Die Datenschutz-Grundverordnung (DSGVO) ist in Kraft und Welt doch nicht untergegangen. Damit das auch so bleibt, gilt es Ihre Pflichten als Datenverarbeiter zu kennen und einzuhalten. Praktische Tipps dazu erteilt Rechtsexperte Bartlomiej Zornik. 
Erfahren Sie im dritten Teil unseres großen DSGVO-Ratgebers, warum ein Verarbeitungsverzeichnis für Ihren Datenumgang unverzichtbar ist und wie Sie gesetzeskonform Einwilligungen zur Datenverarbeitung einholen.

[toc]

Das Verarbeitungsverzeichnis

Ein Verzeichnis? Das klingt nach Arbeit.
Vollkommen richtig. Die Dokumentation Ihrer Datenverarbeitung, zu der Sie nach DSGVO verpflichtet sind, ist ohne Zweifel eine Mammutaufgabe. Doch sie muss erledigt werden, gewissenhaft und lückenlos. Schließlich handelt es sich beim Verarbeitungsverzeichnis um Ihre Absicherung für den Schadenfall. Und wenn es jemanden gibt, dem ich die Relevanz einer guten Absicherung nicht erklären muss, dann sollten dass Vermittler von Versicherungen sein.

Nun aber Klartext: Warum ist ein Verarbeitungsverzeichnis notwendig?

Ganz einfach: Sie haben eine Rechenschaftspflicht gegenüber den Datenschutzbehörden.
Kommt es zu einer Datenschutzverletzung, müssen Sie entsprechende Techniken, Verfahren, Verantwortlichkeiten und Aufzeichnungen nachweisen, die den Vorgaben des Datenschutzes gerecht werden. Nur wer hier sorgfältig alle Sicherungsmaßnahmen dokumentiert hat, kann gegenüber den zuständigen Behörden einen gesetzeskonformen Datenumgang belegen. So werden anhand dieser Nachweise auch mögliche Sanktionen nach einer Datenschutzverletzung bemessen. Diese Sanktionen können auch erhebliche Geldstrafen beinhalten.
Ein sorgsam geführtes Verarbeitungsverzeichnis ist also in Ihrem eigenen Interesse.

Kurz und knapp

  • Pflicht zur Erstellung

    nach Art. 30 der DSGVO müssen Sie als Verantwortlicher ein Verzeichnis über alle Verarbeitungstätigkeiten führen, die in Ihrem Unternehmen durchgeführt werden.

  • Nicht-öffentlich

    Das Verabrbeitungsverzeichnis ist ein internes Werkzeug, welches Sie nicht veröffentlichen. Es dient neben Ihrer unternehmensinternen Kontrolle primär dem der Aufsichtsbehörde nachzuweisen, wie und in welchem Verfahren mit personenbezogenen Daten umgegangen wird.

  • Form

    Es ist in deutscher Sprache zu erstellen und kann schriftlich oder in elektronischer Form erstellt werden.

  • Aktualität

    Ein Verarbeitungsverzeichnis ist kein Dokument, welches Sie einmal erstellen und anschließend Monate und Jahrelang vernachlässigen. Sie sind in der Pflicht dieses Verzeichnis aktuell zu halten und der Aufsichtsbehörde im Fall einer Prüfung oder Anfrage unverzüglich zu übermitteln.
Hinweis: Unverzüglich ist juristisch ein dehnbarer Begriff und bedeutet in diesem Kontext: Vier Wochen.

Je nach der Betriebsgröße, Organisation und Grad der IT-Vernetzung kann die Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten einen gewissen Grad an Umfang und Komplexität einnehmen. In personalintensiven Betrieben mit Saisonmitarbeitern, Leiharbeitern etc. kommen so allein in der Personalwirtschaft jede Menge Verfahren zum Tragen. 
Hier kann es hilfreich sein, spezialisierte Dienstleister in Anspruch zu nehmen und unterstützende Software wie zum Beispiel Verinice (Open Source / Empfehlung des Bundesamtes für Sicherheit und Informationstechnik) anzuschaffen. Alternativ kann diese Aufgabe auch dem Datenschutzbeauftragten – sofern vorhanden – übertragen werden.

Nachfolgend haben wir Ihnen ein Formblatt für ein beispielhaftes Verarbeitungsverzeichnis bereitgestellt, aus der die Mindestangaben laut Gesetz enthalten sind. Selbstverständlich können Sie gerne mehr dokumentieren, da setzt der Gesetzgeber keine Grenzen.

Organisatorisches (Pflicht)
Angaben zum Verantwortlichen (Pflicht)

Name Meine Firma 123
Ansprechpartner Martina Musterfrau
Straße Hauptstraße 24
PLZ, Ort 34121 Stadt
Tel 0561 – 1234 5678
E-Mail Musterfrau@meinefirma123.de

Angaben zur Person des Datenschutzbeauftragten (Optional, sofern bestellt bzw. erforderlich)
Anrede Herr
Name, Vorname Müller, Mustermann
Straße Musterweg 123
PLZ, Ort 34121 Stadt
Tel 0561 – 98 62 630
E-Mail kanzlei@meindsb123.de

Bezeichnung der Verarbeitungstätigkeit (Pflicht)

Datum der Erstellung: 01.06.18 Letzte Änderung: 03.06.18
Verantwortliche Abteilung Vertrieb
Ansprechpartner Maria Magdalena
Tel 0561 / 1234567654
E-Mail Bestellung@meinefirma123.de
Bezeichnung der Verarbeitungstätigkeit: Auftragsverwaltung
Zweck der Verarbeitung: Beantwortung von Anfragen, Erstellung von Angeboten
Beschreibung der Kategorien
betroffener Personen: (x) Interessenten
(x) Kunden

