Verarbeitungsverzeichnis

Was ist zu tun?


27. Februar 2018, von in IT-Support

Verfahrensverzeichnis und Verarbeitungsübersicht – die gehören bald der Vergangenheit an. Mit der EU-Datenschutz-Grundverordnung (DSGVO) gibt es ab Ende Mai nur noch ein Verzeichnis von Verarbeitungstätigkeiten. Kurz: das Verarbeitungsverzeichnis. Ob Ihr Betrieb eins führen muss und wenn ja, wie, das erklären wir Ihnen hier.

verarbeitungsverzeichnis, verfahrensverzeichnis, dsgvo, gdpr

Für Ihr Verarbeitungsverzeichnis nach DSGVO müssen Sie die Datenflüsse in Ihrem Unternehmen erfassen und analysieren. Foto: pixabay/ Free Photos

Wann ist ein Verarbeitungsverzeichnis notwendig?

Wann muss ein Verarbeitungsverzeichnis erstellt werden? Laut Gesetzestext müssen Unternehmen mit weniger als 250 Mitarbeitern grundsätzlich KEIN Verarbeitungsverzeichnis führen (vgl. Art. 30 Abs. 5 DSGVO). ABER: Wenn Ihr Unternehmen oder Ihr Auftragsverarbeiter personenbezogene Daten verarbeitet – und das nicht mehr nur gelegentlich – oder auch nur einer der folgenden zwei Punkte zutrifft:

  • Die Daten zählen zu besonders sensiblen Kategorien, wie Gesundheitsdaten oder strafrechtliche Verurteilungen (vgl. Art. 9 Abs. 1 DSGVO und Art. 10 DSGVO)
  • Es besteht ein Risiko für die Rechte und Freiheiten betroffener Personen (z. B. bei Bewertung und Profilerstellung)

…, dann müssen Sie ein Verarbeitungsverzeichnis erstellen und führen. Das ist bereits der Fall, wenn Sie eine Lieferanten- oder Kundendatenbank haben oder Ihre Mitarbeiterdaten verwalten.

Verarbeitungsverzeichnis – muss ich jetzt oder muss ich nicht?

Der in der DSGVO benutzte Begriff „gelegentlich“ wird im Gesetz selbst nicht weiter ausgeführt. Allerdings legt dieser Begriff nahe, dass künftig auch von kleinen Unternehmen wie Handwerksbetrieben oder Arztpraxen ein Verarbeitungsverzeichnis gefordert wird. Nach BDSG (alt) waren diese Betriebe häufig von der Meldepflicht befreit und mussten meist auch keinen Datenschutzbeauftragten bestellen (vgl. § 4d Abs. 3 BDSG alt). Diesem neuen Umstand geschuldet, gehen Juristen davon aus, dass die Befreiung von der Dokumentationspflicht in der Praxis nur sehr selten greifen wird.

Ob Ihre Verarbeitungsprozesse eine Datenschutz-Folgenabschätzung erforderlich machen?
Das lesen Sie im Blogbeitrag DSFA – Wann sind Firmen dazu verpflichtet?

Schritt für Schritt zum Verarbeitungsverzeichnis

Das Verarbeitungsverzeichnis nach DSGVO wird in den meisten Unternehmen keine einschneidenden Veränderungen verursachen. Dennoch sollten Sie nun folgende sechs Schritte vornehmen:

  1. Prüfen Sie Ihre Verträge zur Auftragsdatenverarbeitung (ADV-Vertrag), ob sie DSGVO-konform sind.
    → Wenn Sie mit einem Auftragsdatenverarbeiter zusammenarbeiten, sollten Sie wissen, dass auch er dazu verpflichtet ist.
  2. Listen Sie alle eingesetzten Anwendungen auf, in denen personenbezogene Daten gespeichert werden.
    → Das hilft Ihnen, die Datenflüsse in Ihrem Unternehmen zu ermitteln und dient als Basis für ein Verarbeitungsverzeichnis.
  3. Prüfen Sie die Zuverlässigkeit und Vollständigkeit Ihrer bestehenden Dokumentationssysteme und ergreifen Sie Sicherheitsmaßnahmen – technische und organisatorische.
    → Auch kleinere Unternehmen müssen künftig eine Dokumentation nachweisen – auch wenn sie bis dato kein Verfahrensverzeichnis führen mussten. Schon allein die angedrohte Ahndung bei Datenschutzverstößen sollte Sie dazu veranlassen, das Heft des Handelns in die Hand zu nehmen.
  4. Prüfen Sie gegebenenfalls die Datenübermittlung in Drittländer.
    → Wenn Sie Daten in Drittländer übermitteln (alles außerhalb der EU, z.B. US-Cloud), dann sollten Sie diese Datenübermittlung genau prüfen und dafür sorgen, dass Sie den Aufsichtsbehörden entsprechende Datenschutz-Garantien vorlegen können.
  5. Splitten Sie Ihr Verarbeitungsverzeichnis in Einzelverzeichnisse auf, die jedes Verfahren einzeln abbilden.
    → Bei der Datenverarbeitung in Ihrem Unternehmen kommen sicherlich unterschiedliche Verfahren zum Einsatz (z.B. Zeiterfassungssystem, CRM-System), die nicht die gleichen Voraussetzungen haben oder Anforderungen stellen, um die DSGVO einzuhalten.
  6. Sensibilisieren Sie Ihre Mitarbeiter für Datenschutz.
    → Datenschutz einzuhalten – das ist in Unternehmen nicht nur die Angelegenheit eines Einzelnen. Teilen Sie daher Ihren Mitarbeitern transparent mit, dass auch sie für die Einhaltung der DSGVO von essentieller Bedeutung sind und motivieren Sie sie, diese Verantwortung dafür vertrauensvoll mitzutragen.

