Oft vergessen, aber Pflicht für jeden Unternehmer: Das DSGVO Verarbeitungsverzeichnis

(7 Bewertungen, 5.00 von 5)

Mit der DSGVO benötigt eigentlich jedes Unternehmen im Netz ein so genanntes Verarbeitungsverzeichnis. Wenn Sie sich gerade fragen "Was ist denn ein Verarbeitungsverzeichnis?", dann sollten Sie diese Wissenslücke schnell schließen. Die kurze Antwort: In diesem Verzeichnis müssen Sie all Ihre Verarbeitungsvorgänge auflisten. Woher kommen die Kundendaten in Ihrem Unternehmen? Wo gehen diese Daten hin? Wie lange werden Daten gespeichert? Was passiert mit Daten, wenn man sie nicht mehr benötigt? Das klingt kompliziert. Ist es auch. Aber mit den richtigen Vorlagen und Online-Tools können Sie diese lästige Pflicht schnell abhaken.

„Die Datenschutzbehörden haben angekündigt, dass 2019 das Jahr der Datenschutz-Prüfungen wird. Darauf sollten Sie vorbereitet sein."

Sören Siebert
Sören SiebertRechtsanwalt

 

Inhaltsverzeichnis

  1. Was ist ein Verarbeitungsverzeichnis?
  2. Wer benötigt ein Verarbeitungsverzeichnis?
  3. Welchen Inhalt hat ein Verarbeitungsverzeichnis?
  4. Wer ist für das Führen des Verarbeitungsverzeichnisses verantwortlich?

1. Was ist ein Verarbeitungsverzeichnis?

Die EU-Datenschutz-Grundverordnung (DSGVO) schreibt vor, dass jeder Verantwortliche, der personenbezogene Daten verarbeitet, seine Verarbeitungsvorgänge in einem ausführlichen "Verzeichnis der Verarbeitungstätigkeiten" dokumentieren muss. Personenbezogene Daten sind zum Beispiel:

  • Bestelldaten von Kunden
  • Namen und Anschrift des Kunden
  • die E-Mail-Adresse in einem Newsletter
  • die IP Adresse

Vor der DSGVO war es nur für größere Unternehmen Pflicht, ein so genanntes Verfahrensverzeichnis zu führen. Manchmal musste diese Verzeichnis auch den Betroffenen auf Verlangen übermittelt werden. Mit der DSGVO heißt das "Verfahrensverzeichnis" jetzt "Verarbeitungsverzeichnis". Die Pflicht, ein Verarbeitungsverzeichnis zu führen, berifft so gut wie Jeden, der personenbezogene Daten verarbeitet. Es muss akribisch dokumentiert werden, wie Unternehmer mit personenbezogenen Daten umgehen. Als Unternehmer beschreiben Sie dort, welche Kategorien von Daten Sie speichern, auf welcher Rechtsgrundlage dies geschieht, wie lange bestimmte Daten gespeichert werden, an wen diese personenbezogenen Daten weitergegeben werden, wie sie geschützt werden und so weiter.

Die Aufsichtsbehörde wird Sie bei jeder Prüfung oder Beschwerde zuerst nach diesem Verzeichnis fragen. Ein gutes Verarbeitungsverzeichnis ist also eine rechtliche Pflicht und das "datenschutzrechtliche Aushängeschild" für jeden Unternehmens.

Video: Anzeige: Erfahren Sie hier, wie Sie Ihr Verarbeitungsverzeichnis ganz einfach in PRIVE erstellen und verwalten können

Anzeige
Anzeige: Jetzt Verarbeitungsverzeichnis DSGVO-konform erstellen! Buchen Sie jetzt Ihr Paket beiPRIVE

 

2. Wer benötigt ein Verarbeitungsverzeichnis?

Fast jeder Unternehmer muss nach der DSGVO ein ausführliches Verarbeitungsverzeichnis führen. Für kleinere Unternehmen gibt es zwar Ausnahmen. Aber: Diese Ausnahmen greifen nur, wenn die personenbezogenen Daten „nicht nur gelegentlich“ verarbeitet werden. Leider gibt es keine klare Aussage darüber, was nicht nur gelegentlich bedeutet. Als Unternehmer sollten diese Dokumentationspflichten also Ernst nehmen. Das Verzeichnis ist nicht nur eine gesetzliche Pflicht. Sie können es auch als Marketinginstrument zur Kundenbindung nutzen.

