Dokumentation der Datenverarbeitung
Wie verwenden Sie die Daten?
Wenn die Datenschutzbehörde (DSB) bei Ihnen anklopft, müssen Sie als Unternehmer:in nachweisen, dass Sie die Gesetze zum Datenschutz einhalten. Ein Instrument, um nachzuvollziehen wo Sie überall Daten verarbeiten, ist das
"Verzeichnis der Verarbeitungstätigkeiten"
Alle vorhandenen Datenverarbeitungen – nicht jedoch einzelne Datensätze – werden im Verarbeitungsverzeichnis aufgelistet. D.h., es bietet einen Überblick über die Datenverarbeitungs-Vorgänge in einem Unternehmen. Dadurch ist dieses Verzeichnis ein einmaliger Aufwand und nur bei Änderungen im Unternehmen anzupassen. Eine regelmäßige Überprüfung (mindestens 1x jährlich) sollte aber eingeplant werden.
In diesem Verzeichnis halten Sie (vereinfacht gesagt) neben der Firmenbezeichnung (Vereinsbezeichnung), den Kontaktdaten und dem Namen der/des Verantwortlichen (Firmeninhaber:in oder Vereinsobmann/Vereinsobfrau) fest, welche Datenanwendungen Sie haben. Denken Sie dabei auch an „Selbstverständlichkeiten“ wie das Adressbuch im Outlook, der Kalender und die Adressen auf dem Handy (auch auf den Handys der Mitarbeiter:innen), Karteikästen, Rechnungen und auch Banküberweisungen und ähnliches.
Alle diese Datenanwendungen und die dazu gehörenden Verarbeitungsvorgänge listen Sie im Verzeichnis der Verarbeitungstätigkeiten penibel auf. Dabei sind folgende Daten notwendig:
- Datenanwendung (z.B. Kundenverwaltung)
- Betroffene Personen (z.B. Kund:innen, Interessent:innen)
- Daten, die Sie in dieser Datenanwendung verwalten (z.B. Name, Anschrift, Telefon, …, Geburtsdatum, …, was wann eingekauft, … )
- Die Empfänger, die auf diese Daten Zugriff haben (Mitarbeiter:innen, Buchhaltung, Inkasso, Rechtsvertretung Steuerberater:in, Bank etc.)
- Übermittlung in ein Drittland (wenn gegeben)
Optional, aber empfohlen ist, in dieses Verzeichnis auch
- Die Rechtsgrundlage für die Verarbeitung (z.B. Zustimmungserklärung)
- Die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien (nach Möglichkeit)
- Eine allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen (nach Möglichkeit)
aufzunehmen.
Ein Muster dazu finden Sie bei der WKO. Gerne kann ich Ihnen auch eine elektronische Vorlage (Excel) zur Verfügung stellen.
Auftragsverarbeiter
Zusätzlich dazu sollten Sie mit Ihren Auftragsverarbeiter:innen (Lohnverrechner:innen, Web-Hoster:innen, IT-Dienstleister:innen etc.) einen Vertrag abschließen. Auch hier stellt die WKO die passende Vorlage zur Verfügung.
Auch Ihre Auftragsverarbeiter:innen sind verpflichtet, die für Sie durchgeführten Verarbeitungen zu dokumentieren:
- Name und Kontaktdaten der/des Auftragsverarbeiter:in
- Name und Kontaktdaten der/des Verantwortlichem beim Auftraggeber
- Kategorien der Verarbeitungen, die im Auftrag durchgeführt werden (Webhosting, Email, Lohnverrechnung etc.)
- Eventuell Übermittlung in ein Drittland inkl. notwendiger Garantien
- Allgemeine Dokumentation der technischen und organisatorische Maßnahmen zur Datensicherheit (TOMs)
Im Idealfall erhalten Sie eine Kopie dieser Dokumentation (das ist aber nicht verpflichtend).