Sie können Ihr Verarbeitungsverzeichnis selbst erstellen. Es gibt verschiedene Tools, die Sie bei der geforderten Dokumentation unterstützen. Sie können die Umsetzung aber auch in die Hände eines Dienstleisters legen. Das IT-SERVICE.NETWORK unterstützt Sie gern bei der Suche.

Wie sieht ein Verarbeitungsverzeichnis aus?

Das Verarbeitungsverzeichnis wird künftig eine wesentliche Rolle spielen, damit Sie datenschutzrechtliche Vorgaben überhaupt einhalten können. Nur wenn Sie Ihre eigenen Verarbeitungsprozesse kennen, können Sie gezielt Maßnahmen ergreifen, um eine rechtmäßige Verarbeitung personenbezogener Daten sicherzustellen.

Dabei sollten Sie Ihr Augenmerk besonders auf die sogenannten TOMs legen, die technischen und organisatorischen Maßnahmen. Sie müssen im neuen Verarbeitungsverzeichnis aufgenommen werden – wie detailliert das passieren muss, ist allerdings eine Frage, mit der sich aller Voraussicht nach künftig Gerichte befassen werden. Im Artikel 30 der DSGVO ist lediglich die Rede davon, dass eine allgemeine Beschreibung dieser Maßnahmen möglich ist (vgl. Art. 30 Abs. 1g und Abs. 2d DSGVO). Das Ganze enthält einen weiteren Verweis auf den Artikel 32 DSGVO (Sicherheit der Verarbeitung).

Sie fragen sich, welche Form und welchen Inhalt Ihr Verarbeitungsverzeichnis haben muss?
Dann lesen Sie den Blogbeitrag Verfahrensverzeichnis – Datenverarbeitung nach DSGVO

Beispiel für Verarbeitungsverzeichnis

Als Beispiel für ein Verarbeitungsverzeichnis nach DSGVO stehen Ihnen verschiedene Muster zur Verfügung. Auch eine Arbeitsgruppe der deutschen Aufsichtsbehörden hat bereits eine Vorlage für ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO  erarbeitet. Ein Beispiel für Verfahrensverzeichnisse geben Ihnen die folgenden Leitfäden, Vorlagen und Muster als Anleitung und Ausfüllhilfen.

Warum Verarbeitungsverzeichnis?

Bei Inhalt und Umfang Ihres Verarbeitungsverzeichnises gibt die DSGVO nur Mindestanforderungen vor. Diese können variieren – je nach Art und Größe Ihres Unternehmens. Wenn es allerdings um die Frage nach dem „Warum überhaupt Verarbeitungsverzeichnis“ geht, ist es immer leicht zu sagen, „weil das nun einmal die Vorschriften sind“.

Unser Tipp: Machen Sie aus der Pflicht eine Kür. Sie können die vorgeschriebene Dokumentationspflicht nämlich auch für Ihr Unternehmen gewinnbringend nutzen, zum Beispiel für die Kundenbindung. Laut einer Umfrage des britischen Marktforschungsinstituts Vanson Bourne im Auftrag der niederländischen Aktiengesellschaft Gemalto wird mangelnde Datensicherheit von Kunden schnell abgestraft. Danach würden die meisten Kunden (70 Prozent) nach einem Datenschutzvorfall keine weiteren Geschäfte mit dem verantwortlichen Unternehmen machen.

