Dokumentation der Datenverarbeitung

Wie verwenden Sie die Daten?

Eine wichtige Pflicht im Rahmen der EU-Datenschutz-Grundverordnung (DSGVO) ist die Dokumentation. Ein Element davon ist das Verzeichnis der Verarbeitungstätigkeiten.

von | 3. April 2018

Wenn die Datenschutzbehörde (DSB) bei Ihnen anklopft, müssen Sie als Unternehmer:in nachweisen, dass Sie die Gesetze zum Datenschutz einhalten. Ein Instrument, um nachzuvollziehen wo Sie überall Daten verarbeiten, ist das

„Verzeichnis der Verarbeitungstätigkeiten“

Alle vorhandenen Datenverarbeitungen – nicht jedoch einzelne Datensätze – werden im Verarbeitungsverzeichnis aufgelistet. D.h., es bietet einen Überblick über die Datenverarbeitungs-Vorgänge in einem Unternehmen. Dadurch ist dieses Verzeichnis ein einmaliger Aufwand und nur bei Änderungen im Unternehmen anzupassen. Eine regelmäßige Überprüfung (mindestens 1x jährlich) sollte aber eingeplant werden.

In diesem Verzeichnis halten Sie (vereinfacht gesagt) neben der Firmenbezeichnung (Vereinsbezeichnung), den Kontaktdaten und dem Namen der/des Verantwortlichen (Firmeninhaber:in oder Vereinsobmann/Vereinsobfrau) fest, welche Datenanwendungen Sie haben. Denken Sie dabei auch an „Selbstverständlichkeiten“ wie das Adressbuch im Outlook, der Kalender und die Adressen auf dem Handy (auch auf den Handys der Mitarbeiter:innen), Karteikästen, Rechnungen und auch Banküberweisungen und ähnliches.

Alle diese Datenanwendungen und die dazu gehörenden Verarbeitungsvorgänge listen Sie im Verzeichnis der Verarbeitungstätigkeiten penibel auf. Dabei sind folgende Daten notwendig:

  • Datenanwendung (z.B. Kundenverwaltung)
  • Betroffene Personen (z.B. Kund:innen, Interessent:innen)
  • Daten, die Sie in dieser Datenanwendung verwalten (z.B. Name, Anschrift, Telefon, …, Geburtsdatum, …, was wann eingekauft, … )
  • Die Empfänger, die auf diese Daten Zugriff haben (Mitarbeiter:innen, Buchhaltung, Inkasso, Rechtsvertretung Steuerberater:in, Bank etc.)
  • Übermittlung in ein Drittland (wenn gegeben)

Optional, aber empfohlen ist, in dieses Verzeichnis auch

  • Die Rechtsgrundlage für die Verarbeitung (z.B. Zustimmungserklärung)
  • Die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien (nach Möglichkeit)
  • Eine allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen (nach Möglichkeit)

aufzunehmen.

Ein Muster dazu finden Sie bei der WKO. Gerne kann ich Ihnen auch eine elektronische Vorlage (Excel) zur Verfügung stellen.

Auftragsverarbeiter

Zusätzlich dazu sollten Sie mit Ihren Auftragsverarbeiter:innen (Lohnverrechner:innen, Web-Hoster:innen, IT-Dienstleister:innen etc.) einen Vertrag abschließen. Auch hier stellt die WKO die passende Vorlage zur Verfügung.

Auch Ihre Auftragsverarbeiter:innen sind verpflichtet, die für Sie durchgeführten Verarbeitungen zu dokumentieren:

  • Name und Kontaktdaten der/des Auftragsverarbeiter:in
  • Name und Kontaktdaten der/des Verantwortlichem beim Auftraggeber
  • Kategorien der Verarbeitungen, die im Auftrag durchgeführt werden (Webhosting, Email, Lohnverrechnung etc.)
  • Eventuell Übermittlung in ein Drittland inkl. notwendiger Garantien
  • Allgemeine Dokumentation der technischen und organisatorische Maßnahmen zur Datensicherheit (TOMs)

Im Idealfall erhalten Sie eine Kopie dieser Dokumentation (das ist aber nicht verpflichtend).

Kommen Sie Ihrer Dokumentationspflicht nicht nach, beträgt die Strafe 2% des (internationalen) letztjährigen Jahresumsatzes oder maximal 10 Millionen Euro.

Weiterführende Links

Dokumentation der Datenverarbeitung

Wie verwenden Sie die Daten?

Eine wichtige Pflicht im Rahmen der EU-Datenschutz-Grundverordnung (DSGVO) ist die Dokumentation. Ein Element davon ist das Verzeichnis der Verarbeitungstätigkeiten.

von | 3. April 2018

Wenn die Datenschutzbehörde (DSB) bei Ihnen anklopft, müssen Sie als Unternehmer:in nachweisen, dass Sie die Gesetze zum Datenschutz einhalten. Ein Instrument, um nachzuvollziehen wo Sie überall Daten verarbeiten, ist das

„Verzeichnis der Verarbeitungstätigkeiten“

Alle vorhandenen Datenverarbeitungen – nicht jedoch einzelne Datensätze – werden im Verarbeitungsverzeichnis aufgelistet. D.h., es bietet einen Überblick über die Datenverarbeitungs-Vorgänge in einem Unternehmen. Dadurch ist dieses Verzeichnis ein einmaliger Aufwand und nur bei Änderungen im Unternehmen anzupassen. Eine regelmäßige Überprüfung (mindestens 1x jährlich) sollte aber eingeplant werden.