Beschreibung der Datenkategorien: Adressdaten, Bestellungen, Vertragsdaten

Kategorien von Empfängern,
gegenüber denen die personenbezogenen Daten
offengelegt worden sind oder noch werden: Lager, Management

Datenübermittlung an Dritte: Nein

Nennung der Datenempfänger: nicht zutreffend

Fristen für die Löschung der Daten: 10 Jahre nach Bestellung; 30 Tage nach Anfrage

Technische und organisatorische Maßnahmen: IT Sicherheitsrichtlinie, Berechtigungen,
Backup, verschlüsselte Mail Kommunikation


Aktuell sind im Internet unzählige solcher Muster zu finden. Sie sollten sich allerdings nie auf eine solche Vorlage verlassen und die Pflichtangaben stets selbst beachten. Erstellen Sie am besten Ihr eigenes Muster, das exakt auf Ihren Betrieb zugeschnitten ist. Hierfür empfiehlt sich eine simple Excel-Tabelle, die aktualisiert und mit entsprechenden Versionsnummern versehen werden kann.

Geheimtipp: Audatis Manager (nutze ich selbst auch für die RWM-Group, meine Mandanten und die Anwaltskanzlei)

 

Einwilligung richtig einholen

Das Kernthema der DSGVO ist stets die Einwilligung. Wie Sie eine solche einholen, ist im Prinzip kein Hexenwerk. Immerhin wissen Sie aus Teil X des Ratgebers bereits, dass die Form der Einwilligung (Textform, Schriftform, Mündlich) frei wählbar ist.

Besser schriftlich:

Wenn möglich, verlassen Sie sich nicht auf mündliche Einwilligungen, diese sind zwar nach der DSGVO zulässig, aber sie lassen sich in den meisten Fällen nicht nachweisen. Die Text- oder Schriftform ist hier eindeutig von Vorteil.
Jede Einwilligung – egal ob per Mail oder per Post erhalten, sollte stets archiviert werden, damit Sie im Ernstfall Ihrer Nachweispflicht nachkommen können.

Wann muss ich die Einwilligung einholen?

Stellen wir uns folgenden Sachverhalt vor:
Sie erhalten einen Anruf oder eine Mail von einem Interessenten, der unbedingt mit Ihnen einen Termin vereinbaren möchte. Er möchte sich zum Thema KfZ-Versicherung beraten lassen und das am 29. November. Zu allem Überfluss ist das auch noch ein Freitag.

Szenario 1:

In der Theorie wäre der korrekte Ablauf, dass Sie zunächst nur die Daten vom Interessenten erheben, welche für den Termin mindestens notwendig sind:
Vor- und Nachname
Telefonnummer oder E-Mailadresse

Hierbei handelt es sich zwar schon um eine Verarbeitungstätigkeit, jedoch können Sie davon ausgehen, dass der Interessent Ihnen mit Übermittlung seiner Kontaktdaten die notwendige Einwilligung erteilt hat.

Achtung: Solange Sie keine Einwilligung haben die Daten zu verarbeiten, dürfen Sie die Kontaktdaten noch nicht in Ihr Online-CRM eintragen, zu Ihrer WhatsApp-Gruppe hinzufügen oder ähnliches.

Am 29. November erscheint der Interessent dann um 18:30 Uhr in Ihrem Büro mit seinen Fahrzeugunterlagen zum Beratungstermin. Bevor Sie nun die Daten des Interessenten durch den KfZ-Vergleichsrechner jagen, müssten Sie genau JETZT eine Einwilligung (Datenschutzerklärung) vom Kunden bekommen, in welcher der Kunde es Ihnen erlaubt, dass Sie seine personenbezogenen Daten verarbeiten dürfen.

Szenario 2:

Wir starten mit derselben Ausgangslage wie in Szenario 1. Sie erhalten beschriebenen Anruf/Mail. Nun möchten Sie beim Erstkontakt direkt auch Daten zum Fahrzeug etc. aufnehmen, damit Sie das Angebot in Ihrem Vergleichsrechner schon vorab rechnen können, um zum Beratungstermin alles parat zu haben.
Dieses Mal benötigen Sie eine Einwilligung, bevor Sie die Daten erheben (allg. verarbeiten). Dafür empfehle ich Ihnen, per Mail eine Datenschutzerklärung an den Interessenten zu schicken, in welche er in Textform einwilligt.

Damit sind wir am Ende von Teil 3 der DSGVO-Ratgeberreihe angelangt. Ich hoffe, dass meine Ausführungen ein wenig Licht in das große Dunkel der Datenschutz-Grundverordnung bringen konnten.

Gerne unterstützen wir Sie in der Prüfung Ihrer Website, Unternehmens, Datenschutzerklärungen oder Ihres Projektes! Vereinbaren Sie unverbindlich mit einem unserer Juristen, spezialisierten Berater oder externen Datenschutzbeauftragten einen Termin.

 

Kontaktieren Sie uns per E-Mail:

Kanzlei@rwmgroup.de

Ihr Justiziar der RWM-Group
Bartlomiej Zornik

RWM-Group
Wilhelmshöher Allee 191
34121 Kassel
www.rwmgroup.de

 

 

 

 

 

Bildquellen:
shutterstock.com Cookie studio 1017373189
Portrait B. Zornik Sebastian Berger