Eine große Neuerung der DS-GVO (Datenschutz-Grundverordnung) ist die Pflicht zur Führung eines Verzeichnis der Verarbeitungstätigkeiten.
Bisher gab es so etwas ähnliches nur für bestimmte Unternehmen. Die neue Verordnung sieht das nun praktisch für alle Selbstständigen und Unternehmen vor.
Was das genau ist, wann man das als Website-Betreiber benötigt und wie es aussieht, erfahrt ihr im Folgenden.
[the_ad id=”18198″]Hinweis:
Da ich kein Anwalt bin, handelt es sich bei den folgenden Ausführungen um meine persönliche Meinung und meine eigenen Erfahrungen. Es handelt sich nicht um eine Rechtsberatung. Falls konkrete Fragen oder Probleme auftauchen, sollte man sich an einen Anwalt wenden.
Verzeichnis der Verarbeitungstätigkeiten
Dieses Verzeichnis der Verarbeitungstätigkeiten ist auf den ersten Blick zwar erst ab einer Firmengröße von 250 Personen zwingend erforderlich, aber leider sorgt ein anderer Passus dafür, dass wohl jeder so etwas anlegen muss. Denn es heißt, wenn die “Datenverarbeitung nicht nur gelegentlich” erfolgt, dann ist es auch bei weniger als 250 Personen im Unternehmen zu führen.
Ich gehe davon aus, dass man hier auf kleine Firmen abziehlte, die gewerblich mit personenbezogenen Daten handeln oder was auch immer. Leider führt diese sehr allgemeine Formulierung dazu, dass dies nach aktueller Auslegung von Juristen eigentlich jeden Selbstständigen betrifft, da man es z.B. bei der Rechnungslegung oder durch Kundenmails regelmäßig mit personenbezogenen Daten zu tun hat. Das war meiner Meinung nach anders gemeint, denn sonst hätte man sich die Angabe der Grenze von 250 Personen im Unternehmen sparen können.
Deshalb sollte man selbst als Einzelunternehmer so ein Verzeichnis der Verarbeitungstätigkeiten anlegen.
Was ist das genau?
Beim Verzeichnis der Verarbeitungstätigkeiten handelt es sich um ein Formular, welches man für jede Tätigkeit ausfüllen muss, bei der man selbst personenbezogene Daten anderer erfasst und verarbeitet.
Dazu gehören z.B. Mails, die man empfängt, eigene Newsletter, Kundendaten im Rechnungsprogramm, eMails in Blog-Kommentaren und mehr. Sowohl die Mail-Adresse von Dritten, als auch die Blog-Kommentare treffen auf sehr viele Website-Betreiber zu, so dass man auch als solcher so ein Verzeichnis anlegen muss. Und da die IP-Adressen von Nutzern nun auch als personenbezogene Daten gelten, betrifft die Pflicht eigentlich jeden Website- oder Blog-Betreiber.
Darin sind einige Informationen anzugeben, weshalb es wichtig ist, dass man überhaupt erstmal analysiert, welche personenbezogenen Daten man sammelt (Siehe Teil 1 dieser Artikelserie) und was damit passiert.
Welche Informationen enthält das Verzeichnis der Verarbeitungstätigkeiten?
Schaut man sich im Netz um, findet man einige Muster für Einträge in das Verzeichnis der Verarbeitungstätigkeiten. Diese unterscheiden sich aber vom Umfang her, da nur bestimmte Angaben zwingend notwendig sind, während andere je nach Einzelfall notwendig werden oder freiwillig sind.
Die folgenden Angaben sind unter anderem erforderlich:
- Datum der Anlegung bzw. der Änderung
- Name und Kontaktdaten des Verantwortlichen bzw. dessen Vertreters (ggf. auch Datenschutzbeauftragter)
- Zweck der Verarbeitung
- Kategorien der betroffenen Personen
- Kategorien der personenbezogenen Daten
- Kategorien von Empfängern
- Ob eine Übermittlung in ein Drittland erfolgt oder eine internationale Organisation
- Fristen zur Löschung
- technisch und organisatorische Maßnahmen (TOM)
Das sind die Angaben, die mindestens in so einem Eintrag in das Verzeichnis vorhanden sein müssen. Ggf. müssen weitere Angaben, z.B. zur Risikoanalyse, mit angegeben werden.
Bei der Weitergabe von Daten an externe Dienstleister muss zudem ein Auftragsdatenverarbeitungs-Vertrag vorliegen, der den Anforderungen der DS-GVO entspricht. Auch dies muss dann hier angegeben werden.