In diesem Verzeichnis halten Sie (vereinfacht gesagt) neben der Firmenbezeichnung (Vereinsbezeichnung), den Kontaktdaten und dem Namen der/des Verantwortlichen (Firmeninhaber:in oder Vereinsobmann/Vereinsobfrau) fest, welche Datenanwendungen Sie haben. Denken Sie dabei auch an „Selbstverständlichkeiten“ wie das Adressbuch im Outlook, der Kalender und die Adressen auf dem Handy (auch auf den Handys der Mitarbeiter:innen), Karteikästen, Rechnungen und auch Banküberweisungen und ähnliches.

Alle diese Datenanwendungen und die dazu gehörenden Verarbeitungsvorgänge listen Sie im Verzeichnis der Verarbeitungstätigkeiten penibel auf. Dabei sind folgende Daten notwendig:

  • Datenanwendung (z.B. Kundenverwaltung)
  • Betroffene Personen (z.B. Kund:innen, Interessent:innen)
  • Daten, die Sie in dieser Datenanwendung verwalten (z.B. Name, Anschrift, Telefon, …, Geburtsdatum, …, was wann eingekauft, … )
  • Die Empfänger, die auf diese Daten Zugriff haben (Mitarbeiter:innen, Buchhaltung, Inkasso, Rechtsvertretung Steuerberater:in, Bank etc.)
  • Übermittlung in ein Drittland (wenn gegeben)

Optional, aber empfohlen ist, in dieses Verzeichnis auch

  • Die Rechtsgrundlage für die Verarbeitung (z.B. Zustimmungserklärung)
  • Die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien (nach Möglichkeit)
  • Eine allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen (nach Möglichkeit)

aufzunehmen.

Ein Muster dazu finden Sie bei der WKO. Gerne kann ich Ihnen auch eine elektronische Vorlage (Excel) zur Verfügung stellen.

Auftragsverarbeiter

Zusätzlich dazu sollten Sie mit Ihren Auftragsverarbeiter:innen (Lohnverrechner:innen, Web-Hoster:innen, IT-Dienstleister:innen etc.) einen Vertrag abschließen. Auch hier stellt die WKO die passende Vorlage zur Verfügung.

Auch Ihre Auftragsverarbeiter:innen sind verpflichtet, die für Sie durchgeführten Verarbeitungen zu dokumentieren:

  • Name und Kontaktdaten der/des Auftragsverarbeiter:in
  • Name und Kontaktdaten der/des Verantwortlichem beim Auftraggeber
  • Kategorien der Verarbeitungen, die im Auftrag durchgeführt werden (Webhosting, Email, Lohnverrechnung etc.)
  • Eventuell Übermittlung in ein Drittland inkl. notwendiger Garantien
  • Allgemeine Dokumentation der technischen und organisatorische Maßnahmen zur Datensicherheit (TOMs)

Im Idealfall erhalten Sie eine Kopie dieser Dokumentation (das ist aber nicht verpflichtend).

Kommen Sie Ihrer Dokumentationspflicht nicht nach, beträgt die Strafe 2% des (internationalen) letztjährigen Jahresumsatzes oder maximal 10 Millionen Euro.

Weiterführende Links

0 Kommentare

Einen Kommentar abschicken

Weitere Beiträge

KMU digital 3.0

KMU digital 3.0

Der regionale Markt steht still, das Geschäft ist geschlossen, die Kund:innen müssen zu Hause bleiben. Wie erreichen Sie Ihre Käufer:innen in Zukunft? Was müssen Sie tun?

DSGVO-Quiz

DSGVO-Quiz

Sie wohnen in der Schweiz, verkaufen aber an EU-Bürger:innen? Wissen Sie, ob Sie der DSGVO unterliegen? Finden Sie es heraus.

KMU digital 3.0

KMU digital 3.0

Der regionale Markt steht still, das Geschäft ist geschlossen, die Kund:innen müssen zu Hause bleiben. Wie erreichen Sie Ihre Käufer:innen in Zukunft? Was müssen Sie tun?

DSGVO-Quiz

DSGVO-Quiz

Sie wohnen in der Schweiz, verkaufen aber an EU-Bürger:innen? Wissen Sie, ob Sie der DSGVO unterliegen? Finden Sie es heraus.

Neugierig?

Senden Sie uns eine Nachricht, wir melden uns dann bei Ihnen - per Email oder wenn Sie es wünschen auch gerne telefonisch.

Buchen Sie direkt Ihren persönlichen Beratungstermin

Die Terminbuchung erfolgt über YouCanBookMe mit Sitz in Großbritannien und den Google-Kalender. Ihre Daten werden auch an Firmen in den USA übertragen, die alle unter dem EU-US Privacy Shield sind.

Alle Daten, die Sie uns über dieses Formular übermitteln, werden verschlüsselt an uns gesendet. Sie werden zur Bearbeitung Ihrer Anfrage verwendet.

Wir übertragen Ihre Daten automatisch auch in unser Newsletter-System. Sie erhalten zur Bestätigung Ihres Abonnements für unseren Newsletter eine Bestätigungs-E-Mail. Nur mit Bestätigung Ihrer Eintragung (Double-Opt-In) werden wir Ihre E-Mail-Adresse speichern und Ihnen Informationen zusenden. Sie können Ihre Zustimmung jederzeit widerrufen – einen Link dazu finden Sie jeweils am Ende unserer Zusendungen.

In unserer Datenschutzerklärung finden Sie die vollständigen Informationen zur Datenverwendung.