Ratgeber

DSGVO: In 4 Schritten zum Verzeichnis der Verarbeitungstätigkeiten (Teil 4)

Seite 2 / 3

3. Schritt – Angaben zu einzelnen Verarbeitungstätigkeiten

Die Verarbeitungstätigkeiten müssen detailliert dokumentiert werden. 

Nachdem du die einzelnen Verarbeitungstätigkeiten aufgestellt hast, musst du die im Art. 30 DSGVO gesetzlich vorgesehenen Angaben machen. Hierbei solltest du dir die einzelnen Verarbeitungstätigkeiten als Baukästen vorstellen, die du mit weiteren Bausteinen befüllst.

Die folgenden Beispiele zeigen, wie diese „Bausteine“ im Fall der Datenkategorien und Kategorien betroffener Personen lauten können.

Beispiele von Datenkategorien:

  • Beschäftigtenstammdaten (Namen, Adressen, Lohngruppe, Steuermerkmale);
  • Bewerberdaten (Namen, Kontaktdaten, Qualifikationen, Bewerbungsunterlagen);
  • Kundenstammdaten (Namen, Adressen, Kontaktdaten, Zahlungsinformationen, Kundenkategorie, Bonitätsdaten);
  • Nutzungsdaten (zum Beispiel Klickverhalten, Kaufverhalten, Interessen);
  • Meta-/Kommunikationsdaten (Geräte-IDs, IP-Adressen, Standortdaten)

Beispiele von Kategorien Betroffener:

  • Beschäftigtenstammdaten (Namen, Adressen, Lohngruppe, Steuermerkmale);
  • Bewerberdaten (Namen, Kontaktdaten, Qualifikationen, Bewerbungsunterlagen);
  • Kundenstammdaten (Namen, Adressen, Kontaktdaten, Zahlungsinformationen, Kundenkategorie, Bonitätsdaten);
  • Nutzungsdaten (zum Beispiel Klickverhalten, Kaufverhalten, Interessen);
  • Meta-/Kommunikationsdaten (Geräte-IDs, IP-Adressen, Standortdaten)

Diese Beispiele sind nicht abschließend, und es würde den Rahmen sprengen, an dieser Stelle alle möglichen „Bausteine“ oder gar Verarbeitungstätigkeiten darzustellen. Als Beispiel einer Verarbeitungstätigkeit wähle ich einen Newsletter:

Verzeichnis der Verarbeitungstätigkeiten – Verarbeitungstätigkeit
Bezeichnung: Marketing/Newsletter
Datenkategorien 1. Stammdaten der Empfänger (Vorname, Name, E-Mail-Adresse).

2. Anmeldedaten (Zeitpunkt Anmeldung, Bestätigung, IP-Adresse).

3. Nutzungsdaten (Öffnungsraten, Klicks auf Links, je nebst Zeitpunkt).

Betroffene Personen: 1. Newsletterempfänger.

2. Newsletterempfänger.

3. Newsletterempfänger.

Zwecke 1. Adressierung und Ansprache.

2. Nachweis wirksamer Einwilligungen.

3. Optimierung der Nutzerfreundlichkeit, interessantere Inhalte, Steigerung wirtschaftlicher Effizienz.

Rechtsgrundlage 1. Art. 6 Abs. 1 lit. a, § 7 Abs. 2 Nr. 3 UWG (Einwilligung).

2. Art. 6 Abs. 1 lit. f (berechtigte Interessen).

3. Art. 6 Abs. 1 lit. f (berechtigte Interessen).

Datenquelle: Anmeldeformular auf Website, ausdrückliche Einwilligung, DOI-Verfahren.
Information der Betroffenen: Hinweis auf Inhalte, Datenschutzerklärung, Analyse, Versanddienstleister und Widerruf beim Anmeldeformular; Details in der Datenschutzerklärung.
Empfänger: 1. Intern: IT, Marketing, Extern: MailChimp (Privacy Shield, DPA).