Ein Beispiel: Das britische Marktforschungsinstitut Vanson Bourne führte im Jahr 2017 eine Studie durch. Knapp 70 Prozent der befragten Nutzer gaben dabei an, dass sie nach einer Datenschutzverletzung keine weiteren Geschäfte mehr mit dem jeweiligen Unternehmen tätigen würden. 2019 zeigte eine weitere Studie von CISCO, dass Kaufentscheidungen von Verbrauchern viel schneller getroffen werden, wenn der Anbieter datenschutzrechtlich sauber aufgestellt war.

Wer für ein Verarbeitungsverzeichnis eines der vielen allgemeinen oder alten Internet-Muster verwendet, läuft Gefahr, unnötige und gefährliche Fehler zu machen. Das verärgert die Datenschutzbehörde und beschädigt das Vertrauen Ihrer Kunden. Mit einem guten und stimmigen Verarbeitungsverzeichnis können Unternehmer mit wenig Aufwand eines der größten DSGVO-Haftungsrisiken minimieren. Und gleichzeitig das Kundenvertrauen nachhaltig steigern.

werbemittel mitte

3. Welchen Inhalt hat ein Verarbeitungsverzeichnis?

Für ein DSGVO-konformes Verarbeitungsverzeichnis müssen Sie und Ihre Mitarbeiter sich als erstes darüber im Klaren sein, welche Angaben in diesem Verzeichnis überhaupt gemacht werden müssen.

Wichtig dabei: Sie müssen nicht alle einzelnen Kundendaten in das Verzeichnis übernehmen. Es geht um die Datenschutz-Vorgänge und Datenkategorien an sich, bei denen Sie personenbezogene Daten speichern oder verarbeiten. Also nicht:

Name: Klaus Müller
E-Mail-Adresse: klaus_mueller@mailprovider.de
Anschrift: Hoher Weg 3, 10117 Berlin

Sie müssen beim beim Erstelles des Verzeichnisses also nicht dir konkreten Kundendaten, sondern die Tätigkeiten und Datenarten auflisten. Also etwa:

  • Verarbeitung von Bewerber- und Personaldaten
  • interne und externe Unternehmenskommunikation
  • Kundenbetreuung
  • Marketing
  • Social Media Auftritte
  • Finanzen und Buchhaltung
  • Videoüberwachung
  • Datenvernichtung

Das klingt zunächst einmal aufwendig. Aber: Bei den meisten Unternehmen handelt es sich um gängige Geschäftsprozesse, die Sie relativ einfach in ein Verarbeitungsverzeichnis (früher: Muster Verfahrensverzeichnis nach BDSG) übertragen können. Ein fertiges Verarbeitungsverzeichnis kann dann beispielsweise so aussehen (Auszug):

VV muster

4. Wer ist für das Führen des Verarbeitungsverzeichnisses verantwortlich?

Verantwortlich für das Verarbeitungsverzeichnis ist der Unternehmer bzw. der Geschäftsführer des Unternehmens. Sie müssen im Rahmen der Dokumentationspflicht der DSGVO sämtliche Verarbeitungstätigkeiten dokumentieren. Nur so sind Sie bei Prüfungen der Aufsichtsbehörden auf der sichern Seite.

Wichtig: Das gilt nicht nur für die Daten in der Beziehung Unternehmer - Kunde. Sondern auch für Daten, die zum Beispiel im Rahmen der Auftragsverarbeitung (früher: Auftragsdatenverarbeitung) anfallen. Etwa, wenn Sie als Agentur personenbezogene Daten Ihrer Kunden im Auftrag verarbeiten, weil Sie Newsletter-Kampagnen oder GoogleAds Kampagnen für Ihre Kunden durchführen.

