Das DSGVO – Verarbeitungsverzeichnis

404MEDIA. Rechtliches

Ab dem 25. Mai 2018 ist es in Deutschland Pflicht ein Verarbeitungsverzeichnis für Verantwortliche laut DSGVO, im Rahmen der Datenverarbeitung zu führen. Gerade für keine Unternehmen fällt hier der erste Schritt zur korrekten Herangehensweise oft schwer. Nachfolgender Beitrag soll daher einen Überblick schaffen und den Einstieg erleichtern.

1. Welche Personen sind von der Datenverarbeitung betroffen

Hier hilft eine zunächst pauschale Differenzierung der Personen nach „Personen im Unternehmen/Personal“ und „Personen außerhalb des Unternehmens/Kunden, Lieferanten, Dienstleister etc.“.

2. Welche Daten werden zu welchem Zweck erhoben und verarbeitet

Zunächst sollte der Begriff „Datenverarbeitung“ genauer definiert werden. Unter diesem versteht man:
Das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen oder Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten oder Bereitstellen, Abgleichen oder Verknüpfen, Einschränken, Löschen oder Vernichten von Daten.

Allgemein sollten Sie sich bei der Ausarbeitung der Liste die Frage stellen, wozu es nötig ist, die personenbezogenen Daten im Unternehmen zu speichern. Die unter Punkt 1 erstellte Liste gehen Sie hier nun durch und notieren sich hier, zu welchem Zweck die Datenspeicherung erfolgen muss.

Als Beispiel:
Personal z.B. Lohnbuchhaltung
Kunden z.B. zur Rechnungslegung und Vertragserfüllung
Lieferanten z.B. Kontaktdaten zur Wahrung der Geschäftskommunkation

3. Rechtsgrundlage der Datenspeicherung

Stellen Sie sich nun auf Basis der Liste die Frage, ob die zuvor gelisteten Verarbeitungsgründe der personenbezogenen Daten eine Rechtsgrundlage haben. Halten Sie sich dabei vor Augen, dass die Verarbeitung personenbezogener Daten nach Datenschutzgesetz erst einmal grundsätzlich untersagt ist, es sei denn, eine der folgenden Ausnahmen trifft zu:
– Verwendung im lebenswichtigen Interesse der betroffenen Person
– Gesetzliche Ermächtigung oder rechtliche Verpflichtung (z.B. Belegaufbewahrungspflicht, etc.)
– Überwiegend berechtigtes Interesse (z.B. zur Vertragserfüllung, Bestellung, etc.)
– die Daten sind ohnehin öffentlich oder wurden anonymisiert
– die Zustimmung der betroffenen Person liegt (schriftlich) vor

Beachten müssen Sie dabei, dass Sie sich für jede andersartige Verarbeitung der Daten eine neue Zustimmung einholen müssen. Hat der Kunde der Datenverarbeitung im Rahmen einer Online-Bestellung zugestimmt, dürfen Sie ihm dennoch noch keinen Newsletter zusenden. Beachten Sie dabei auch, dass die Zustimmung generell nachweislich, idealerweise schriftlich vorliegen muss.

4. Wie erfolgt die Verarbeitung welcher Datenbestände

Erstellen Sie im nächsten Schritt eine Übersicht an Kategorien für die Datenbestände. Stellen Sie sich dann nachfolgend die Frage, ob und durch wen die Datenverarbeitung in den Kategorien erfolgt.

Beispiele für eine Kategorisierung:
Allgemeine Personenbezogenen Daten
(Name, Geburtsdatum, Geburtsort und Alter, Anschrift, E-Mail, Telefon, Fax)

Kennnummern
Sozialversicherungsnummer, Steuernummer, Krankenversicherungsnummer, Ausweisnummer, Personalausweisnummer

Bankdaten
Kontonummer, Kredit- und Disco-Infos, Kontostände

Online-Daten
IP-Adresse, Standortdaten des Users

Physische Merkmale
Geschlecht, Haut-, Augen- und Haarfarben, Kleidergröße, Gewicht

Besitzmerkmale
Fahrzeug- und Immobilieneigentum, Grundbucheintragungen, Kfz-Kennzeichen, Zulassungsdaten

Kundendaten
Bestellungen, Adressdaten, Kontodaten

Werturteile
Schul- und Arbeitszeugnisse, Bewertungen allgemein

Besonders sensible Daten

Ethnische Herkunft, politische Ansichten, religiöse sowie philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheitsangaben, Daten zur Sexualität, biometrische Daten

5. Über welche Anwendungen erfolgt die Datenerhebung und Verarbeitung

Prüfen Sie, über welchem mitunter nicht immer offensichtlichen Wege die Datenerhebung erfolgt. Loggen Sie die Daten Ihrer Webseite über ausländische ansässige Lösungen (Online-Tracker)? Werden die Daten Ihres Online-Shops beim einen Anbieter gespeichert? Befindet sich dieser außerhalb der EU?
Erfassen Sie allgemein Anwendungen, die mit personenbezogenen Daten in Berührung kommen.

