So machst du das Verzeichnis der Verarbeitungstätigkeiten für Datenverantwortliche. DSGVO Konform.

So machst du das Verzeichnis der Verarbeitungstätigkeiten für Datenverantwortliche. DSGVO Konform.

Dieser Beitrag ist eine Basis für die Erstellung eines Vereichnisses der Verarbeitungstätigkeiten für Datenverantwortliche, im Rahmen der DSGVO. (Wenn du auch als Auftragsverarbeitender tätig bist, musst du zusätzlich ein Verzeichniss für Auftragsverarbeitende erstellen.)

Weitere, erklärende Informationen dazu, gibt es auch in diesem Video 🙂

Unten im Beitrag findest du auch die 2 super Vorlagen:

Verzeichnis der Datenverarbeitung - Vorlage mit Beispielen.

Detaillierte Angaben der Datenverarbeitung - Tabelle mit Beispielen.

Aber vorher beantworten wir noch die 4 wichtigsten Fragen:

1. Was musst du (als Datenverantwortlicher) verzeichnen?

Das Verzeichnis muss alle Verarbeitungstätigkeiten, für die du als Datenverantwortlicher zuständig bist, enthalten. Dazu gehören:

  • Deine Name und deine Kontaktdaten (Email-Adresse, Telefonnummer...)
  • Der Zweck der Datenverarbeitung
  • Die Rechtsgrundlage für die Datenverarbeitung (es ist zwar nicht zwingend notwendig, aber es wird empfohlen)
  • Betroffene Personen-Gruppen (Kunden, Mitarbeiter, Lieferanten, Geschäftspartner...)
  • Die Art der personenbezogener Daten (Namen, Email-Adressen, Kreditkarten-Nummern...)
  • Die Empfänger, denen die personenbezogene Daten offengelegt werden (Bank, Finanzamt, Sozialversicherung, Steuerberater...)
  • Drittländer oder internationale Organisationen, an die die personenbezogenen Daten übermittelt werden ( Google Analytics, Newsletter Anbieter, fall sie einen Sitz außerhalb der EU haben...)
  • Geplante Fristen für die Löschung der verschiedenen Datenkategorien (falls möglich)
  • Beschreibung der Datensicherheitsmaßnahmen (Pseudonymisierung, Verschlüsselung, Back-Ups...)

2. Warum musst du die Datenverarbeitungstätigkeiten verzeichnen?

Auf Anfrage ist jeder Datenverantwortlicher (und Auftragsverabeitender auch) dazu verpflichtet das Datenverarbeitungsverzeichnis der Behörde zu zeigen. Die Behörde kann dann, anhand dieser Verzeichnisse, die Vearbeitungsvorgänge kontrollieren.

Und es ist einfach immer besser zeigen zu können, dass man sich mit diesem Thema auseinandergesetzt hat und sehr wohl weiss, welche Daten,  warum und wofür im eigenem Unternehmen benutzt werden. 🙂

3. Wie kannst du die Datenverarbeitungstätigkeiten verzeichnen?

Das Verzeichnis der Datenverarbeitungstätigkeiten soll in schriftlicher Form gemacht werden. Eine elektronische schriftliche Form ist natürlich möglich. 🙂

Dein Datenverarbeitungsverzeichnis machst du am besten in folgender Form:

Blatt 1 - Das Stammdatenblatt.

Das Stammdatenblatt sollte folgendes beinhalten:

  • Name und Anschrift
  • Kontaktdaten: Email-Adresse, Telefon-Nummer…
  • Name und Kontaktdaten des Datenschutzbeauftragten –
    • erforderlich nur bei: regelmäßiger und systematischer Überwachung (Banken, Versicherungen, Berufsdetektive…) oder bei Verarbeitung sensibler Daten oder Daten über strafrechtliche Verurteilung (Krankenanstalt…)
  • Name und Kontaktdaten des Vertreters
    • nur falls einer vorhanden

Blatt 2 - Alle Datenverarbeitungen und Datenverabeitungszwecke.

Hier werden zwei Themen behandelt:

1. Zwecke und Beschreibung der Datenverarbeitung.

Dieser Punkt sollte erstmall allgemein gehalten werden. Die Aufgabe ist es, die Bereiche deines Unternehmens, in denen Datenverarbeitung stattfindet, zu definieren und aufzulisten. Das können Bereiche sein, wie zum Beispiel:

  • Web-Analyse
  • Online-Marketing
  • Online-Shop

aber auch:

  • Rechnungswesen und Geschäftsabwicklung
  • Personalverwaltung
  • ...

2. Wurde eine Datenschutz-Folgenabschätzung durchgeführt?

  • Wenn nein, warum?

Wenn die Datenverarbeitung kein hohes Risiko für die Rechte und Freiheiten der Betroffenen mit sich bringt, ist eine Datenschutz-Folgeschätzung nicht erforderlich.

  • Wenn ja, wann?

Wenn aber bei der Datenverarbeitung voraussichtlich hohes Risiko für die Rechte und Freiheiten der Betroffenen entsteht, ist eine Datenschutz-Folgeschätzung erforderlich. Das können zB. Sachen sein wie: Die Aufnahme eines Fingerabdrucks und der Gesichtserkennung für eine Zutrittskontrolle...

Blatt 3 - Detailierte Angaben zu den Datenverarbeitungszwecken.

In diesem Teil werden die einzelnen Bereiche der Datenverarbeitung (aufgelistest im Blatt 2) detailierter behandelt. Für jeden einzelnen Bereich solltest du folgende Informationen auflisten:

1. Betroffene Personen- Gruppen und dessen kurze Beschreibung.

Zum Beispiel, im Bereich Online-Marketing, sind die betroffenen Personen Gruppen:

  • deine Kunden.