Einen Datenschutz-Beauftragten braucht man in aller Regel als Selbstständiger nicht. Dennoch sollte man es hier prüfen.
Viele der Angaben klingen erstmal unklar. Wer sich damit noch nicht beschäftigt hat, weiß nicht so richtig, was da genau eingetragen werden muss.
Muster und Beispiele
Im Netz finden sich einige Muster für das Verzeichnis der Verarbeitungstätigkeiten. Daran kann man sich orientieren, um das eigene Verzeichnis zu erstellen.
Auf activemind.de kann man ein Muster herunterladen, welches recht umfangreich ist. Das gute daran ist, dass hier auch jeweils schon Beispiele bzw. typische Optionen drin sind, die sehr dabei helfen das Verzeichnis zu erstellen.
Unter dem Titel “GDD-Praxishilfe DS-GVO V” findet sich auf der Website der Gesellschaft für Datenschutz und Datensicherheuit e.V. ein PDF mit einem Muster und Erklärungen. Gerade die Erklärungen der einzelnen Punkte ist sehr hilfreich.
Auch die Bitkom hat ein ausführliches PDF über das Verarbeitungsverzeichnis veröffentlicht. Dieses enthält ebenfalls Vorlagen und Erläuterungen.
Ich selber habe mir zudem dieses Arbeitsheft zugelegt, welches recht günstig ist und neben ausführlichen Infos zum Verzeichnis der Verarbeitungstätigkeiten auch noch viele weitere Informationen und Anleitungen zur DS-GVO enthält.
[aawp box=”3406716628″]Wie genau muss es sein?
Wenn du 10 Newsletter betreibst, musst du nicht 10 mal das Formular ausfüllen, außer du nutzt unterschiedliche Dienstleister dafür. Ansonsten reicht aber ein Formular für alle Newsletter.
Es geht bei diesem Verzeichnis halt vor allem darum einen Überblick zu bekommen, welche Daten grundsätzlich gesammelt werden, zu welchem Zweck, warum das erlaubt ist und was mit diesen Daten passiert. Das ist für den Selbstständigen selbst sicher ganz hilfreich, aber auch natürlich für die öffentlichen Stelle, die dieses Verzeichnis ggf. sehen will.
Dieses Verzeichnis muss nicht öffentlichen gemacht werden, aber wenn die für den Datenschutz verantwortliche Aufsichtsbehörde es sehen will, muss man es zeitnah bereitstellen. Deshalb sollte man dieses Verzeichnis unbedingt zeitnah erstellen.
Zudem bildet es die Basis für die erweiterten Informationspflichten, die man auf seiner Website ab dem 25.5.2018 ebenfalls erfüllen muss und die sich von der bisherigen Datenschutzerklärung mehr oder weniger stark unterscheiden.
Übrigens muss man das Verzeichnis immer dann aktualisieren, wenn sich etwas ändert. Wer also z.B. neue Daten sammelt oder einen anderen Dienstleister nutzt, muss auch das Verzeichnis entsprechend anpassen oder erweitern.
Fazit
Die Erstellung des Verzeichnis der Verarbeitungstätigkeiten ist mit einem gewissen Zeitaufwand verbunden. Aber an sich ist es reine Formsache, denn man ändert dadurch eigentlich nichts an den Abläufen bzgl. personenbezogener Daten im eigenen Unternehmen, sondern dokumentiert diese lediglich.
Das hilft dabei den Überblick zu behalten und z.B. den Auskunftspflichten einfacher nachzukommen. Gerade in größeren Firmen weiß sonst niemand so genau, wer für was zuständig ist und was mit welchen Daten passiert.
Bei Website-Betreibern wird das Verzeichnis allerdings meist nicht so umfangreich sein, wobei man aber im Einzelfall genau analysieren muss, welche personenbezogenen Daten man erfasst.
[the_ad id=”18198″]- Danke für 16 tolle Jahre - 13. Juli 2023
- So erstellst du deine erste Newsletter-Mail in 10 Schritten mit CleverReach - 13. Juli 2023
- Die 5 besten Features des Amazon Affiliate WordPress Plugin – AAWP - 12. Juli 2023
BayLDA hat vor kurzem für mehr Klarheit gesorgt. Auch bzgl VVT.
https://www.lda.bayern.de/de/kleine-unternehmen.html
Danke für den Hinweis. Das kannte ich noch nicht. Werde ich mir gleich mal anschauen.
