Ein Verfahrensverzeichnis erstellen hört sich kompliziert an. Wer braucht es? Wie muss es erstellt werden? Was muss man darin aufnehmen?
Fragen über Fragen. Mit diesem Beitrag möchte ich Ihnen eine einfache Anleitung geben, wie Sie dieses vermeintlich komplexe Gebilde doch relativ unkompliziert umsetzen können.
Noch ein Vorwort, weil wir immer mal wieder darauf angesprochen werden: In der DSGVO heißt es „Verzeichnis von Verarbeitungstätigkeiten“. Wir verwenden hier den Begriff „Verfahrensverzeichnis“ als Synonym, da sich dieser in der Praxis eingebürgert hat.
Inhaltsverzeichnis
Auf den Punkt gebracht: Das Verfahrensverzeichnis im Datenschutz (Verzeichnis von Verarbeitungstätigkeiten)
Das Verarbeitungsverzeichnis ist das Herzstück des Datenschutzmanagements. Daraus leiten sich alle weiteren Schritte ab.
Eine einfache Excel Liste (siehe Muster) reicht aus, um die gesetzlichen Anforderungen abzudecken.
Erfassen Sie die Verfahren mit Sinn und Verstand. Ziel ist eine Übersicht, die zur Einschätzung der Risiken dient.
Es geht beim VVZ nicht darum, eine Handlungsanleitung für die Bearbeitung der Verfahren zu erstellen (keine Arbeitsanweisung).
Was ist ein Verfahrensverzeichnis?
Der Name im Gesetz lautet „Verzeichnis von Verarbeitungstätigkeiten“. Unter den Verarbeitungstätigkeiten im Sinne des Datenschutzes versteht man alle Vorgänge im Unternehmen, die personenbezogene Daten verarbeiten. Vereinfacht gesagt: Wo kommen Sie, Ihre Kollegen oder Ihre Mitarbeiter mit Informationen in Kontakt, hinter denen reale Personen stehen? Beispiele hierfür sind die Lohnabrechnung, die Mitarbeiterverwaltung, aber auch ein Einzelverbindungsnachweis der Telefonie. Sind Ihre Kunden Endverbraucher, dann haben Sie wahrscheinlich deren Adressen, E-Mail Kontakte, Zahlungsdaten, Einkaufsverhalten und noch vieles mehr.
Im Verfahrensverzeichnis listen Sie nun alle „Verfahren“ auf, bei denen Sie diese Daten erfassen oder verarbeiten.
Je nach Unternehmen ist diese Liste unterschiedlich lang. Es macht einen Unterschied, ob Sie Solopreneur sind oder das Verfahrensverzeichnis für ein Großunternehmen erstellen. Sind Ihre Kunden Businesskunden oder Endverbraucher? Bei Businesskunden fallen einige Verfahren weg, da ein Geschäftskunde ja nur teilweise personenbezogene Daten im Geschäftsverkehr preisgibt.
Wer braucht ein Verfahrensverzeichnis?
Da gibt’s (fast) keine Ausnahme. Jedes Unternehmen bzw. jeder Unternehmer und Selbständige ist dafür verantwortlich, eine Verfahrensübersicht zu führen. Es gibt theoretisch die Ausnahme im Artikel 30 der DSGVO. Nur ab 250 Mitarbeitern im Unternehmen muss ein Verfahrensverzeichnis erstellt werden, so Absatz 5. Liest man besagten Artikel jedoch zu Ende, hebt er sich selbst wieder auf. Wenn nämlich eine Verarbeitung nicht nur gelegentlich durchgeführt wird, muss sie ins Verfahrensverzeichnis.
Unabhängig davon, ob Sie einen Datenschutzbeauftragten haben / brauchen oder nicht. Das Verzeichnis benötigen Sie immer. Außer wie gerade erwähnt, sie verarbeiten nur „gelegentlich“.
Nebenbei gesagt, diese Forderung an ein Verfahrensverzeichnis kam nicht neu mit der DSGVO. Wenn Sie auch vor der DSGVO schon ein funktionierendes Datenschutz System in Ihrem Unternehmen etabliert haben, sind Sie von der Forderung nicht überrascht.
Wer erstellt das Verfahrensverzeichnis?