Anzeige

datenschutz prive werbemittel webinar 750x250

So gehen Sie vor, wenn Sie ein Verarbeitungsverzeichnis erstellen

Wenn Sie ein Verarbeitungsverzeichnis erstellen wollen (oder müssen), sollten Sie als erstes eine Liste der Dateneingänge und -ausgänge erstellen, die in Ihrem Unternehmen anfallen. Wenn Sie oder Ihre Mitarbeiter ein Verarbeitungsverzeichnis erstellen wollen, stehen für die Dokumentation der Verarbeitungstätigkeiten nach der DSGVO grundsätzlich drei Varianten zur Verfügung:

Sie erstellen das Verarbeitungsverzeichnis selbst.

Das kann bei rechtlich unerfahrenen Personen aber relativ aufwändig, fehleranfällig und risikoreich sein (Bußgelder).

Sie beauftragen einen auf Datenschutz spezialisierten Rechtsanwalt mit der Erstellung.

Das ist zwar ein sicherer Weg, kann aber leicht mehrere tausend Euro kosten. Für kleine Unternehmen und Einzelkämpfer dürfte ein solcher Aufwand aber meist übertrieben sein.

Der Mittelweg: Sie nutzen ein Datenschutz-Tool oder ein Datenschutz-Management-System (DSMS).

Hier haben Sie oft Profi-Tools an der hand, die aber preiswerter sind als die Beratung durch einen Anwalt.

Achtung Werbung: Wir empfehlen die Lösung von PRIVE. Diese DSGVO-Lösung wurde von Anwälten der Kanzlei Siebert Goldberg erstellt, ist einfach und preiswert zu bedienen. Wenn Sie mit PRIVE ein Verarbeitungsverzeichnis erstellen wollen, können Sie einfach automatische Wizards und Generatoren mit einer Vielzahl von vorkonfigurierten Vorlagen für alle Branchen nutzen. Sie können die Verarbeitungstätigkeiten ergänzen, löschen, bearbeiten und direkt in ein offizielles Dokument für die Datenschutzbehörden exportieren.

Die Vorlagen, Konfigurationen und Muster für das Verarbeitungsverzeichnis in PRIVE wurden von spezialisierten Rechtsanwälten und TÜV-geprüften externen Datenschutzbeauftragten erstellt.

PRIVE ist die rechtssichere und kostengünstige Online-Lösung, mit der Sie ein professionelles Verarbeitungsverzeichnis erstellen können. Aber auch alle anderen Datenschutzpflichten der DSGVO wie etwa AV-Verträge, TOMs, Betroffenenanfragen oder die Meldung von Datenpannen ...) können Sie so umsetzen. Auf Wunsch können Sie sogar Ihren eigenen externen Datenschutzbeauftragten bestellen.

Anzeige
Kommentare  
Ernst Klein
+7 # Ernst Klein 18.06.2019, 10:50 Uhr
Amazon, Google, Facebook sollte die DSGVO treffen; getroffen wurden kleine und mittelständische Betriebe, die ohnehin nie Datenmissbrauch begangen hatten und jetzt wieder mal einen Arbeitsmehraufwand und drohende Bußgelder hinnehmen müssen. Da wundert sich noch jemand, dass sich viele Menschen enttäuscht von den sog. Volkspartein abwenden?
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Sagen Sie uns Ihre Meinung zum Thema.
Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Schufa-Selbstauskunft einmal im Jahr umsonst Drei Viertel aller Deutschen sind bei der Schufa Holding AG (Schutzgemeinschaft für allgemeine Kreditsicherung) registriert. Darunter fallen Informationen über ...
Weiterlesen...
E-Privacy-Verordnung: Die DSGVO war erst der Anfang Einige Unternehmen stemmten die Mammut-Aufgabe „DSGVO“ mit Bravour. Andere hinken noch gewaltig hinterher. Doch nun klopft schon das nächste Datenschutzthema an...
Weiterlesen...
Bilder im Netz: Ist das Hochladen fremder Bilder in die eigene Cloud erlaubt? Der Käufer einer Festplatte reagierte ein bisschen über und lud private Bilder des Verkäufers in seine eigene Internet-Cloud. Er wollte den Verkäufer so zur Rüc...
Weiterlesen...
Justizministerium darf IP-Adresse und andere Nutzerdaten nicht speichern Das Landgericht (LG) Berlin (Az.: 23 S 3/07, Urteil vom 06.09.2007) hat entschieden, dass Betreiber von Webseiten keine personenbezogenen Daten wie die IP-Adres...
Weiterlesen...
Videoüberwachung am Arbeitsplatz: Datenschutz von Arbeitnehmern wird gestärkt Der Datenschutz von Arbeitnehmern ist gestärkt worden. Die Bundesregierung legte einen entsprechenden Gesetzentwurf vor und so soll es den Arbeitgebern erschwer...
Anzeige DSGVO
Anzeige

