DSGVO – Verschaffe Dir einen Überblick & erstelle ein Verarbeitungsverzeichnis
Wenn Du gerade schon unruhig bist, weil so viel Text folgt: Du kannst Dich auch einfach direkt per eMail an mich wenden.
***
Hinweis: Dieser Artikel stellt keine Rechtsberatung dar! Ich nehme gern sachdienliche Hinweise, um den Artikel auch für das in Deutschland geltende Recht zu optimieren, sollte es durch Eröffnungsklauseln der DSGVO abweichen.
Achtung: geballte Info! Hier geht es darum, konkret an Deinem Setup zu arbeiten und herauszufinden, wo überall personenbezogene Daten anfallen und daraus dann das gesetzlich verlangte, sogenannte „Verarbeitungsverzeichnis“ zu erstellen. Wenn Du noch null Plan hast, was die DSGVO überhaupt ist, schau lieber erst einmal in den groben Überblick im Artikel “DSGVO – an sich ganz easy”!
***
Überall im Netz liest man momentan von den extrem hohen Strafen für Datenschutzverstöße, die ab dem 25. Mai drohen. Die „Angebote“ von Juristen und Datenschutzbeauftragten, die um teils deutlich mehr als € 500,- eine Datenschutzerklärung für Kleinunternehmer anpreisen haben auch nicht lange auf sich warten lassen. Falls Du Dich schon von der allgemeinen Panik hast anstecken lassen, atme tief durch. In den meisten Fällen ist es gar nicht so schlimm, wie man vermuten würde. Bevor Du für viel Geld Dein Gewissen erleichterst, schau erst einmal, ob das überhaupt notwendig ist. Spoiler: Ein Anwalt oder Datenschutzbeauftragter kann zwar die Dokumente für Dich abnicken, aber was Du alles an Software laufen hast, kann er oder sie nicht wissen. Und die Verantwortung trägst Du am Ende auch selber. Du musst also in jedem Fall selbst tätig werden.
Wenn Du ein Unternehmen hast, einen Blog oder Podcast, wirst Du ziemlich sicher mit personenbezogenen Daten anderer Menschen in Berührung kommen. Allerdings ist es, wie gesagt, in den meisten Fällen weniger dramatisch, als gedacht.
Verschaffe Dir also erst einmal einen Überblick, mit welchen Daten Du es überhaupt zu tun hast und welche Software Du benutzt, die mit diesen Daten in Berührung kommt, oder wo sie offline bei Dir verfügbar sind.
Am besten legst Du Dir ein Blatt Papier bereit, auf dem Du alles notierst, was Du beim Kundenprojekt, dem Veröffentlichen einer Podcastepisode, etc. tust und welche personenbezogenen Daten dort ggf. anfallen und zu welchem Zweck Du sie brauchst. Zwecke können schnöde betriebliche sein, wie beispielsweise Buchhaltung, oder weil Du vielleicht Deinen Kunden einmal im Monat einen Newsletter zusenden möchtest.
Was personenbezogene Daten im Detail sind, findest Du im Artikel „Was sind personenbezogene Daten“. Was voraussichtlich am ehesten auftauchen könnte:
Diese Liste ist keinesfalls vollständig! Bitte schau in den Artikel „Was sind personenbezogene Daten“, wenn Du Dir nicht sicher bist, was noch alles unter personenbezogene Daten zu zählen ist.
Das Blatt Papier ist Dein Arbeitspapier und es ist völlig normal, dass Dir später noch Sachen einfallen oder dass im Laufe der Zeit etwas hinzukommt oder wegfällt.
Ein paar Tipps, wo personenbezogene Daten üblicherweise anfallen:
Es kann sein, dass Du Deinen ersten Entwurf in einer halben Stunde erledigt hast, es kann aber auch einige Stunden oder ein paar Tage dauern. Alles ist ok, Hauptsache ist, Du hast am Ende einen guten Überblick! Denn den kann Dir niemand abnehmen, auch nicht für viel Geld. Du musst selbst wissen, welche Software Du benutzt und welche Daten bei Dir ankommen, erzeugt werden oder von Dir weitergegeben / hochgeladen werden.
