Dokumen­ta­tion der Datenverarbeitung

Wie verwenden Sie die Daten!

 

Eine wichtige Pflicht im Rahmen der EU-Daten­schutz-Grund­ver­ord­nung (DSGVO) ist die Dokumen­ta­tion. Ein Element davon ist das Verzeichnis der Verarbeitungstätigkeiten.

von | 3. April 2018

Wenn die Daten­schutz­be­hörde (DSB) bei Ihnen anklopft, müssen Sie als Unternehmer_in nachweisen, dass Sie die Gesetze zum Daten­schutz einhalten. Ein Instru­ment, um nachzu­voll­ziehen wo Sie überall Daten verar­beiten, ist das

Verzeichnis der Verarbeitungstätigkeiten”

Alle vorhan­denen Daten­ver­ar­bei­tungen – nicht jedoch einzelne Daten­sätze – werden im Verar­bei­tungs­ver­zeichnis aufge­listet. D.h., es bietet einen Überblick über die Daten­ver­ar­bei­tungs-Vorgänge in einem Unter­nehmen. Dadurch ist dieses Verzeichnis ein einma­liger Aufwand und nur bei Änderungen im Unter­nehmen anzupassen. Eine regel­mä­ßige Überprü­fung (mindes­tens 1x jährlich) sollte aber einge­plant werden.

In diesem Verzeichnis halten Sie (verein­facht gesagt) neben der Firmen­be­zeich­nung (Vereins­be­zeich­nung), den Kontakt­daten und dem Namen der/des Verant­wort­li­chen (Firmeninhaber_in oder Vereinsobmann/Vereinsobfrau) fest, welche Daten­an­wen­dungen Sie haben. Denken Sie dabei auch an “Selbst­ver­ständ­lich­keiten” wie das Adress­buch im Outlook, der Kalender und die Adressen auf dem Handy (auch auf den Handys der Mitarbeiter_innen), Kartei­kästen, Rechnungen und auch Banküber­wei­sungen und ähnliches.

Alle diese Daten­an­wen­dungen und die dazu gehörenden Verar­bei­tungs­vor­gänge listen Sie im Verzeichnis der Verar­bei­tungs­tätig­keiten penibel auf. Dabei sind folgende Daten notwendig:

  • Daten­an­wen­dung (z.B. Kundenverwaltung)
  • Betrof­fene Personen (z.B. Kund_innen, Interessent_innen)
  • Daten, die Sie in dieser Daten­an­wen­dung verwalten (z.B. Name, Anschrift, Telefon, …, Geburts­datum, …, was wann eingekauft, … )
  • Die Empfänger, die auf diese Daten Zugriff haben (Mitarbeiter_innen, Buchhal­tung, Inkasso, Rechts­ver­tre­tung Steuerberater_in, Bank etc.)
  • Übermitt­lung in ein Dritt­land (wenn gegeben)

Optional, aber empfohlen ist, in dieses Verzeichnis auch

  • Die Rechts­grund­lage für die Verar­bei­tung (z.B. Zustimmungserklärung)
  • Die vorge­se­henen Fristen für die Löschung der verschie­denen Daten­ka­te­go­rien (nach Möglichkeit)
  • Eine allge­meine Beschrei­bung der techni­schen und organi­sa­to­ri­schen Daten­si­cher­heits­maß­nahmen (nach Möglichkeit)

aufzu­nehmen.

Ein Muster dazu finden Sie bei der WKO. Gerne kann ich Ihnen auch eine elektro­ni­sche Vorlage (Excel) zur Verfü­gung stellen.

Auftrags­ver­ar­beiter

Zusätz­lich dazu sollten Sie mit Ihren Auftrags­ver­ar­bei­tern (Lohnver­rechner, Web-Hoster, IT-Dienst­leister etc.) einen Vertrag abschließen. Auch hier stellt die WKO die passende Vorlage zur Verfü­gung.

Auch Ihre Auftrags­ver­ar­beiter sind verpflichtet, die für Sie durch­ge­führten Verar­bei­tungen zu dokumentieren:

  • Name und Kontakt­daten des Auftragsverarbeiter
  • Name und Kontakt­daten des Verant­wort­li­chem beim Auftraggeber
  • Katego­rien der Verar­bei­tungen, die im Auftrag durch­ge­führt werden (Webhos­ting, Email, Lohnver­rech­nung etc.)
  • Eventuell Übermitt­lung in ein Dritt­land inkl. notwen­diger Garantien
  • Allge­meine Dokumen­ta­tion der techni­schen und organi­sa­to­ri­sche Maßnahmen zur Daten­si­cher­heit (TOMs)

Im Ideal­fall erhalten Sie eine Kopie dieser Dokumen­ta­tion (das ist aber nicht verpflichtend).

Kommen Sie Ihrer Dokumen­ta­ti­ons­pflicht nicht nach, beträgt die Strafe 2% des (inter­na­tio­nalen) letzt­jäh­rigen Jahres­um­satzes oder maximal 10 Millionen Euro.

Weiter­füh­rende Links

0 Kommen­tare

Einen Kommentar abschi­cken

Neugierig?

Senden Sie uns eine Nachricht, wir melden uns dann bei Ihnen – per Email oder wenn Sie es wünschen auch gerne telefonisch.

Buchen Sie direkt Ihren persön­li­chen Beratungstermin

Die Termin­bu­chung erfolgt über YouCan­BookMe mit Sitz in Großbri­tan­nien und den Google-Kalender. Ihre Daten werden auch an Firmen in den USA übertragen, die alle unter dem EU-US Privacy Shield sind.

Alle Daten, die Sie uns über dieses Formular übermit­teln, werden verschlüs­selt an uns gesendet. Sie werden zur Bearbei­tung Ihrer Anfrage verwendet.

Wir übertragen Ihre Daten automa­tisch auch in unser Newsletter-System. Sie erhalten zur Bestä­ti­gung Ihres Abonne­ments für unseren Newsletter eine Bestä­ti­gungs-E-Mail. Nur mit Bestä­ti­gung Ihrer Eintra­gung (Double-Opt-In) werden wir Ihre E‑Mail-Adresse speichern und Ihnen Infor­ma­tionen zusenden. Sie können Ihre Zustim­mung jeder­zeit wider­rufen – einen Link dazu finden Sie jeweils am Ende unserer Zusendungen.

In unserer Daten­schutz­er­klä­rung finden Sie die vollstän­digen Infor­ma­tionen zur Datenverwendung.