Wer ab 25. Mai dieses Jahres der Dokumentationspflicht im Rahmen der DSGVO nicht nachkommt, wird einer Strafe nicht entgehen. Wir erklären, wie man ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellt.
Zuerst die gute Nachricht: Aufgrund der DSGVO ist keine Meldung mehr an das Datenverarbeitungsregister (DVR) zu erstatten und auch die DVR-Nummer auf Ihren Briefen, Prospekten etc. gehört ab 25. Mai der Vergangenheit an.
Die schlechte Nachricht: Stattdessen sind Verzeichnisseüber die Verarbeitung von Daten zu führen und diese sind ein hoher Aufwand für alle, die den Datenschutz bisher nicht ernst genommen haben. Oder kurz gesagt: Der Gesetzgeber möchte mit der erhöhten Dokumentationspflicht dafür sorgen, dass Unternehmen sich mehr Gedanken um den Datenschutz machen. Er forciert das mit Geldstrafen bis zu 10 Millionen Euro oder 2 Prozent des letztjährigen weltweiten Unternehmens-Jahresumsatzes.
Im Unternehmen ist laut Gesetz der Verantwortliche verpflichtet, das Verfahrensverzeichnis aufzustellen und zu pflegen. Ein Verantwortlicher ist beim Einzelunternehmer z. B. der Inhaber oder bei der GmbH der oder die Geschäftsführer. In der Praxis wird jedoch oft der Datenschutzbeauftragte dafür zuständig sein, das Verzeichnis zu führen und zu erstellen. Die Verantwortung bleibt jedoch beim Verantwortlichen. Und der ist es auch, der das VVT der Aufsichtsbehörde auf Anfrage zur Verfügung stellen muss. Auch Auftragsverarbeiter (natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten) sind verpflichtet, ein VVT zu führen.
Wie wird ein Verzeichnis der Verarbeitungstätigkeiten (VVT) umgesetzt?
Es gibt inhaltliche Vorgaben (Art. 30 DSGVO) für den Inhalt des VVT, die Art und Form ist jedoch frei wählbar. Im Folgenden wird erklärt, wie die Umsetzung für ein Unternehmen erfolgen könnte. Im 1. Schritt geht es um Angaben zum Unternehmen sowie Namen und Kontaktdaten des Verantwortlichen und des etwaigen Datenschutzbeauftragten. Tipp: Die bisher im DVR registrierten Datenanwendungen können als Anhaltspunkt für die neue Art von Dokumentation dienen.
Im 2. Schritt wird die Arbeit mit der Darstellung, aber auch Identifizierung der Verarbeitungstätigkeiten (wie z.B. Personalmanagement mit der Lohnabrechnung sowie Zeiterfassung und Bewerbungsunterlagen) fortgeführt. Aber auch der Online-Shop, die Kundenlisten sowie die Vertrags-und die Lieferanten-Daten gehören dazu. Nicht zu vergessen sind Marketingmaßnahmen mit Newslettern oder Gewinnspielen. Aber auch die Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen wie Serverprotokollierung und -sicherheit sind Teil des Verzeichnisses.
Welche technischen und organisatorischen Maßnahmen (TOM) wurden ergriffen?
Nachdem diese Verarbeitungstätigkeiten aufgestellt wurden, gehören sie mit gesetzlich vorgesehenen Angaben, wie zum Beispiel mit "Datenkategorien" oder "Kategorien Betroffener" versehen. Die Datenkategorien bei Kundenstammdaten wären zum Beispiel: Name, Adressen, Kontaktdaten sowie Zahlungsinformationen, Kundenkategorie undBonitätsdaten.