Auf Anregung im Kommentar füge ich gerne noch diesen Punkt hinzu. Wer ist denn verantwortlich für die Erstellung des Verfahrensverzeichnisses? Das ist wie so oft der Verantwortliche für die Datenverarbeitung und das ist der Unternehmer bzw. Geschäftsführer. Um mit dem Gesetz zu sprechen, „die verantwortliche Stelle“.
Wer die Arbeit in der Praxis macht, ist wieder eine andere Sache. Als Datenschutzbeauftragter übernehmen wir für „unsere“ Unternehmen die Koordination der Erstellung und leisten dabei Unterstützung. Wir erstellen am Ende einen Bericht mit Empfehlungen und weisen auf Risiken hin, die wir bei den Verfahren sehen. Entscheiden, ob das Verfahren angepasst wird, können und wollen wir als Datenschutzbeauftragte nicht. Diese Entscheidung liegt beim Verfahrensverantwortlichen und beim Geschäftsführer.
Ja nach Ihrer Unternehmensgröße sollten Sie überlegen, was die effizienteste und beste Lösung ist, um das Verfahrensverzeichnis zu erstellen und zu pflegen. Bei kleineren Unternehmen oder Einzelunternehmen sprechen wir direkt mit dem Geschäftsführer bzw. Inhaber und erstellen in einem kleinen Frage-Antwort Interview das Verfahrensverzeichnis. Anschließend übergeben wir die Dokumentation in die Hände der verantwortlichen Stelle.
Welche Personengruppen sind betroffen und welche Daten von ihnen?
Wem werden diese Daten zur Verfügung gestellt (intern, extern, auch Drittländer)?
Beschreibung der Übermittlung an das Drittland (ist dies rechtlich abgesichert?)
Vorgesehene Löschfristen der Daten (wenn möglich)
allg. Beschreibung der technischen Sicherheit der Daten (wenn möglich)
Diese Informationen müssen Sie für Ihre eigenen Verarbeitungen dokumentieren. Ebenso müssen Sie aber dieselben Informationen zur Verfügung stellen, wenn Sie für Ihre Kunden zum Beispiel Daten verarbeiten. Beispiel: Sie machen intern die Lohnabrechnung für Ihre Mitarbeiter, dann ist dies ein zu dokumentierendes Verfahren. Machen Sie die Lohnbuchhaltung aber auch als Dienstleister für Ihre Kunden, so müssen Sie das ebenfalls dokumentieren. Dann sind Sie in der Fachsprache als Auftragsverarbeiter tätig. Im Verfahrensverzeichnis würde ich Ihnen empfehlen, dieses Verfahren zwei Mal zu beschreiben.
Pin it!
Gibt es „Standardverfahren“?
Standardverfahren würde ich es nicht unbedingt nennen, aber auf jeden Fall gibt es Verfahren, die regelmäßig und so gut wie in jedem Unternehmen vorkommen. Was fällt darunter?
Haben Sie Mitarbeiter? Dann haben Sie natürlich alle Prozesse rund um die Mitarbeiterverwaltung: Bewerbungen, Lohnabrechnung, PC-Zugänge und so weiter. Aber auch ohne Mitarbeiter gibt es immer wiederkehrende Verfahren. Denken Sie nur an die Internetpräsenz. E-Mail Marketing über Newsletter, Analyse des Besucherverhaltens Ihrer Webseite – um nur zwei Verfahren zu nennen.
Weitere Beispiele stelle ich Ihnen gerne in einem separaten Artikel zusammen. Hier geht’s zum Artikel.
Wie sieht ein Muster eines Verfahrensverzeichnisses aus?
Natürlich können Sie sich auch dafür eine spezielle Software kaufen. Aber in vielen Fällen wäre damit mit Kanonen auf Spatzen geschossen. Ich empfehle Ihnen eine einfache Excel Liste, die folgende Spalten enthält:
Name des Verfahrens
Als Auftragsverarbeiter (j / n)
Datum der Erfassung
Name des Verantwortlichen
E-Mail des Verantwortlichen
Telefonnummer des Verantwortlichen
Beschreibung der Verarbeitung / des Zwecks
Betroffene Personengruppen
Betroffene Daten
Empfänger der Daten
Empfänger der Daten in einem Drittland
Beschreibung der Absicherung der Datenübermittlung in das Drittland
Löschfrist
Beschreibung der IT-Sicherheit der Daten
Beschreibung der physikalischen Sicherheit der Daten
Natürlich können Sie diese Excel Liste um beliebige Spalten ergänzen. Das ist meine Empfehlung, nach Artikel 30 ein Verfahrensverzeichnis einfach und kompakt zu erstellen. Mit diesen Feldern haben Sie auch relativ wenig Aufwand, die Verfahren zu beschreiben.