Der eRecht24 Newsletter

Immer bestens informiert

Bleiben Sie mit unseren kostenlosen Updates zum Internetrecht auf dem neuesten Stand. Infos, Urteile, Checklisten, Sonderangebote.

loading...
Jetzt Premium-Mitglied werden

Ab Heute gestalten Sie Ihre Website ohne Angst vor Abmahnwellen und ohne teuren Anwalt abmahnsicher.

Alle Videos, Live-Webinare, E-Books, Tools und zahlreiche Rabatte.

Jetzt Mitglied werden

Mehr Informationen zu eRecht24 Premium

Impressum-Generator

Keine Chance für Abmahner

Erstellen Sie kostenlos ein rechtssicheres Impressum für Ihre Website.

Jetzt Kostenlos Impressum generieren

Rechtsberatung vom Anwalt

Haben Sie ein konkretes rechtliches Problem? Dann wenden Sie sich bitte einen Anwalt. Auf unseren Seiten finden Sie zahlreiche allgemeine Informationen zum Internetrecht. Fundierte Rechtsberatung im Einzelfall kann allerdings nur ein spezialisierter Rechtsanwalt leisten.

Inhalte kostenlos übernehmen

Der eRecht24 Newsticker

kostenfreie aktuelle Inhalte zum Internetrecht

Individuell für Ihre Website angepasst!

 

SSL-Zertifikate

Steigern Sie das Vertrauen Ihrer Kunden. Für Betreiber von Onlineshops und kommerziellen Webseiten unabdingbar:

SSL-Verschlüsselung, SSL-Zertifikate und Trust-Logos

Rechnungen online erstellen

Erstellen Sie Ihre Rechnungen gemäß den Anforderungen des Finanzamts doch einfach online!

Mit easybill bequem ordnungsgemäße Rechnungen schreiben inkl. digitaler Signatur und Datenexport zum Steuerberater. Anforderungen an korrekte Rechnungen mit Mustern und Beispielen.

IT-Recht endlich verständlich

Autor Sören SiebertSören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.

Er berät Unternehmer, Shops und Seitenbetreiber in allen Fragen des Rechts der neuen Medien.
www.kanzlei-siebert.de

Als Betreiber von eRecht24 ist er seit mehr als 15 Jahren auch als Internet-Unternehmer tätig. Deshalb finden Sie auf eRecht24 Tipps und Tricks eines spezialisierten Rechtsanwalts, aber verständlich und praxisnah erklärt.

SSL-Zertifikate, Code-Signing, S/MIMEOrdnungsgemäße Rechnungen einfach online erstellen!Suchmaschienoptimierung & OnlinemarketingDatenschutzRechtliche OnlineShop-PrüfungFairness im Handel
Anzeige
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Videos und E-Books, Musterverträge und Erstberatung, Tools und Live-Webinare.

Mehr Informationen

dsgvo teaser

DSGVO Schnellstarter-Paket

Das Datenschutzrecht ändert sich ab Mai 2018 vollständig. Sind Sie bereit für die DSGVO? Mit unserem Schnellstarter-Paket sichern Sie Ihre Webseite ab.

Jetzt absichern

webinar teaser

Online Schulung mit Rechtsanwalt Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese schnell, einfach und ohne teuren Anwalt vermeiden. So haben Abmahner bei Ihnen keine Chance!

Mehr Details
Support