europa sei Dank sollte das kein großes Problem sein. Ich freue mich schau auf eine neue Geschäftsidee.

Antworten
Tim
Tim

Auslagern wird leider nichts, da diese Regelung auch bei Geschäften mit der EU gilt. Höchsten in die USA könnte man dann gehen. Ich fürchte eher, dass einige kleinere und mittelständische Unternehmen künftig komplett dicht machen können...

Antworten
Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Hinweis

Du hast gerade auf einen Provisions-Link geklickt und wirst in Sekunden weitergeleitet.

Bei Bestellung auf der Zielseite erhalten wir eine kleine Provision – dir entstehen keine Mehrkosten.


Weiter zum Angebot