Hier finden Sie eine Vorlage als Excel, die Sie gerne übernehmen können.
Je nach Unternehmensgröße befüllen Sie das Verfahrensverzeichnis entweder alleine oder gemeinsam mit Kollegen. In größeren Unternehmen ist es die Aufgabe des Datenschutzbeauftragten, sich darum zu kümmern. Für unsere Kunden bevorzugen wir die Erstellung des Verfahrensverzeichnisses im Rahmen von Interviews. In Gesprächen mit den Abteilungsleitern der Unternehmen hinterfragen wir ihre Prozesse auf die Verarbeitung personenbezogener Daten. Relativ oft kommt man an die Stelle, dass im Verfahren eine dritte Partei als externer Auftragsverarbeiter eingebunden ist. Diese Information ist wertvoll für die Erstellung der Verträge zur Auftragsdatenverarbeitung. Ergänzen Sie diese Notiz in Ihrer Dokumentation an geeigneter Stelle.
Grundsätzlich kann ich Ihnen als Vorgehensweise empfehlen, sich an den Prozessen des Unternehmens „durchzuhangeln“. Auch wenn Sie kein dokumentiertes QM-System haben, haben Sie doch Abläufe, die Sie regelmäßig ausführen. Gehen Sie diese gedanklich durch und erfassen Sie im Verfahrensverzeichnis die Verarbeitungen personenbezogener Daten.
Eine Anleitung mit Beispielen finden Sie auf meinem YouTube Kanal unter DSGVO Webinar: YouTube Kanal Regina Stoiber
Das erweiterte Verfahrensverzeichnis
Das hier verlinkte Muster, auf das sich auch der Onlinekurs bezieht, ist ideal für kleine und mittelständische Unternehmen und erfüllt, wie schon angemerkt, die gesetzlichen Anforderungen. Mit komplexeren Tätigkeiten in der Verarbeitung von personenbezogenen Daten oder mit zunehmender Unternehmensgröße reicht diese einfach Liste jedoch oft nicht mehr aus.
Seit Einführung der DSGVO haben sich konkrete Anforderungen herausgebildet. So ist zum Beispiel eine TIA (Transfer Impact Analysis) für Verarbeiter in Drittstaaten notwendig. Hier handelt es sich um eine spezielle Risikoanalyse, um das nur als ein Beispiel anzuführen.
Diese umfangreicheren Vorlagen stellen wir Ihnen natürlich auch gerne zur Verfügung und möchten Ihnen sogar noch mehr Unterstützung anbieten. Aus diesem Grund haben wir den DSB Experten Club ins Leben gerufen. Hier treffen Datenschutzbeauftragte oder Verantwortliche zusammen und haben Zugriff auf eine umfangreiche Knowledge Datenbank an Vorlagen. Regelmäßig gibt es aktuelle Updates im Forum und einen Live-Austausch mit den anderen Teilnehmern.
Haben wir Ihr Interesse geweckt? Dann sehen Sie sich doch mal im DSB Experten Club um.
Arbeiten Sie schon an einem Verfahrensverzeichnis? Wie haben Sie es bisher gelöst? Wo sind Ihre größten Hürden in der Praxis?
Schreiben Sie mir einen Kommentar!
Brauchen Sie Unterstützung?
Wir begleiten Sie gerne bei der Umsetzung der DSGVO Anforderungen in Ihrem Unternehmen. Egal ob als externer Datenschutzbeauftrage(r) oder begleitend bei der Implementierung der Datenschutzanforderungen. Melden Sie sich bei uns über unsere Online-Anfragen oder vereinbaren Sie direkt einen kostenlosen online Erst-Termin.
Seit 2007 bin ich nun im Bereich Informationssicherheit und Datenschutz tätig. Mit Begeisterung für das Thema bin ich unterstütze ich gemeinsam mit meinem Team unsere Kunden dabei, die Themen IT-Sicherheit und Datenschutz praxisorientiert, strukturiert und persönlich umzusetzen.