2. Intern: IT, Marketing, Extern: MailChimp (Privacy Shield, DPA).

3. Intern: IT, Marketing, Extern: MailChimp (Privacy Shield, DPA).

Löschung: 1. Mit Kündigung, Aufbewahrung 6 Jahre § 257 Abs. 1 HGB.

2. Mit Kündigung, Aufbewahrung 6 Jahre § 257 Abs. 1 HGB.

3. Mit Kündigung, Aufbewahrung 6 Jahre § 257 Abs. 1 HGB.

Schutzmaßnahmen Es wird auf die TOMs verwiesen.

Ich denke schon anhand dieses Beispiels wird es klar, wie viele Verarbeitungstätigkeiten nebst Angaben zusammenkommen können. Als Tipp empfehle ich, lieber zu viele als zu wenige Angaben zu machen und sie mit eigenen Worten auszudrücken.

Schritt 4 – Technische und organisatorische Maßnahmen

Art. 32 DSGVO verpflichtet, für die Sicherheit der Datenverarbeitung nach dem aktuellen Stand der Technik zu sorgen.

Hier musst du darstellen, welche technischen und organisatorischen Maßnahmen (kurz „TOMs“) ergriffen worden sind, um die verarbeiteten personenbezogenen Daten vor Kenntnisnahme durch Unbefugte, Zerstörung oder Missbrauch zu schützen.

Auch an dieser Stelle gibt es umfangreiche Orientierungshilfen, auf die man zurückgreifen kann. Ich empfehle, die TOMs einmal zusammenfassend darzustellen und auf diese im Rahmen der folgenden Verarbeitungstätigkeiten zu verweisen. Spezielle TOMs einzelner Verarbeitungstätigkeiten lassen sich bei diesen aufnehmen.

Verzeichnis der Verarbeitungstätigkeiten – Allgemeine technische und organisatorische Maßnahmen (TOMs)
Zutrittskontrolle (Sicherheitsschlösser, Videoüberwachung, Beaufsichtigung von Hilfskräften)

Tbc.

Zugangskontrolle (Firewalls, Virenschutz, Authentifizierungskonzepte)
Zugriffskontrolle (Sichere Aufbewahrung, Vernichtung, Verschlüsselung)
Weitergabekontrolle (Festlegung Empfänger, Pseudonymisierung, Verschlüsselung)
Eingabekontrolle (Protokollierung)
Auftragskontrolle (Weisungen, Vertragliche Verpflichtungen)
Verfügbarkeitskontrolle (Notfallkonzept, Backup-System)
Gewährleistung des Zweckbindungs-/Trennungsgebotes (zum Beispiel physische Datentrennung, Berechtigungskonzepte)

Auch hier gilt: Orientiere dich an den Gegebenheiten in deinem Unternehmen und verpflichte die zuständigen Mitarbeiter/Abteilungen, die Sicherheitsmaßnahmen aufzulisten.

Damit wäre das eigentliche Verzeichnis der Verarbeitungstätigkeiten fertig. Allerdings muss es gegebenenfalls noch um eine Datenschutz-Folgenabschätzung ergänzt werden. Diese erkläre ich auf der nächsten Seite.

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

3 Kommentare
Werner
Werner

Das was dann dabei letztendlich herauskommt:
Kleine Firmen werden Ihre Online-Auftritte technisch und rechtlich in Ausland verlagern. Europa sei Dank sollte das kein großes Problem sein. Ich freue mich schau auf eine neue Geschäftsidee.

Antworten
Tim
Tim

Auslagern wird leider nichts, da diese Regelung auch bei Geschäften mit der EU gilt. Höchsten in die USA könnte man dann gehen. Ich fürchte eher, dass einige kleinere und mittelständische Unternehmen künftig komplett dicht machen können…

Antworten
ich
ich

Beispiele von Kategorien Betroffener
sowie
Beispiele von Datenkategorien

ist identisch!

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung