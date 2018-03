Eine große Neuerung der DS-GVO (Datenschutz-Grundverordnung) ist die Pflicht zur Führung eines Verzeichnis der Verarbeitungstätigkeiten.

Bisher gab es so etwas ähnliches nur für bestimmte Unternehmen. Die neue Verordnung sieht das nun praktisch für alle Selbstständigen und Unternehmen vor.

Was das genau ist, wann man das als Website-Betreiber benötigt und wie es aussieht, erfahrt ihr im Folgenden.



Hinweis:

Da ich kein Anwalt bin, handelt es sich bei den folgenden Ausführungen um meine persönliche Meinung und meine eigenen Erfahrungen. Es handelt sich nicht um eine Rechtsberatung. Falls konkrete Fragen oder Probleme auftauchen, sollte man sich an einen Anwalt wenden*.

Verzeichnis der Verarbeitungstätigkeiten



Dieses Verzeichnis der Verarbeitungstätigkeiten ist auf den ersten Blick zwar erst ab einer Firmengröße von 250 Personen zwingend erforderlich, aber leider sorgt ein anderer Passus dafür, dass wohl jeder so etwas anlegen muss. Denn es heißt, wenn die „Datenverarbeitung nicht nur gelegentlich“ erfolgt, dann ist es auch bei weniger als 250 Personen im Unternehmen zu führen.

Ich gehe davon aus, dass man hier auf kleine Firmen abziehlte, die gewerblich mit personenbezogenen Daten handeln oder was auch immer. Leider führt diese sehr allgemeine Formulierung dazu, dass dies nach aktueller Auslegung von Juristen eigentlich jeden Selbstständigen betrifft, da man es z.B. bei der Rechnungslegung oder durch Kundenmails regelmäßig mit personenbezogenen Daten zu tun hat. Das war meiner Meinung nach anders gemeint, denn sonst hätte man sich die Angabe der Grenze von 250 Personen im Unternehmen sparen können.

Deshalb sollte man selbst als Einzelunternehmer so ein Verzeichnis der Verarbeitungstätigkeiten anlegen.

Was ist das genau?

Beim Verzeichnis der Verarbeitungstätigkeiten handelt es sich um ein Formular, welches man für jede Tätigkeit ausfüllen muss, bei der man selbst personenbezogene Daten anderer erfasst und verarbeitet.

Dazu gehören z.B. Mails, die man empfängt, eigene Newsletter, Kundendaten im Rechnungsprogramm, eMails in Blog-Kommentaren und mehr. Sowohl die Mail-Adresse von Dritten, als auch die Blog-Kommentare treffen auf sehr viele Website-Betreiber zu, so dass man auch als solcher so ein Verzeichnis anlegen muss. Und da die IP-Adressen von Nutzern nun auch als personenbezogene Daten gelten, betrifft die Pflicht eigentlich jeden Website- oder Blog-Betreiber.

Darin sind einige Informationen anzugeben, weshalb es wichtig ist, dass man überhaupt erstmal analysiert, welche personenbezogenen Daten man sammelt (Siehe Teil 1 dieser Artikelserie) und was damit passiert.

Welche Informationen enthält das Verzeichnis der Verarbeitungstätigkeiten?

Schaut man sich im Netz um, findet man einige Muster für Einträge in das Verzeichnis der Verarbeitungstätigkeiten. Diese unterscheiden sich aber vom Umfang her, da nur bestimmte Angaben zwingend notwendig sind, während andere je nach Einzelfall notwendig werden oder freiwillig sind.

Die folgenden Angaben sind unter anderem erforderlich:

Datum der Anlegung bzw. der Änderung

Name und Kontaktdaten des Verantwortlichen bzw. dessen Vertreters (ggf. auch Datenschutzbeauftragter)

Zweck der Verarbeitung

Kategorien der betroffenen Personen

Kategorien der personenbezogenen Daten

Kategorien von Empfängern

Ob eine Übermittlung in ein Drittland erfolgt oder eine internationale Organisation

Fristen zur Löschung

technisch und organisatorische Maßnahmen (TOM)

Das sind die Angaben, die mindestens in so einem Eintrag in das Verzeichnis vorhanden sein müssen. Ggf. müssen weitere Angaben, z.B. zur Risikoanalyse, mit angegeben werden.

Bei der Weitergabe von Daten an externe Dienstleister muss zudem ein Auftragsdatenverarbeitungs-Vertrag vorliegen, der den Anforderungen der DS-GVO entspricht. Auch dies muss dann hier angegeben werden.

Einen Datenschutz-Beauftragten braucht man in aller Regel als Selbstständiger nicht. Dennoch sollte man es hier prüfen.

Viele der Angaben klingen erstmal unklar. Wer sich damit noch nicht beschäftigt hat, weiß nicht so richtig, was da genau eingetragen werden muss.

Muster und Beispiele

Im Netz finden sich einige Muster für das Verzeichnis der Verarbeitungstätigkeiten. Daran kann man sich orientieren, um das eigene Verzeichnis zu erstellen.

Auf activemind.de kann man ein Muster herunterladen, welches recht umfangreich ist. Das gute daran ist, dass hier auch jeweils schon Beispiele bzw. typische Optionen drin sind, die sehr dabei helfen das Verzeichnis zu erstellen.

Unter dem Titel „GDD-Praxishilfe DS-GVO V“ findet sich auf der Website der Gesellschaft für Datenschutz und Datensicherheuit e.V. ein PDF mit einem Muster und Erklärungen. Gerade die Erklärungen der einzelnen Punkte ist sehr hilfreich.

Auch die Bitkom hat ein ausführliches PDF über das Verarbeitungsverzeichnis veröffentlicht. Dieses enthält ebenfalls Vorlagen und Erläuterungen.

Ich selber habe mir zudem dieses Arbeitsheft zugelegt, welches recht günstig ist und neben ausführlichen Infos zum Verzeichnis der Verarbeitungstätigkeiten auch noch viele weitere Informationen und Anleitungen zur DS-GVO enthält.

Wie genau muss es sein?

Wenn du 10 Newsletter betreibst, musst du nicht 10 mal das Formular ausfüllen, außer du nutzt unterschiedliche Dienstleister dafür. Ansonsten reicht aber ein Formular für alle Newsletter.

Es geht bei diesem Verzeichnis halt vor allem darum einen Überblick zu bekommen, welche Daten grundsätzlich gesammelt werden, zu welchem Zweck, warum das erlaubt ist und was mit diesen Daten passiert. Das ist für den Selbstständigen selbst sicher ganz hilfreich, aber auch natürlich für die öffentlichen Stelle, die dieses Verzeichnis ggf. sehen will.

Dieses Verzeichnis muss nicht öffentlichen gemacht werden, aber wenn die für den Datenschutz verantwortliche Aufsichtsbehörde es sehen will, muss man es zeitnah bereitstellen. Deshalb sollte man dieses Verzeichnis unbedingt zeitnah erstellen.

Zudem bildet es die Basis für die erweiterten Informationspflichten, die man auf seiner Website ab dem 25.5.2018 ebenfalls erfüllen muss und die sich von der bisherigen Datenschutzerklärung mehr oder weniger stark unterscheiden.

Übrigens muss man das Verzeichnis immer dann aktualisieren, wenn sich etwas ändert. Wer also z.B. neue Daten sammelt oder einen anderen Dienstleister nutzt, muss auch das Verzeichnis entsprechend anpassen oder erweitern.

Fazit

Die Erstellung des Verzeichnis der Verarbeitungstätigkeiten ist mit einem gewissen Zeitaufwand verbunden. Aber an sich ist es reine Formsache, denn man ändert dadurch eigentlich nichts an den Abläufen bzgl. personenbezogener Daten im eigenen Unternehmen, sondern dokumentiert diese lediglich.

Das hilft dabei den Überblick zu behalten und z.B. den Auskunftspflichten einfacher nachzukommen. Gerade in größeren Firmen weiß sonst niemand so genau, wer für was zuständig ist und was mit welchen Daten passiert.

Bei Website-Betreibern wird das Verzeichnis allerdings meist nicht so umfangreich sein, wobei man aber im Einzelfall genau analysieren muss, welche personenbezogenen Daten man erfasst.