Nach Art. 32 DSGVO ist man verpflichtet, für die Sicherheit der Datenverarbeitung nach dem aktuellen Stand der Technik zu sorgen. Das bedeutet, dass der Unternehmer zusätzlich ein Verzeichnis über die technischen und organisatorischen Maßnahmen zum Schutz der verarbeiteten personenbezogenen Daten vor Missbrauch und Unbefugten erstellenmuss. Wenn sämtliche Daten, Verzeichnisse und Listen des Unternehmens schriftlich erfasst worden sind -und dabei gilt: lieber mehr und detaillierter als zu wenig -, wird empfohlen, zusätzlich zu allen bereits erfassten Listen das Unternehmen auf folgende Fragen zu prüfen:
Wird Profiling als Grundlage für Entscheidungen eingesetzt (z. B. bei Bonitätserhebungen) und werden sensible Daten wie Angaben zur Sexualität, politischer Gesinnung, Straftaten und Gesundheit erhoben und verarbeitet oder wird eine Videoüberwachung im Betrieb eingesetzt? In diesen Fällen müssen die Verantwortlichen alle möglichen Risiken aufzählen und darlegen, wie sie diese in jedem Fall abwenden können.
Zum Abschluss denken Sie bitte daran, dass dieses Verzeichnis von Verarbeitungstätigkeiten regelmäßig aktualisiert werden muss. Jeder Verantwortliche, jeder Auftragsverarbeiter sowie die jeweiligen Vertreter haben mit der Aufsichtsbehörde zusammenzuarbeiten und auf Anfrage sind diese Verzeichnisse vorzulegen. Ob dies jedoch im handschriftlichen oder elektronischen Format erfolgt, ist der Behörde einerlei.
Wer ist von dieser Pflicht zur Führung dieser Verzeichnisse ausgeschlossen?
Praktisch kommen dafür nur kleine Offline-Unternehmen infrage. Auch wenn das Gesetz Unternehmen mit weniger als 250 Mitarbeitern von den Pflichten befreit, gilt diese Ausnahme nur, wenn die Verarbeitung von personenbezogenen Daten "nur gelegentlich" erfolgt. Und in einem modernen Unternehmen werden ständig Daten verarbeitet, sei es via Website, Shop, CRM-Systeme oder Lohnabrechnung. So wird diese Befreiung eher selten zur Anwendung kommen. Und selbst wenn ein Unternehmen nicht zur Erstellung eines VVT verpflichtet ist, so müssen natürlich trotzdem die Maßnahmen für den Datenschutz gesetzt werden.
Und zum guten Schluss: Sehen Sie dieses Verzeichnis und die damit verbundene Arbeit auch als Chance. Denn eineÜbersicht und Kontrolle über die eigenen Daten im Unternehmen ist ein klarer Vorteil.
Auch in den folgenden Ausgaben von "AUTO&Wirtschaft" geben wir Ihnen Tipps, wie Sie bis 25. Mai fit für den Datenschutz werden. Das nächste Thema: "Bestehende Kundendaten"
Beispiele aus der Praxis
Die KFZ-GmbH mit 15 Mitarbeitern führt die Lohnabrechnung digital durch. Hier sind der Auftragsverarbeiter sowie Verantwortliche zur Aufstellung eines Verfahrensverzeichnisses verpflichtet, da die personenbezogenen Daten nicht nur gelegentlich verarbeitet werden. Der Inhaber einer kleinen Werkstätte hat eine analoge Kundenkartei,in der Mechaniker nach jedem Service Daten wie Name, Telefonnummer, Ölstand etc. notiert. Die Verarbeitung erfolgt zwar manuell, dies ist aber egal, da die Verarbeitung regelmäßig erfolgt. Die Firma Autohandelreparaturservice versendet Newsletter und Prospekte an Kunden. Diese Stammdaten der Kunden müssen im Verzeichnis der Verarbeitungstätigkeiten aufscheinen. Aber nicht nur der Datensatz, sondern auch der Zweck des Newsletters, wie die Adressen erfasst wurden, ob es eine dezidierte Zustimmung des Kunden gibt, welche Schutzmaßnahmen vorliegen usw. Wenn der Kunde die Löschung seiner Daten wünscht, muss auch das zwingend notiert und aufbewahrt werden.
NEWS
Robuste und tönbare Schutzlackierung RAPTOR®
Die robuste und tönbare RAPTOR-Schutzlackierung von U-POL ist eine Lackierung aus Urethan mit großer Haltbarkeit. Sie ve...