Zu deinen Kunden zählen in dem Fall deine Website-Besucher, deine Blog-Leser, deine Shop-Besucher usw...

2. Rechtsgrundlage zur Datenverabeitung.

Als rechtsgrundlage kann u.a. folgendes dienen:

  • Einwilligung
  • Vertragerfüllung
  • Berechtigtes Interesse (aber Achtung - hier dürfen die schutzwürdigen Interessen der Nutzer – zB. die Privatsphäre - nicht deine berechtigten Interessen überwiegen)

3. Verträge, Zustimmungserklärungen oder sonstige Unterlagen.

Dazu gehören zum Beispiel Auftragsdatenverarbeitungsverträge, die du mit Dritten (wie Google Analytcis) abgeschlossen hast.

Hier solltest du auch erwähnen, wo diese Unterlagen abgelegt werden. Es ist zwar nicht zwingend notwendig, aber vor allem in größeren Strukturen, sinnvoll.

4. Art der verarbeiteten Daten und Löschungs – bzw. Aufbewahrungsfristen

Klingt kompliziert, ist es aber zum Glück nicht 🙂 Damit ist die Art, der von dir verarbeitenden personenbezogenen Daten, der jeweiligen Personen-Gruppen, gemeint.

Zum Beispiel, im Bereich Online-Marketing, verarebitest du Daten deiner Kunden (Personen-Gruppe). Zu diesen Daten gehören besipielsweise:

  • Name
  • Email-Adresse
  • IP-Adresse

Diese Daten musst du hier angeben. Und zusätzlich solltest du Informationen darüber geben:

  • Ob diese Daten sensible oder strafrechthlich relevante Daten sind (besondere Datenkategorien: iSd Art 9 DSGVO, iSd Art 10 DSGVO).
  • Ob du diese Daten an Dritte übermittelst und wenn ja, an an welche? (zB. an Google Analytics)
  • wenn möglich, wie die Löschungs- und Aufbewahrungsfristen dieser Daten sind.

5. Empfängern, an die personenbezogene Daten offengelegt oder übermittelt werden.

Wer sind die Empfänger? Wenn sie einen Sitz im Drittland haben, im welchen?

Blatt 4 - Allgemeine Beschreibung der organisatorisch-technischer Maßnahmen.

Hier geht es um alle Maßnahmen, die du und dein Unternehmen vornehmen, um den Schutz und die Sicherheit der Daten zu gewehrleisten. Dazu gehören folgende Bereiche:

1. Vertraulichkeit:

Was machst du, um eine (unbeabsichtigte) Offenlegung oder einen unbefugten Zugang zu den personenbezogenen Daten zu verhindern? Das können Maßnahmen sein wie:

  • Kennwörter nutzen,
  • eine Zwei-Faktor-Authentifizierung nutzen,
  • Verschlüsselung von Datenträgern einbauen,
  • ...

2. Integrität:

Was machst du, um eine (unbeabsichtigte) Vernichtung, Schädigung, Veränderung oder Verlust der personenbezogenen Daten zu verhindern? Das können Maßnahmen sein wie:

  • Verschlüsselung von Daten

3. Verfügbarkeit und Belastbarkeit:

Wie schützt du dich vor einem eventuellem Verlust der personenbezogener Daten? Das können Maßnahmen sein wie:

  • Back-Up Systeme nutzen
  • Viren-Schutz einbauen
  • eine Firewall einrichten
  • ...
     

4. Pseudonymisierung und Verschlüsselung:

Wie sorgst du dafür, dass möglichst viele Daten pseudonymisiert und verschlüsselt werden? Das können Maßnahmen sein wie:

  • Pseudonymisierung der IP-Adresse
  • ...
     

5. Evaluierungsmaßnahmen:

Was machst du, um die personenbezgene Daten immer so gut, wie du kannst zu schützen? Das können Maßnahmen sein wie:

  • Regelmäßige Bildung von dir, als Unternehmensinhaber/in, in Bereichen des Datenschutzes
  • Regelmäßige Asbildung der Mitarbeiter in Bereichen des Datenschutzes
  • Risskoanalyse
  • Datenfolge-Abschätzung

 

4. Wie fängst du mit der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten an?

Am besten machst du folgendes:

  • hole dir diese zwei Unterlagen und fülle sie mit deinen Daten, Schritt für Schritt, aus:
  • Schaue dir, für ein besseres Verständis, dieses Video an.
  • Melde dich bei uns mit deinen Fragen! Wir helfen gerne, überall, wo wir können 🙂

 

Wir werden weitere detaillierte Informationen, zu dem Thema von DSGVO und allem was du umsetzten solltest, bringen. Trete am besten der KraftFabrik Community bei und sei immer am Zahn der Zeit 🙂

Alles Liebe und viel Erfolg!

Alex & Natalia


P.S. Dieser Beitrag ergänzt keine Rechtsberatung. Unsere Informationen haben wir hauptsächlich von der WKO Seite bezogen , um dich mit dem Thema der DSGVO und der Dokumentationspflicht bekannt zu machen. Ansonsten lesen wir die Gesetztestexte, recherchieren und stellen mit bestem Wissen und Gewissen die Informationen, so verständlich wie möglich, für dich zusammen.

 

 

 

About the Author Natalia Dziadus-Hammerschmied

Am liebsten schmiede ich neue Pläne: eines Office-Buildings, einer Marketingstrategie, eines Websitekonzepts... Dabei lerne ich ständig Neues und diese Herausforderungen machen mich lebendig! In der Zwischenzeit schreibe ich darüber, wie sich mein Leben dadurch verändert und wie mich das glücklich macht :)

follow me on:
>