Im zweiten Teil meiner kleinen Artikelserie über die kommende DS-GVO ging es am Montag um das Verzeichnis der Verarbeitungstätigkeiten.

In meinem heutigen Praxis-Artikel möchte ich euch zeigen, wie ich das Verzeichnis für meine eigene Nischenwebsite bzw. meine Websites generell umsetze.

Ihr findet im Folgenden auch ein Beispiel.

Hinweis:

Da ich kein Anwalt bin, handelt es sich bei den folgenden Ausführungen um meine persönliche Meinung und meine eigenen Erfahrungen. Es handelt sich nicht um eine Rechtsberatung. Falls konkrete Fragen oder Probleme auftauchen, sollte man sich an einen Anwalt wenden*.

Personenbezogene Daten



Im ersten Praxis-Artikel habe ich analysiert, welche personenbezogenen Daten ich auf meiner Nischenwebsite sammle. Das waren nicht viele, da ich dort weder Kommentare zulasse, noch Umfragen durchführe oder ähnliches. Deshalb bleibt nicht viel übrig, was ich in mein Verzeichnis der Verarbeitungstätigkeiten aufnehmen muss.

Ich nutze natürlich einen Hoster und muss dafür einen Eintrag vornehmen. Allerdings ist es nicht notwendig für jede Website einen einzelnen Eintrag vorzunehmen. Stattdessen reicht es pro Hoster einen Eintrag im Verzeichnis zu erstellen.

Die im letzten Praxis-Artikel zudem genannten anderen, spätestens mit der ePrivacy-Verordnung, kritisch werdenden externen Einbindungen (Bilder vom Amazon Partnerprogramm, externe Scripte, AdSense etc.) spielen für das eigene Verzeichnis der Verarbeitungstätigkeiten meiner Ansicht nur dann eine Rolle, wenn wirklich Daten erfasst und verarbeitet werden. Google Analyics ist auf meiner Nischnwebsite z.B. im Einsatz und auch dafür müsste man einen Eintrag im Verzeichnis anlegen. Allerdings nur einmal für alle Websites.

Auftragsdatenverarbeitung

Ist ein externer Dienstleister bei der Erfassung personenbezogener Daten beteiligt, wie es z.B. beim Hosting, bei einem Newsletter-Service oder bei Google Analytics der Fall ist, muss man zudem einen Auftragsverarbeitungsvertrag (ADV-Vertrag) abschließen, der den Regelungen zur DS-GVO entspricht.

Das ist laut DS-GVO aber nicht mehr in schriftlicher Form notwendig, so dass man dies auch elektronisch machen kann. Der Hoster Mittwald bietet z.B. bald eine Möglichkeit im Admin an, den ADV-Vertrag online abzuschließen.

Wer mit einem externen Dienstleister, der auf diese Weise personenbezogene Daten in eigenen Auftrag erfasst/verarbeitet, noch keinen ADV-Vertrag abgeschlossen oder einen schon deutlich älteren Vertrag hat, sollte vor dem 25.5. auf jeden Fall einen neue ADV-Vertrag abschließen.

Beispiel für einen Eintrag ins Verzeichnis

Ich selber habe mir eine Vorlage genommen und diese ein wenig angepasst. Hauptsache ist, dass die wichtigsten Daten enthalten sind.

Das Verzeichnis selber hat ein Vorblatt, auf dem ausführliche Angaben zum Verantwortlichen stehen.

Danach folgen jeweils die einzelnen Einträge. Hier mein Beispiel für das Hosting meiner Websites beim Hoster All-Inkl.com. Dort habe ich die Speicherung der IP-Adressen in den Logfiles deaktiviert und auch in der Datenbank werden keine IP-Adressen gespeichert.

Somit werden dort lediglich Name und eMail-Adresse bei Kommentaren gespeichert. Das ist zumindest bei meinen Blogs und teilweise Websites der Fall, die ich bei All-Inkl.com hoste.

HINWEIS:

Das ist nur ein Beispiel, wie ich es aktuell machen würde. Ob das am Ende ausreichend ist oder ob es in der Praxis dann etwas anders gemacht werden muss, werden wir sehen, sobald praktische Beispiele für konkrete Daten verfügbar werden. Es ist also wichtig, dass ihr euch an den im Netz zu findenden Vorlagen orientiert, aber diese dann individuell ausfüllt. Ich übernehme auf jeden Fall keine Haftung, falls ihr meine Vorlage übernehmt und diese am Ende nicht 100% korrekt ist.

Verzeichnis von Verarbeitungstätigkeiten Verzeichnis Nummer 1 Erstellungsdatum 24.05.2018 Datum der letzten Änderung – Bezeichnung der Verarbeitungstätigkeit Speicherung von Namen und eMail-Adressen in Zuge des Hostings auf All-Inkl.com I. Angaben zur Verantwortlichkeit, Art. 30 Abs. 1 b) DS-GVO Verantwortliche Person Herr Peer Wandiger II. Angaben zur Verarbeitungstätigkeit Risikobewertung

Besteht bei der Verarbeitung ein hohes Risiko für die betroffenen Personen?