Verarbeitungsverzeichnis als Chance begreifen

Sie können Ihr Verarbeitungsverfahren als Chance begreifen:

  • Für Ihre eigene Informationssicherheit
  • Für Ihre Unternehmenssicherheit
  • Zur vertrauensvollen Vermarktung Ihrer Produkte oder Dienstleistungen

Daher schlägt Christian Volkmer, Autor bei  Projekt 29 und Sachverständiger für Datenschutz und Informationssicherheit, vor, Ihr Verarbeitungsverzeichnis über die geforderte Dokumentationspflicht hinaus sinnvoll zu nutzen – auch um künftig Ihre Nerven zu schonen, beispielsweise, um

Unterstützung vom Fachmann

Sie sind sich unsicher, ob Ihr Verarbeitungsverzeichnis DSGVO-konform ist oder brauchen Unterstützung bei der optimalen Erstellung? Dann wenden Sie sich vertrauensvoll an einen Dienstleister des Kompetenzverbunds IT-SERVICE.NETWORK.


Lesen noch weitere interessante Tipps und Informationen zur DSGVO – natürlich hier bei uns im Blog.


Website-Betreiber: Die Datenschutz-Grundverordnung kommt! - melon|media Blog

SE, 18. April 2018 um 9:16

Rechtschreibfehler-Hinweis: letzte Überschrift – Unersützung

Antworten

    IT-SERVICE.NETWORK, 18. April 2018 um 9:44

    Hallo SE,

    danke für den Hinweis, wir haben den Fehler korrigiert.

    Herzliche Grüße,
    Ihr IT-SERVICE.NETWORK

    Antworten

Werner Gayer, 4. Mai 2018 um 21:05

Hallo,
ja die DSGVO.
Ich habe eine Frage zum Verarbeitungsverzeichnis. Ich habe vier kleine „Nischenwebseiten“, die ich als Partner von Amazon betreibe…. Ich habe nur Affiliate Links. Auf der Seite nutze ich außer Wordfence, noch Updraft als Plugins. Selbst Google Analytics nutze ich nicht mehr. Auf einer Webseite wie z.B. überlebenspaket-kaufen.com wird kein Kontaktformular, noch ein Newsletter angeboten.
Inwiefern macht bei diesem stark abgespecken Internetangebot ein Verarbeitungsverzeichnis Sinn, wenn gar keine Daten der Besucher gesammelt werden bzw. wie kann in einem solchen Fall beispielhaft das Vearbeitungsverzeichnis aussehen und mass muss ich bei Nachfrage dokumentieren?
Über eine Antwort würde ich mich freuen?

Antworten

    IT-SERVICE.NETWORK, 8. Mai 2018 um 8:32

    Hallo Herr Gayer,

    selbst wenn Sie auf den ersten Blick keine Besucherdaten sammeln, ist es grundsätzlich dennoch sinnvoll, eine Liste aller genutzten Anwendungen, in denen möglicherweise persönliche Daten gesammelt werden, anzulegen. Diese dient bereits als Basis für ein Verarbeitungsverzeichnis. Beispiele zum Aussehen des Verarbeitungsverzeichnisses gibt es einige im Netz, etwa im im Artikel verlinkten PDF des Bitkom.

    Ob in Ihrem Fall ein komplettes Verarbeitungsverzeichnis nötig ist, können wir aus der Ferne nicht rechtssicher beurteilen. Wir raten daher dazu, sich im Zweifelsfall von einem Datenschutzexperten beraten zu lassen.

    Herzliche Grüße,
    Ihr IT-SERVICE.NETWORK

    Antworten

Hans, 9. Mai 2018 um 14:57

Hallo,

ich als Fotograf „Nebenberuflich, Einzelunternehmer“) muss ja auch eine TOM erstellen und ein Verarbeitungsverzeichnis führen.

Meine Frage dazu:

Muss ich für jeden Kunden ein einzelnes Verzeichnis führen, heißt ich muss darin beschreiben wann ich welche Daten und wie lange für jeden genannten Kunden sammle und aufbewahre? Und wie die technischen Maßnahmen dazu sind?

Hieße dann grob ein 3 seitiges Pdf ausgedruckt und von mir unterschrieben für jeden Kunden dann abheften bzw. dokumentieren worin die Schritte aufgelistet sind?

Man könnte eine vorlage erstellen, und dann die Felder ankreuzen und die Adresse des Kunden dann jeweils neu hinzufügen, so könnte man eine Vorlage für alle Kunden nutzen, da die Datenverarbeitungsvorgänge meißt immer die selben sind.

Vielen Dank

Antworten

    IT-SERVICE.NETWORK, 15. Mai 2018 um 11:52

    Hallo Hans,

    die Frage, ob für jeden Kunden ein einzelnes Verzeichnis geführt werden muss, ist aktuell laut unserer Recherchen noch nicht eindeutig zu beantworten. So scheint hier die Rechtslage noch unklar, sodass man abwarten muss, wie die Behörden und Gerichte mit dem Thema umgehen werden. Grundsätzlich gilt wohl jedoch: Um auf Nummer sicher zu gehen, empfiehlt es sich, für jeden Kunden ein entsprechendes Verzeichnis zu führen und aufzubewahren.