Kommen Sie Ihrer Dokumentationspflicht nicht nach, beträgt die Strafe 2% des (internationalen) letztjährigen Jahresumsatzes oder maximal 10 Millionen Euro.
Weiterführende Links
Weitere Beiträge
Mit einfachen Mitteln sichtbar werden
Positionieren Sie sich als Kleinunternehmen besser. Es gibt eine Reihe kostenlose Angebote großer Firmen, die Sie nur für sich nutzen müssen.
DSGVO-Tipps: Mein Smartphone gehört mir
Mobiles Arbeiten ist heute Alltag. Richten Sie für Ihr Handy einen Zugriffsschutz ein. Stellen Sie sicher, dass Sie Ihr Handy bei Diebstahl löschen können.
Digitaler Plausch IT-Sicherheit
Setzen Sie jetzt den ersten Schritt zu mehr IT-Sicherheit! Tipps von der Fachfrau, die Sie wirklich weiterbringen.
DSGVO-Tipps: Das Passwort unter der Tastatur
Das Passwort unter der Tastatur ermuntert unbefugten Zugriff. Ein sicheres Passwort besteht aus den Anfangsbuchstaben der Wörter eines Satzes inkl. Satzzeichen.
DSGVO-Tipps: 5 Wege aufzuräumen
Schützen Sie Daten vor unberechtigtem Zugriff. Lassen Sie Vertrauliches nicht offen liegen. Sperren Sie den Bildschirm. Nutzen Sie Privacy Screen und Schredder.
DSGVO-Tipps: Altpapier ist pure Information
Sie werfen Unterlagen, Rechnungen, Mahnungen und ähnliches einfach ins Altpapier? Wie unvorsichtig! Wissen Sie, wer Ihr Altpapier holt und was damit geschieht?
DSGVO-Tipps: Zuerst denken, dann klicken!
Nein, Ihr IT-Support fragt Sie nicht per E-Mail nach Ihrem Passwort. Auch Ihre Bank, Ihr Kreditkartenunternehmen fragt Ihre Logindaten nicht per E-Mail ab.
DSGVO-Quiz
Sie wohnen in der Schweiz, verkaufen aber an EU-Bürger:innen? Wissen Sie, ob Sie der DSGVO unterliegen? Finden Sie es heraus.
Handy-Apps als Datensammler
Wie geht es dir heute? Hast du gut geschlafen? Die Fragen erscheinen unverfänglich, unwichtig, nebensächlich. Sind sie das wirklich?
Der Ablauf eines Auskunftsersuchens
Natürliche Personen, die von einer Datenverarbeitung betroffen sind, haben spezifische Rechte. Bei Begehren zu den Betroffenenrechten haben Sie Auskunftspflicht.
5 Dinge, die Sie vor dem 25. Mai 2018 tun sollten
Die Uhr tickt! Sind Sie bereit für die DSGVO? Erfahren Sie, welche Dinge Sie unbedingt noch vor dem 25. Mai 2018 abarbeiten sollten. Es ist weniger kompliziert als Sie denken, aber Sie müssen etwas tun!
Grundsätze der Datenverarbeitung
Speichern und verarbeiten Sie nur Daten, die Sie für Ihre Zwecke benötigen bzw. Daten, die Sie auch speichern und verarbeiten dürfen. Machen Sie die Vorgänge transparent.
Erweiterte Informationspflichten
Durch die DSGVO treten mit 25. Mai 2018 erweiterte Informationspflichten für Unternehmern_innen und Vereine in Kraft. Dadurch wird für Kund_innen die Verwendung ihrer Daten klarer.
Rechtmäßigkeit der Verarbeitung
Um Daten systematisch zu verarbeiten - und da reicht schon eine Kundenkartei - muss die Verarbeitung auf einer Rechtsgrundlage beruhen. Was ist darunter zu verstehen?
Die DSGVO betrifft auch Sie!
99% aller Unternehmer_innen müssen zumindest die Dokumentationspflichten erfüllen. Sie gehören dazu, sobald Sie Adressen auf Ihrem Handy haben - oder auch nur einen Karteikasten mit Kundendaten.
