Wenn die Daten­schutz­be­hörde (DSB) bei Ihnen anklopft, müssen Sie als Unternehmer:in nachweisen, dass Sie die Gesetze zum Daten­schutz einhalten. Ein Instru­ment, um nachzu­voll­ziehen wo Sie überall Daten verar­beiten, ist das

Alle vorhan­denen Daten­ver­ar­bei­tungen – nicht jedoch einzelne Daten­sätze – werden im Verar­bei­tungs­ver­zeichnis aufge­listet. D.h., es bietet einen Überblick über die Daten­ver­ar­bei­tungs-Vorgänge in einem Unter­nehmen. Dadurch ist dieses Verzeichnis ein einma­liger Aufwand und nur bei Änderungen im Unter­nehmen anzupassen. Eine regel­mä­ßige Überprü­fung (mindes­tens 1x jährlich) sollte aber einge­plant werden.

In diesem Verzeichnis halten Sie (verein­facht gesagt) neben der Firmen­be­zeich­nung (Vereins­be­zeich­nung), den Kontakt­daten und dem Namen der/des Verant­wort­li­chen (Firmeninhaber:in oder Vereinsobmann/Vereinsobfrau) fest, welche Daten­an­wen­dungen Sie haben. Denken Sie dabei auch an “Selbst­ver­ständ­lich­keiten” wie das Adress­buch im Outlook, der Kalender und die Adressen auf dem Handy (auch auf den Handys der Mitarbeiter:innen), Kartei­kästen, Rechnungen und auch Banküber­wei­sungen und ähnliches.

Alle diese Daten­an­wen­dungen und die dazu gehörenden Verar­bei­tungs­vor­gänge listen Sie im Verzeichnis der Verar­bei­tungs­tätig­keiten penibel auf. Dabei sind folgende Daten notwendig:

• Daten­an­wen­dung (z.B. Kundenverwaltung)
• Betrof­fene Personen (z.B. Kund:innen, Interessent:innen)
• Daten, die Sie in dieser Daten­an­wen­dung verwalten (z.B. Name, Anschrift, Telefon, …, Geburts­datum, …, was wann eingekauft, … )
• Die Empfänger, die auf diese Daten Zugriff haben (Mitarbeiter:innen, Buchhal­tung, Inkasso, Rechts­ver­tre­tung Steuerberater:in, Bank etc.)
• Übermitt­lung in ein Dritt­land (wenn gegeben)

Optional, aber empfohlen ist, in dieses Verzeichnis auch

• Die Rechts­grund­lage für die Verar­bei­tung (z.B. Zustimmungserklärung)
• Die vorge­se­henen Fristen für die Löschung der verschie­denen Daten­ka­te­go­rien (nach Möglichkeit)
• Eine allge­meine Beschrei­bung der techni­schen und organi­sa­to­ri­schen Daten­si­cher­heits­maß­nahmen (nach Möglichkeit)

aufzu­nehmen.

Ein Muster dazu finden Sie bei der WKO. Gerne kann ich Ihnen auch eine elektro­ni­sche Vorlage (Excel) zur Verfü­gung stellen.

Zusätz­lich dazu sollten Sie mit Ihren Auftragsverarbeiter:innen (Lohnverrechner:innen, Web-Hoster:innen, IT-Dienstleister:innen etc.) einen Vertrag abschließen. Auch hier stellt die WKO die passende Vorlage zur Verfü­gung.

Auch Ihre Auftragsverarbeiter:innen sind verpflichtet, die für Sie durch­ge­führten Verar­bei­tungen zu dokumentieren:

• Name und Kontakt­daten der/des Auftragsverarbeiter:in
• Name und Kontakt­daten der/des Verant­wort­li­chem beim Auftraggeber
• Katego­rien der Verar­bei­tungen, die im Auftrag durch­ge­führt werden (Webhos­ting, Email, Lohnver­rech­nung etc.)
• Eventuell Übermitt­lung in ein Dritt­land inkl. notwen­diger Garantien
• Allge­meine Dokumen­ta­tion der techni­schen und organi­sa­to­ri­sche Maßnahmen zur Daten­si­cher­heit (TOMs)

Im Ideal­fall erhalten Sie eine Kopie dieser Dokumen­ta­tion (das ist aber nicht verpflichtend).

Kommen Sie Ihrer Dokumen­ta­ti­ons­pflicht nicht nach, beträgt die Strafe 2% des (inter­na­tio­nalen) letzt­jäh­rigen Jahres­um­satzes oder maximal 10 Millionen Euro.