Hey, zum Verständnis: Muss das Verzeichnis auch auf die Website? Auch auf Nischenseiten? Oder soll man es anfertigen und im Ordner abheften, falls man aufgefordert wird. Und von wem kann man aufgefordert werden?
Diese Regel ist absolut nicht praxisnah und niemand kann mir erzählen, dass das so bereits in anderen EU Ländern von allen Unternehmen und Selbstständigen praktiziert wird. Daher wundert mich diese “Angleichung”.
Vielen Dank für den Beitrag. Der informiert super und bringt mich echt zum Kopfschütteln.
Nein, das muss nicht öffentlicht sein. Man muss es nur auf Anforderung den Datenschutz-Behörden vorlegen.
Es gab bisher schon Berufe und Unternehmen, die ein öffentliches Verzeichnis solcher Verarbeitungstätigkeiten vorweisen mussten. Aber das war nur ein kleiner Teil.
Bisher war es aber in Europa völlig unterschiedlich geregelt. Nun ist es einheitlich und natürlich auch verschärft worden. Keine Frage. Mehr Arbeit, mehr Bürokratie.
Bedanken kann man sich dafür hauptsächlich bei Google, Facebook und Co., die in den letzten Jahren unersättlich beim Daten sammeln geworden sind.
Was für ein Wahnsinn. Kein Wunder, dass wir abgehängt werden. Das macht alles keinen Spaß mehr.
Hallo Peer,
vielen Dank für die nützlichen Informationen auf deiner Website. Frage: Was hältst Du von Cookiebot?
Das ist ein interessanter Service, den ich mir demnächst genauer anschaue. Aber der wird wohl erst mit der ePrivacy Richtlinie richtig nützlich.
Als reine Affilateseite, wenn man gelegentlich empfangene Mails nur an die Anbieter weiterleitet, Linkpartneranfragen u.ä. sofort löscht, Kundendaten der Rechnungen nur Unternehmen sind, keinen Blog hat, sondern einzig und allein Google Analytics einsetzt – muss man dann nur diesen letzten Punkt im Verarbeitungsverzeichnis erwähnen?
Das mit dem Verarbeitungsverzeichnis find ich am verwirrendsten von allem bezüglich der DSGVO… uff. 😀
Da sind sich selbst die Juristen nicht einig. Wer auf der sicheren Seite sein will, legt auch für solche Dinge wie die Kundendaten in Rechnungen und Mails von Besuchern einen Eintrag im Verzeichnis an.
Hallo Peer,
Ich bin es nochmal einmal – diesmal zum Thema Verarbeitungsverzeichnis. Hast Du im Verarbeitungsverzeichnis alle Plugins stehen die Du auf dem Blog nutzt? Oder nur die Plugins die irgendwas aufzeichnen wie WordPress Kommentare, Top-Listen oder Social Media wie Shariff?
Mfg
Stefan
So spezifisch muss das Verabreitungsverzeichnis gar nicht sein. Mails erhält man und speichert sie auf dem eigenen Mail-Server und dem eigenen Mailprogramm. Da ist das Kontaktformular-Plugin meiner Meinung nach nicht wichtig.
Sharif sammelt auch keine Daten. Genau deshalb nutzt man es.
Top-Listen-Plugins sind auch nicht relevant, wenn keine personenbezogenen Daten (IP-Adresse, eMail-Adresse, Name …) gespeichert werden.
Kann ich das Verzeichnis nicht auch erst erstellen wenn ich danach gefragt werde?
Ist zwar vielleicht nicht ganz legal nach Ansicht einiger Anwälte und natürlich ist das Anlegen des Verzeichnises auch gut um sich selber darüber klar zu werden welche Daten man sammelt, aber dann muss ich mich nicht unnötig damit beschäftigen, wenn es mich vielleicht überhaupt nicht betrifft.
Kann ja keiner Überprüfen wann ich es wirklich erstellt habe.
PS: Danke für diese Serie und deine insgesamte Arbeit all die Jahre über. Du hast all deinen Erfolg verdient Peer!
Ich blicke da immer noch net ganz durch. Für mich wäre es gut gewesen wenn ich mal so ein fertiges Verzeichnis eines Bloggers vor mir hätte. Dann wüsste ich was ich machen muss. Weil ich net weis wie ich das anlegen muss.
Könntest du vielleicht einen Auszug aus deinem Verzeichnis zeigen das wäre hilfreich?