Mit einfachen Mitteln sichtbar werden
Positionieren Sie sich als Kleinunternehmen besser. Es gibt eine Reihe kostenlose Angebote großer Firmen, die Sie nur für sich nutzen müssen.
DSGVO-Tipps: Mein Smartphone gehört mir
Mobiles Arbeiten ist heute Alltag. Richten Sie für Ihr Handy einen Zugriffsschutz ein. Stellen Sie sicher, dass Sie Ihr Handy bei Diebstahl löschen können.
Digitaler Plausch IT-Sicherheit
Setzen Sie jetzt den ersten Schritt zu mehr IT-Sicherheit! Tipps von der Fachfrau, die Sie wirklich weiterbringen.
DSGVO-Tipps: Das Passwort unter der Tastatur
Das Passwort unter der Tastatur ermuntert unbefugten Zugriff. Ein sicheres Passwort besteht aus den Anfangsbuchstaben der Wörter eines Satzes inkl. Satzzeichen.
DSGVO-Tipps: 5 Wege aufzuräumen
Schützen Sie Daten vor unberechtigtem Zugriff. Lassen Sie Vertrauliches nicht offen liegen. Sperren Sie den Bildschirm. Nutzen Sie Privacy Screen und Schredder.
DSGVO-Tipps: Altpapier ist pure Information
Sie werfen Unterlagen, Rechnungen, Mahnungen und ähnliches einfach ins Altpapier? Wie unvorsichtig! Wissen Sie, wer Ihr Altpapier holt und was damit geschieht?
DSGVO-Tipps: Zuerst denken, dann klicken!
Nein, Ihr IT-Support fragt Sie nicht per E-Mail nach Ihrem Passwort. Auch Ihre Bank, Ihr Kreditkartenunternehmen fragt Ihre Logindaten nicht per E-Mail ab.
DSGVO-Quiz
Sie wohnen in der Schweiz, verkaufen aber an EU-Bürger:innen? Wissen Sie, ob Sie der DSGVO unterliegen? Finden Sie es heraus.
Handy-Apps als Datensammler
Wie geht es dir heute? Hast du gut geschlafen? Die Fragen erscheinen unverfänglich, unwichtig, nebensächlich. Sind sie das wirklich?
Der Ablauf eines Auskunftsersuchens
Natürliche Personen, die von einer Datenverarbeitung betroffen sind, haben spezifische Rechte. Bei Begehren zu den Betroffenenrechten haben Sie Auskunftspflicht.
5 Dinge, die Sie vor dem 25. Mai 2018 tun sollten
Die Uhr tickt! Sind Sie bereit für die DSGVO? Erfahren Sie, welche Dinge Sie unbedingt noch vor dem 25. Mai 2018 abarbeiten sollten. Es ist weniger kompliziert als Sie denken, aber Sie müssen etwas tun!
Grundsätze der Datenverarbeitung
Speichern und verarbeiten Sie nur Daten, die Sie für Ihre Zwecke benötigen bzw. Daten, die Sie auch speichern und verarbeiten dürfen. Machen Sie die Vorgänge transparent.
Erweiterte Informationspflichten
Durch die DSGVO treten mit 25. Mai 2018 erweiterte Informationspflichten für Unternehmern_innen und Vereine in Kraft. Dadurch wird für Kund_innen die Verwendung ihrer Daten klarer.
Rechtmäßigkeit der Verarbeitung
Um Daten systematisch zu verarbeiten - und da reicht schon eine Kundenkartei - muss die Verarbeitung auf einer Rechtsgrundlage beruhen. Was ist darunter zu verstehen?
Die DSGVO betrifft auch Sie!
99% aller Unternehmer_innen müssen zumindest die Dokumentationspflichten erfüllen. Sie gehören dazu, sobald Sie Adressen auf Ihrem Handy haben - oder auch nur einen Karteikasten mit Kundendaten.
0 Kommentare