Ein/e Datenschutzbeauftragte/r oder Anwältin kann Dich dabei unterstützen, die richtigen Dokumente zu haben. Du musst selbst wissen, was darin stehen muss. Hier geht es darum, Dein Verfahrensverzeichnis aufzubauen. Der Anwalt kennt Dein Business nicht und wird nicht jede Software kennen, die Du benutzt. Das ist ok, das ist auch nicht sein Job, sondern Deiner.
Wenn Du Dein Arbeitspapier zusammen hast, kannst Du jetzt ein Verarbeitungsverzeichnis daraus machen. „Verarbeitung“ bezieht sich dabei darauf, was Du mit den personenbezogenen Daten anderer natürlicher Personen machst. Und wir gehen jetzt im ersten Anlauf davon aus, dass Du der/die Verantwortliche bis, dass es sich also um Dein Business, Deinen Blog oder Podcast handelt.
Es gibt eine Vorlage der österreichischen Wirtschaftskammer, die grundsätzlich nicht schlecht ist, die ich persönlich allerdings erschlagend finde. Aber vielleicht hilft sie Dir ja, wenn Du sie dir ansehen magst. Ich finde, das geht auch etwas einfacher, wobei die Tabelle in der Vorlage grundsätzlich eine gute Idee ist. Daher habe ich – ausgehend von der WKO Vorlage – eine eigene Vorlage für Dich erstellt. Hinweis: Ich bin keine Juristin. Die Vorlage habe ich nach bestem Wissen und Gewissen erstellt, die Verwendung erfolgt auf eigene Verantwortung.
-> Vorlage Verarbeitungsverzeichnis für Verantwortliche
Vorlage Verarbeitungsverzeichnis (.doc)
Vorlage Verarbeitungsverzeichnis (.pages)
Beispiele:
Datenverarbeitung = eMail
Zweck = Geschäftskommunikation
Rechtsgrundlage = Einwilligung der betroffenen Person
Daten, die anfallen = Name, eMailadresse und was inhaltlich geschickt wird (z.B. Footer Informationen wie Firmensitz, etc. Deiner Kontakte)
Gibt es schon einen Auftragsverarbeitungsvertrag mit dem Mailprovider (Google, GMX, Dein eigener Hoster, etc.)? ja/nein
Datenverarbeitung = Kalender / Zeitaufzeichnung
Zweck = Geschäftsabwicklung, Dokumentation
Rechtsgrundlage = Einwilligung der betroffenen Person
Daten, die anfallen = Namen, Adressen, Telefonnummern
Gibt es schon einen Auftragsverarbeitungsvertrag mit dem Kalenderprovider (Google, Apple, …)? ja/nein
Datenverarbeitung = Messenger (z.B. Signal, WhatsApp)
Zweck = Geschäftskommunikation
Rechtsgrundlage = Einwilligung der betroffenen Person
Daten, die anfallen = Telefonnummer, Name der betroffenen Person, ggf. Dokumente, die über den Messenger geschickt werden
Daten, die an den Dienst weitergegeben werden = HIER GUT INFORMIEREN, WAS AUCH BEIM HERSTELLER WEITERGEGEBEN WIRD! z.B. Name, Telefonnummer, Dein ganzes Adressbuch, …
Gibt es schon einen Auftragsverarbeitungsvertrag mit dem Messenger Provider (WhatsApp, Signal, Telegram, etc.)? ja/nein
Datenverarbeitung = Fileshare Dienst (z.B. WeTransfer)
Zweck = Filetransfer von/an Geschäftspartner & Kunden
Rechtsgrundlage = Einwilligung der betroffenen Person
Daten, die anfallen = eMailadressen der Kontakte, was auch immer man in das Nachrichtenfeld noch einträgt (Passwörter??? (Tu’s nicht.))