Nein Zwecke der Verarbeitungen/der Verarbeitungstätigkeit Abgabe von Kommentaren Rechtsgrundlage der Verarbeitungen/der Verarbeitungstätigkeit Einwilligung (DS-GVO Art. 6 Abs. 1 lit. a) mit klarem Hinweis, welche Daten für welchen Zweck erhoben werden. Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten, Art. 30 Abs. 1 c) DSGVO Betroffene Personengruppen

Website-Besucher

Kategorien personenbezogener Daten

Name, eMail-Adresse

(ausschließliche Verwendung für Kommentare) Kategorien von Empfängern, denen die Daten offengelegt worden sind oder noch offengelegt werden, Art. 30 Abs. 1 d) DSGVO Interne Empfänger

Peer Wandiger

Externe Empfänger

– Vertragliche Dienstleister

All-Inkl.com, Neue Medien Münnich, Hauptstraße 68, D-02742 Friedersdorf

(Vertrag der Auftragsdatenverarbeitung als Anlage beifügen) Datenübermittlungen in Drittländer oder an internationale Organisationen, Art. 30 Abs. 1 e) DSGVO Nein Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien, Art. 30 Abs. 1 f) DSGVO Löschung der Daten bei Kündigung des Hostings bzw. Schließung der Website. Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen Art der eingesetzten DV-Anlagen und Software (optional)

Server von All-Inkl.com, WordPress als Content Management System

Konkrete Beschreibung der technischen und organisatorischen Maßnahmen

sieht TOM _____________

Verantwortlicher _____________

Datum _____________

Unterschrift

TOM – Technische und organisatorische Maßnahmen

Die TOM sind die technischen und organisatorischen Maßnahmen, die zur sicheren Erfassung und Speicherung der personenbezogenen Daten getroffen wurden. Das sind in dem Fall zum einen die Maßnahmen bei All-Inkl.com, die im Zusammenhang mit dem ADV-Vertrag einzusehen sind.

Zum anderen sollte man selbst im Rahmen der DS-GVO Vorbereitungen ein eigenes TOM-Dokument erstellen. Also wie z.B. der eigene PC bzw. der Zugang zu den personenbzogenen Daten bei einem selbst abgesichert ist.

Diese PDF-Checkliste ist zwar noch für das bisherige Bundesdatenschutzgesetz gedacht, aber sie ist dennoch sehr nützlich bei der Erstellung des eigenen TOM-Dokumentes.

Verzeichnis erstellen und aktualisieren

Und so erstelle ich alle Einträge in das Verzeichnis der Verabreitungstätigkeiten bis zum 25.5.2018. Bei mir sind das Word-Dokumente, die ich dann ausdrucke.

Bei Änderungen, z.B. neuer Hoster, weitere Datenerfassung, neuer Service usw., erweitere bzw. aktualisiere ich das Verzeichnis.

Tipps für kleine Unternehmen

Das „Bayerische Landesamt für Datenschutzaufsicht“ hat einige Beispiele von Verzeichnissen der Verabreitungstätigkeiten für kleine Unternehmen veröffentlicht. So gibt dort Beispiele z.B. für einen Verein, eine Kfz-Werkstatt, einen Steuerberater oder auch einen Online-Shop.

Letzteres Beispiel kommt normalen Website recht nahe, so dass man sich das mal anschauen sollte. Dort wird übrigens auch ein Aufzug aus dem TOM Dokument mitgeliefert.

Ich finde es sehr gut, dass es von offizieller Stelle nun auch mal solche praktischen Beispiele gibt, anstatt nur immer auf die Theorie einzugehen. Hier scheint man erkannt zu haben, dass viele kleine Unternehmen und Selbstständige mit der DS-GVO doch etwas überfordert sind, was ja auch absehbar war.

Leider sind in diesen Beispielen heikle Dinge, wie Google AdSense, nicht enthalten. Aber dennoch eine empfehlenswerte Lektüre.

Fazit

Im Grunde ist es also gar nicht so schwer, so ein Verzeichnis der Verabreitungstätigkeiten anzulegen. Allerdings muss man sich erstmal ausführlich Gedanken machen, wie die betreffenden Daten verarbeitet werden und wer verantwortlich ist.

Der Aufwand hängt natürlich stark davon ab, wie viele personenbezogene Daten man sammelt und verarbeitet. Datensparsamkeit, die ja generell durch der DS-GVO gefordert wird, hilft hier also dabei Arbeit bei der Erstellung des Verzeichnisses zu sparen.

Am Ende noch der Hinweis, dass solche Einträge im Verzeichnis der Verarbeitungstätigkeiten für alle personenbezogenen Daten erfolgen muss, die ihr sammelt und verarbeitet. Nicht nur für die, die auf eurer Website gesammelt werden.