Infothek DSGVO

Das bereits bestehende Verbotsprinzip bleibt erhalten. Eine Verarbeitung von personenbezogenen Daten ist verboten, es sei denn es gibt eine einschlägige Rechtsgrundlage für die Verarbeitung. Welche Rechtsgrundlagen es unter der DS-GVO gibt, und was bei diesen zu beachten ist erfahren Sie in diesem Beitrag.

Händler müssen sich darauf einstellen, dass die von der Datenverarbeitung betroffenen Personen (z.B. Besucher einer Webseite, Kunden, Mitarbeiter) künftig an sie herantreten können, um zu erfahren, zu welchem Zweck die Daten erhoben werden (z.B. personalisierte Werbung), welche Datenkategorien betroffen sind (z.B. ethnische Herkunft) und wie lange die voraussichtliche Speicherdauer beträgt. Dieses Recht auf Auskunft ist neben weiteren Rechten zum Schutz der Betroffenen wie das Recht auf Löschung oder das Recht auf Datenübertragbarkeit eines der wichtigsten neuen Rechte, das Nutzer künftig gegenüber Händlern geltend machen können, die Daten von ihnen erheben. Genaues zu den Betroffenenrechten erfahren Sie hier.

FAQ zum „Verzeichnis von Verarbeitungstätigkeiten“

1. Was ist das Verzeichnis von Verarbeitungstätigkeiten?

Im Verzeichnis von Verarbeitungstätigkeiten werden die Verarbeitungstätigkeiten eines Unternehmens hinterlegt. Beispiele für solche Verfahren wären etwa der Bestellprozess, die Lohnbuchhaltung oder der Newsletter-Versand. Bei diesen genannten Tätigkeiten werden personenbezogene Daten erhoben und verarbeitet, diese müssen in das Verzeichnis von Verarbeitungstätigkeiten eingetragen werden. Dieses Verzeichnis soll in ähnlicher Form bereits nach aktuellen Datenschutzrecht geführt werden, dort heißt es noch „Verfahrensverzeichnis“

2. Was ist der Inhalt des Verzeichnisses von Verarbeitungstätigkeiten?

Das Verzeichnis enthält die Kontaktdaten des verarbeitenden Unternehmens bzw. des Gewerbetreibenden sowie ggfs. eines Datenschutzbeauftragten, sofern dieser vorhanden ist. Darüber hinaus müssen für alle Verarbeitungstätigkeiten der Zweck der Verarbeitung und die Personenkategorie(z.B. Kunden) und die Datenkategorien(z.B. Bestelldaten) enthalten werden. Ebenso bedarf es einer Information zu Empfängerkategorien(z.B. Versanddienstleister). Gesondert muss ausgewiesen werden, falls es im Verfahren zu einer Übermittlung ins Nicht-EU-Ausland kommt. Darüber hinaus muss für jede Verarbeitungstätigkeit die Fristen zur Löschung genannt werden. Zuletzt bedarf es noch einer allgemeiner Beschreibung der technisch und organisatorischen Maßnahmen.

3. Wer ist zum Führen des Verzeichnisses von Verarbeitungstätigkeiten verpflichtet?

Jeder der personenbezogenen Daten geschäftlich erhebt und verarbeitet. Damit muss eigentlich fast jeder Unternehmer oder Gewerbetreibender ein solches führen. Denn so gut wie jede Firma erhebt personenbezogene Daten irgendwelcher Art. Verpflichtet zum Führen ist dabei der Gewerbetreibende bzw. die Unternehmensleitung.

4. Gibt es eine Erleichterung für kleine und mittelständige Unternehmen?

Grundsätzlich ja. Alle Unternehmen und Einrichtungen mit weniger als 250 Mitarbeitern müssten eigentlich kein Verzeichnis führen. Allerdings gibt es für diese Entpflichtung drei Ausnahmen. So müssen auch kleine und mittelständische Unternehmen ein Verzeichnis führen, sofern sie Verarbeitungen mit Risiko für Rechte und Freiheiten betroffener Personen durchführen, sofern die Verarbeitung öfter als gelegentlich erfolgt oder sofern besondere Datenkategorien(besonders geschützte Daten wie solche zu Religion, Gesundheit, sexueller Orientierung) verarbeitet werden. Wenn auch nur eine Ausnahme zutrifft, muss das Verzeichnis geführt werden. Während ersteres zumindest bei kleinen Unternehmen noch selten sein wird, wird es bei den weiteren Ausnahmen schwierig. So ziemlich jedes normale Unternehmen nutzt mindestens einzelne Verfahren, welche ständig genutzt werden. Beispielsweise die Lohnbuchhaltung, die Kundenverwaltung oder das E-Mailsystem. Darüber hinaus muss jedes Unternehmen mit Mitarbeitern in Deutschland Lohnsteuer abführen. Da zur Berechnung der Kirchensteuer die Religionszugehörigkeit der Mitarbeiter bekannt sein muss, und die Religionszugehörigkeit ein besonders geschütztes Datum ist, ist auch diese Ausnahme sehr selten einschlägig. Fazit: Leider ist die im Gesetz genannte Erleichterung für KMUs in der Praxis sehr selten anwendbar. Jeder normale Gewerbetreibende wird ein Verzeichnis von Verarbeitungstätigkeiten führen müssen.

