Dokumen­ta­tion der Daten­ver­ar­bei­tung

Wie verwenden Sie die Daten!

 

Eine wichtige Pflicht im Rahmen der EU-Daten­schutz-Grund­ver­ord­nung (DSGVO) ist die Dokumen­ta­tion. Ein Element davon ist das Verzeichnis der Verar­bei­tungs­tätig­keiten.

von | 3. April 2018

Wenn die Daten­schutz­be­hörde (DSB) bei Ihnen anklopft, müssen Sie als Unternehmer_in nachweisen, dass Sie die Gesetze zum Daten­schutz einhalten. Ein Instru­ment, um nachzu­voll­ziehen wo Sie überall Daten verar­beiten, ist das

Verzeichnis der Verar­bei­tungs­tätig­keiten”

Alle vorhan­denen Daten­ver­ar­bei­tungen – nicht jedoch einzelne Daten­sätze – werden im Verar­bei­tungs­ver­zeichnis aufge­listet. D.h., es bietet einen Überblick über die Daten­ver­ar­bei­tungs-Vorgänge in einem Unter­nehmen. Dadurch ist dieses Verzeichnis ein einma­liger Aufwand und nur bei Änderungen im Unter­nehmen anzupassen. Eine regel­mä­ßige Überprü­fung (mindes­tens 1x jährlich) sollte aber einge­plant werden.

In diesem Verzeichnis halten Sie (verein­facht gesagt) neben der Firmen­be­zeich­nung (Vereins­be­zeich­nung), den Kontakt­daten und dem Namen der/des Verant­wort­li­chen (Firmeninhaber_in oder Vereinsobmann/Vereinsobfrau) fest, welche Daten­an­wen­dungen Sie haben. Denken Sie dabei auch an “Selbst­ver­ständ­lich­keiten” wie das Adress­buch im Outlook, der Kalender und die Adressen auf dem Handy (auch auf den Handys der Mitarbeiter_innen), Kartei­kästen, Rechnungen und auch Banküber­wei­sungen und ähnli­ches.

Alle diese Daten­an­wen­dungen und die dazu gehörenden Verar­bei­tungs­vor­gänge listen Sie im Verzeichnis der Verar­bei­tungs­tätig­keiten penibel auf. Dabei sind folgende Daten notwendig:

  • Daten­an­wen­dung (z.B. Kunden­ver­wal­tung)
  • Betrof­fene Personen (z.B. Kund_innen, Interessent_innen)
  • Daten, die Sie in dieser Daten­an­wen­dung verwalten (z.B. Name, Anschrift, Telefon, …, Geburts­datum, …, was wann einge­kauft, … )
  • Die Empfänger, die auf diese Daten Zugriff haben (Mitarbeiter_innen, Buchhal­tung, Inkasso, Rechts­ver­tre­tung Steuerberater_in, Bank etc.)
  • Übermitt­lung in ein Dritt­land (wenn gegeben)

Optional, aber empfohlen ist, in dieses Verzeichnis auch

  • Die Rechts­grund­lage für die Verar­bei­tung (z.B. Zustim­mungs­er­klä­rung)
  • Die vorge­se­henen Fristen für die Löschung der verschie­denen Daten­ka­te­go­rien (nach Möglich­keit)
  • Eine allge­meine Beschrei­bung der techni­schen und organi­sa­to­ri­schen Daten­si­cher­heits­maß­nahmen (nach Möglich­keit)

aufzu­nehmen.

Ein Muster dazu finden Sie bei der WKO. Gerne kann ich Ihnen auch eine elektro­ni­sche Vorlage (Excel) zur Verfü­gung stellen.

Auftrags­ver­ar­beiter

Zusätz­lich dazu sollten Sie mit Ihren Auftrags­ver­ar­bei­tern (Lohnver­rechner, Web-Hoster, IT-Dienst­leister etc.) einen Vertrag abschließen. Auch hier stellt die WKO die passende Vorlage zur Verfü­gung.

Auch Ihre Auftrags­ver­ar­beiter sind verpflichtet, die für Sie durch­ge­führten Verar­bei­tungen zu dokumen­tieren:

  • Name und Kontakt­daten des Auftrags­ver­ar­beiter
  • Name und Kontakt­daten des Verant­wort­li­chem beim Auftrag­geber
  • Katego­rien der Verar­bei­tungen, die im Auftrag durch­ge­führt werden (Webhos­ting, Email, Lohnver­rech­nung etc.)
  • Eventuell Übermitt­lung in ein Dritt­land inkl. notwen­diger Garan­tien
  • Allge­meine Dokumen­ta­tion der techni­schen und organi­sa­to­ri­sche Maßnahmen zur Daten­si­cher­heit (TOMs)

Im Ideal­fall erhalten Sie eine Kopie dieser Dokumen­ta­tion (das ist aber nicht verpflich­tend).

Kommen Sie Ihrer Dokumen­ta­ti­ons­pflicht nicht nach, beträgt die Strafe 2% des (inter­na­tio­nalen) letzt­jäh­rigen Jahres­um­satzes oder maximal 10 Millionen Euro.

Weiter­füh­rende Links

0 Kommen­tare

Einen Kommentar abschi­cken

Deine E-Mail-Adresse wird nicht veröf­fent­licht. Erfor­der­liche Felder sind mit * markiert.

Sie benötigen Unter­stützung?

Senden Sie uns eine Nachricht, wir melden uns dann bei Ihnen – per Email oder wenn Sie es wünschen auch gerne telefo­nisch.

12 + 13 =

Die Termin­bu­chung erfolgt über Doodle und den Google-Kalender. Daher werden Ihre Daten in die Schweiz (Doodle) und unter Umständen auch in die USA (Google) übertragen.

Alle Daten, die Sie uns über dieses Formular übermit­teln, werden verschlüs­selt an uns gesendet. Sie werden ausschließ­lich zur Bearbei­tung der jewei­ligen Anfrage verwendet.

In unserer Daten­schutz­er­klä­rung finden Sie die vollstän­digen Infor­ma­tionen zur Daten­ver­wen­dung.