Beispiele:
Google Analytics Tracking, Facebook Pixel Tracking, Online-Shop mit Datenbanklösung beim Anbieter XY

6. Wer hat Zugriff auf die Daten

Notieren Sie in einer Liste, welcher Ihrer Mitarbeiter bz.w welche Personen Zugriff auf die Daten haben. Hierbei genügt es zunächst, den Zugriff auf die Daten innerhalb Ihres Unternehmens zu beleuchten. Die externen Betrachtung erfolgt separat.

7. Aufbewahrungsfristen

Überlegen und notieren Sie, wie lange die jeweiligen Daten aufbewahrt werden dürfen und (nach gesetzlichen Vorgaben) müssen. Notieren Sie dabei kurz den Grund für die Länge der Datenspeicherung. Besonders personenbezogene Daten dürfen nach Gesetz nur „so kurzweilig wie nötig“ aufbewahrt werden. Hierbei gelten gesetzliche Bestimmungen zur Datenspeicherung in Unternehmen (Aufbewahrungsfristen).

Möchten Sie die Daten der Person für andere als gesetzlich notwendige Zwecke speichern, müssen Sie sich die Zustimmung der betroffenen Person vorab einholen.

8. Externer Datenzugriff

Prüfen Sie, welche Personen/Unternehmen außerhalb Ihrer Unternehmens ebenfalls Zugriff auf die Daten erhalten und Listen Sie diese auf (z.B. Steuerberater).

Unternehmen die sich außerhalb der EU befinden müssen Sie gesondert auflisten.

An diesem Punkt empfiehlt es sich, mit dem externen Unternehmen einen Auftragsverarbeiter-Vertrag abzuschließen der den Rahmen der Datenverarbeitung genau vorgibt und schriftlich dokumentiert.

9. Welche technischen Maßnahmen zu Datensicherung bestehen

Überlegen Sie sich ein generellen Sicherheitskonzept für die IT-seitige Datenspeicherung und Verarbeitung.
Welche Maßnahmen nutzen Sie im Unternehmen zur sicheren Datenverarbeitung?
Wie stellen Sie sicher, dass der Datenzugriff nur durch Personen erfolgt, die auf die Daten zugreifen dürfen?
Welche Maßnahmen haben Sie installiert, die garantieren, dass Daten nicht beschädigt werden oder verloren gehen?
Einige Beispiele und Begriffe für diesen Schritt:
Verschlüsselung, Anonymisierung, Pseudonymisierung, Passwort-Safe Software, Vier-Augen-Prinzip, Physischer Zugriffsschutz (Safe), Backup und Backup-Verschlüsselung, Antiviren-Software, HTTPS-Datenübertragung

10. Evaluierung

Halten Sie ein Konzept bereit, dass die zuvor benannten Punkte auch dann noch sicherstellt, wenn Ihr Unternehmen wächst. Oder kurz: Wie können Sie sicherstellen, dass das Datenschutzniveau mit den Anforderungen mitwächst?

Die zuvor aufgeführten Punkte stellen keine rechtssichere Auskunft dar, sollen den Schritt hin zur Erstellung eines gestzeskonformen  DSGVO – Verarbeitungsverzeichnis aber erleichtern.

Bei Fragen stehen wir unseren Kunden jederzeit zur Verfügung. Kontaktieren Sie uns.

 

Rechtlicher Hinweis:
Dieser Artikel stellt jeine Rechtsberatung dar. Unsere Agentur sieht sich als Berater, wir sind aber weder Juristen noch Datenschutzexperten. Obwohl wir mit aller angemessenen Sorgfalt auf die Richtigkeit der veröffentlichten Informationen achten, kann hinsichtlich der inhaltlichen Richtigkeit, Genauigkeit, Aktualität, Zuverlässigkeit und Vollständigkeit dieser Informationen sowie für allfällige Rechtsfolgen, die sich aus der Umsetzung dieser Informationen ergeben, keinerlei Gewähr übernommen werden.

 

Quellen und Weiterführendes:

WKO Muster Verarbeitungsverzeichnis für Verantwortliche
Präsentationsunterlagen WKO Steiermark 28.11.2017, Dr. Rainer Knyrim
SGVO – Verarbeitungsverzeichnis How-To

Über den Author

Stefan Pingel: Ist Gründer & Geschäftsführer der Agentur 404MEDIA. Er studierte Medieninformatik sowie Web Applications Development und betreut seit über 15 Jahren Unternehmen jeder Branche und Größe im Hinblick auf die Entwicklung webgestützter Anwendungssoftware, SEO, E-Commerce sowie Marketing.