5. Wer hat Einsicht in das Verzeichnis von Verarbeitungstätigkeiten?

Das Verzeichnis von Verarbeitungstätigkeiten ist der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen. Die Aufsichtsbehörde kann also jederzeit von sich an ein Unternehmen innerhalb ihres Aufsichtsbereichs herantreten und kann verlangen, das Verzeichnis vorgelegt zu bekommen. Die Zuständige Aufsichtsbehörde für ein Unternehmen ist in Deutschland jenes seines Bundeslandes. Darüber hinaus gibt es zukünftig Pflichten, Datenpannen den Aufsichtsbehörden zu melden. Hier ist zu erwarten, dass die Aufsichtsbehörde als Reaktion auf eine solche Meldung ebenfalls das Verzeichnis vorgelegt bekommen will. Allerdings ist die Aufsichtsbehörde die einzige Stelle außerhalb des Unternehmens, die das Verzeichnis zu Gesicht bekommt, die bisher bestehende Pflicht, betroffenen Personen auf Antrag ein eingeschränktes Verfahrensverzeichnis auszuhändigen entfällt.

6. Was ist der Zweck des Verzeichnis von Verarbeitungstätigkeiten?

Einerseits soll es Unternehmen selbst helfen, seine Verfahren strukturiert aufzubereiten, und sich diesen mehr bewusst zu werden. Auch lassen sich andere Vorgaben der Datenschutzgrund-Verordnung mithilfe des Verzeichnisses besser in Griff bekommen. Andrerseits soll es Aufsichtsbehörden helfen, im Falle einer Prüfung sich schnellen Überblick zu verschaffen, welche Daten ein Unternehmen zu welchen Zwecken verarbeitet, und an wen diese Daten weitergegeben werden.

7. Reicht es aus, ein Verzeichnis von Verarbeitungstätigkeiten erst dann zu erstellen, wenn die Aufsichtsbehörde sich meldet?

Nein. Die Dokumentationspflichten der Datenschutzgrundverordnung gelten ab dem 25.Mai 2018. Die Datenschutzbehörden haben bereits dargestellt, dass diese bei Prüfungen einen gelebten Datenschutz sehen wollen. Ein Verzeichnis muss aktiv geführt werden. Es reicht also auch nicht aus, das Verzeichnis einmalig zu erstellen. Stattdessen sollte dieses regelmäßig überarbeitet werden, sofern neue Verfahren hinzukommen oder sich an einem Verfahren etwas ändert.

8. Welche Folgen hat ein Verstoß gegen die Pflicht des Führens des Verzeichnis von Verarbeitungstätigkeiten?

Wenn ein Unternehmen ein Verarbeitungsverzeichnis nicht führt, kann dies durch die Aufsichtsbehörden mit einem Bußgeld sanktioniert werden. Die maximale Höhe dieses Bußgeldes beträgt 10 Millionen Euro bzw. 2% des Jahresumsatzes. Zwar ist es unwahrscheinlich, dass Aufsichtsbehörden den genannten Bußgeldrahmen für das Fehlen eines Verzeichnisses ausreizen, trotzdem sind hier zukünftig durchaus empfindliche Strafsummen zu erwarten.

Die am 25.Mai 2018 in Kraft tretende Datenschutz-Grundverordnung(DS-GVO) zwingt alle Unternehmen dazu, technische und organisatorische Maßnahmen (im weiteren TOM) zu treffen, um die Sicherheit und den Schutz der zu verarbeitenden personenbezogenen Daten ihrer Kunden und Mitarbeiter zu gewährleisten. Dies ist an und für sich nichts neues, besteht diese Pflicht doch schon im bestehenden Bundesdatenschutzgesetz(BDSG). Insbesondere jedoch auf Grund der hohen möglichen Sanktionen durch die Aufsichtsbehörden sind alle Unternehmen dringend aufgerufen, die erforderlichen Maßnahmen im eigenen Unternehmen rechtzeitig zu überprüfen. Näheres zu diesem Thema, erhalten Sie in dem folgenden Beitrag.

Jedes Unternehmen tut gut daran, bis zum 23. Mai 2018 seine Datenschutzpraktiken zu überprüfen und anzupassen. Hierzu gehört insbesondere auch zu überprüfen, ob die technisch- und organisatorischen Maßnahmen ausreichen, um die erhobenen und verarbeiten Daten ausreichend zu schützen. Jedoch lässt sich in der Praxis auch bei großen Anstrengungen nie völlig verhindern, dass es einmal zu einer Datenpanne kommt. Sei es, dass man gehackt wurde, oder es zu einem Verlust von Daten durch einen Softwarefehler kam. Was dann zu tun ist, erfahren Sie hier.

Grundsätzlich sind alle Daten, welche erhoben und verarbeitet werden, bestmöglich zu schützen. Jedoch ist offensichtlich, dass es Daten gibt, von welchen nur ein niedriges Missbrauchspotential ausgeht, insbesondere bei solchen, welche ohnehin schon öffentlich sind, etwa die Telefonnummer eines Betroffenen welche bereits im Telefonbuch veröffentlicht wurde. Auf der anderen Seite gibt es jedoch auch Daten, welche ganz besonderen Schutz bedürfen, da diese einen hohen Schaden für betroffene Personen erzeugen können, sollten diese in die falschen Hände gelangen. Etwa Gesundheitsdaten, man stelle sich etwa vor, die vertrauliche Patientenakte wäre öffentlich einsehbar. Welche anderen Daten besonders geschützt sind, und was bei Ihrer Verarbeitung zu beachten ist, erklärt Ihnen der folgende Beitrag.