    An dieser Stelle sei jedoch darauf hingewiesen, dass wir als Redakteure des IT-SERVICE.NETWORK keine verbindliche und rechtsgültige Beratung bieten können. Im Einzelfall ist darum dennoch eine professionelle Beratung, etwa durch einen Datenschutzbeauftragten, sinnvoll.

    Herzliche Grüße,
    IHR IT-SERVICE.NETWORK

    Antworten

Gerald, 17. Mai 2018 um 12:21

Hallo,
ich bin ehrenamtlich in mehreren Vereinen tätig. Ich verstehe nicht genau, was ich dokumentieren muss: Muss ich jede Änderung einer Adresse oder Bankverbindung mit diesem Verzeichnis dokumentieren, oder muss ich nur dokumentieren, wo und wie ich solche Änderungen speichere und verarbeite und wer im Verein dafür zuständig ist?
Danke im voraus

Antworten

    IT-SERVICE.NETWORK, 18. Mai 2018 um 12:03

    Hallo Gerald,

    das Verarbeitungsverzeichnis muss folgende Angaben enthalten:

    • Angaben zum Verantwortlichen und dessen Vertreter sowie, soweit vorhanden, dem Datenschutzbeauftragten
    • Bezeichnung der Verarbeitungstätigkeit
    • Zweck der Verarbeitungs
    • Beschreibung der Kategorien betroffener Personen
    • Beschreibung der Datenkategorien
    • Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offen gelegt worden sind oder noch werden
    • Datenübermittlung
    • Fristen für die Löschung der verschiedenen Datenkategorien
    • Technische und organisatorische Maßnahmen (TOM)
    • Im Netz finden Sie zahlreiche Mustervorlagen, etwa beim Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.. Dort ist genau beschrieben, welche Daten Sie dokumentieren müssen. Wichtig ist in jedem Fall die Angabe, an welchen Stellen Daten erfasst und verarbeitet werden und wer für die Verarbeitung zuständig ist.

      Im Zweifelsfall sollten Sie einen Experten zurate ziehen, der Sie beim Aufbau eines Verarbeitungsverzeichnis unterstützt.

      Herzliche Grüße,
      IHR IT-SERVICE.NETWORK

    Antworten

DSGVO für Blogger – Das gibt es zu Beachten – Antary

Berger, 27. Mai 2018 um 20:42

Hallo,
Ich bin Kosmetikerin und bekomme die persönlichen Daten meiner Kundinnen für Terminabsprachen und von einigen für Zusendung von Angebotszetteln.
Muss ich mir von jeder Kundin eine schriftliche Erlaubnis dazu holen???
Was muss da draufstehen? Gibt es irgendwo solche Beispiel-Zettel?

Antworten

    IT-SERVICE.NETWORK, 29. Mai 2018 um 14:46

    Hallo Berger,

    grundsätzlich gilt, dass die Datennutzung nur zulässig ist, wenn diejenigen, deren Daten verarbeitet werden sollen, in die Nutzung der Daten einwilligen oder wenn eine gesetzliche Vorschrift die Datennutzung erlaubt. Das ist zum Beispiel der Fall, wenn die Daten zur Erfüllung eines Vertrags erforderlich sind oder die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist.

    Inwieweit bei Ihnen die gesetzlichen Vorschriften greifen, können wir im Einzelnen aus der Ferne nicht beurteilen und keine verbindliche, rechtsgültige Aussage treffen. Daher empfehlen wir immer noch einmal eine Beratung durch einen Datenschutzexperten, damit Sie auf der sicheren Seite sind.

    Muster für die Einwilligungserklärung finden Sie an verschiedenen Stellen im Internet, etwa beim Zentralverband des Deutschen Handwerks.

    Herzliche Grüße,
    Ihr IT-SERVICE.NETWORK

    Antworten

Sebastian, 13. Juni 2018 um 12:25

Hallo,

ich bin ehrenamtlich in einem Verein tätig.
Reicht es denn auch aus, das Verarbeitungsverzeichnis ins Impressum unserer Website mit aufzunehmen? Bzw. ist das überhaupt sinnvoll?

Antworten

    IT-SERVICE.NETWORK, 13. Juni 2018 um 14:04

    Hallo Sebastian,

    das Verarbeitungsverzeichnis muss laut unserer Recherchen nicht auf der Website öffentlich zugänglich gemacht werden. Daher ist es nicht sinnvoll bzw. nötig, das Verarbeitungsverzeichnis ins Impressum Ihrer Webseite mit aufzunehmen. Es ist allerdings den Aufsichtsbehörden auf Nachfragen vorzulegen.

    Herzliche Grüße,
    Ihr IT-SERVICE.NETWORK

    Antworten

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.