Gibt es schon einen Auftragsverarbeitungsvertrag mit dem Fileshare Anbieter? ja/nein
Datenverarbeitung = Facebook Fanseite
Zweck = Contentmarketing
Rechtsgrundlage = Einwilligung der betroffenen Person
Daten, die anfallen = Fotos von Personen, Eventfotos, Umfrageergebnisse, Namen & Geburtsdaten von Fans & deren Freunden, etc.
Liegt eine nachweisbare, ausdrückliche Einwilligung der betroffenen Personen vor? ja/nein
Gibt es schon einen Auftragsverarbeitungsvertrag mit Facebook? ja/nein
ACHTUNG bei Fotos auf Facebook, Instagram & Co.: Betroffene Personen können jederzeit ihre Einwilligung widerrufen. In dem Fall musst Du die Fotos dieser Person auf Deiner Seite löschen und auch die Seitenbetreiber darüber informieren, dass eine weitere Verarbeitung dieser Bilder nicht mehr zulässig ist.
Dein Verarbeitungsverzeichnis ist ein lebendes Dokument, das Du zumindest alle halbe Jahr wieder aus der Schublade holen solltest, um durchzugehen, ob alles so noch stimmt, ob neue Software oder z.B. eine neue Social Media Plattform dazugekommen ist, etwas anderes nicht mehr benutzt wird, etc.
Hinweis: Es gibt gute Alternativen für die schlimmsten Datenkraken!
Nimm Dir die Vorlage und überlege Dir, wo Daten nicht bei Dir „stranden“, sondern auch noch an weitere Stellen weitergegeben werden, dafür ist dann die Tabelle da. Ändere die einfach für Dich ab. Es kann sein, dass die Taballe noch größer wird.
-> Vorlage Verarbeitungsverzeichnis für Verantwortliche
Vorlage Verarbeitungsverzeichnis (.doc)
Vorlage Verarbeitungsverzeichnis (.pages)
Hinweis: Ich bin keine Juristin. Die Vorlage habe ich nach bestem Wissen und Gewissen erstellt, die Verwendung erfolgt auf eigene Verantwortung.
Wenn Du Auftragsverarbeiter bist, also personenbezogene Daten für andere (z.B. Kunden) verarbeitest, brauchst Du so ein Verzeichnis für jeden Deiner Kunden, bzw. für jeden, in dessen Namen Du Daten verarbeitest.
-> Vorlage Verarbeitungsverzeichnis für Auftragsverarbeiter (in Arbeit)
***
Artikel aus dem Bereich Datenschutz:
Übersichtsartikel „DSGVO – An sich ganz easy“
„Was sind personenbezogene Daten?“
Verschaffe Dir einen Überblick & erstelle ein Verarbeitungsverzeichnis
Die Datenschutzerklärung – Aufzucht und Hege
Auftragsverarbeitungsverträge – sichere Dich rechtlich ab
Hallo Klaudia,
erst einmal vielen Dank für deine tolle Artikelserie zur DSGVO.
Ich habe eine Frage: In der Vorlage für das Verarbeitungsverzeichnis kommt die Frage nach einer „Datenschutz-Folgenabschätzung“. Diesen Begriff finde ich bisher in deinen Artikeln nicht weiter behandelt. Kannst du beim Verständnis was eine Datenschutz-Folgenabschätzung ist weiter helfen? Kennst du Laien-taugliche Artikel?
Beste Grüße und nochmal vielen Dank!
Hi Patrick, das hab ich im Podcast in einer Folge gemacht: https://www.datenputz.net/podcast/ds06-risikoabschaetzung/
Hör mal durch und gib ggf Bescheid, falls Dir noch was fehlt.
Liebe Grüße,
Klaudia