Manchmal mache ich aber auch was ganz anderes und reise einfach nur gern oder unternehme etwas mit Familie und Freunden.
86 Comments on “Datenschutz Verfahrensverzeichnis mit Muster”
ein gelungener Artikel. Kurz und knapp beschreiben Sie, worum es geht.
Allerdings „sprechen“ Sie recht neutral die/den „Sie“ an. Ich glaube, es wäre nützlich, wenn im Beitrag herauskommt, dass der Verantwortliche das Verzeichnis zu erstellen hat und nicht der Datenschutzbeauftragte. Das ist nämlich häufige Praxis in Unternehmen, der Datenschutzbeauftragte soll es richten.
[…] Das Gesetz fordert an anderer Stelle in Artikel 30 der DSGVO eine Übersicht aller Verfahren zur Verarbeitung personenbezogener Daten in Ihrem Unternehmen. Einen Artikel mit Muster Verfahrensverzeichnis finden Sie ebenfalls im Blog. […]
[…] Mehr zum detaillierten Aufbau und Inhalt eines Verfahrensverzeichnisses findest du in meinem Artikel mit Mustervorlage zum Verfahrensverzeichnis. […]
[…] alles in ein Verfahrensverzeichnis gehört und wie du es erstellst, findest du bei Regina Stoiber. Dort findest du außerdem ein Muster, wie das Verfahrensverzeichnis […]
Meine Meinung als Einzelunternehmer/Solopreneur ist: Sollte eine Bombe auf das EU-Parlament fallen und alle Politiker töten, die die DSGVO auf den Weg gebracht haben – ich würde nicht weinen.
Letztendlich ist der Aufwand für kleine Unternehmen mit hier einer neuen „Schutz“-Vorschrift, da einer kleinen „Schutz“-Vorschrift ein riesiger Sandhaufen und echter Sand im Getriebe. Dieser ungeheure Aufwand frißt zeitliche Ressourcen der arbeitswilligen Bevölkerung ohne einen „Schutz“ zu erzeugen, den irgendjemand braucht und haben will. Wer will denn beim Besuch von Webseiten demnächst alles Mögliche zustimmenderweise oder nicht zustimmenderweise anklicken und wegklicken müssen? – Das will fast Niemand, das schafft nur eins: Politik- und Demokratie-Verdrossenheit. Und sichert auch nur eins: Den Politikern eine Platz auf der Ansehensrangliste am unteren Ende.
[…] Das Verfahrensverzeichnis kenne ich bereits von meiner Firma, die meisten Kollegen brechen bei dem „bösen Wort“ in Panik aus ;). Für Blogger ist das aber nicht dramatisch, meistens gibt es doch gar nicht so viele Verfahren. Sobald ich ein paar Verfahren aufgeschrieben habe, teile ich euch das mit, ihr dürft dann gerne bei mir spicken *gg. Vorab bekommt ihr hier ein paar wichtige Infos zum Verfahrensverzeichnis. […]
vielen Dank für diesen tollen Artikel und auch die Vorlage! Ich habe noch eine Frage dazu: Ich bin Bloggerin (mit Kleinunternehmen, also inkl. Shop). Auf meinem Blog speichere ich also Kundendaten (die ich ja auch aufbewahren muss) und auch Daten von Kommentatoren.
Muss ich letztere auch in dem Verfahrensverzeichnis verzeichnen? Und muss das rückwirkend geschehen?
Reicht es, wenn ich einmal in dem Verzeichnis angebe, dass Kommentare soundso gespeichert werden, oder muss ich neue Kommentare mit aufzeichnen? Stellt das nicht selbst eine unnötige Datensammlung dar?
Im Bloggerland regen sich alle nur auf, keiner weiß es. Vielleicht können Sie da helfen?
Ach ja, eine DSGVO-Checkbox für sämtliche Formulare auf dem Blog und Shop habe ich bereits eingerichtet.
danke für das positive Feedback. Freut mich sehr.
Ganz wichtig, es müssen KEINE einzelnen Kommentare in der Liste aufgenommen werden. Also ist es für das Verfahrensverzeichnis egal, ob es „alte“ oder „neue“ Kommentare sind.
Es gibt ein Verfahren, das heißt z.B. „Kommentare“ und dient dem Zweck, Interaktion auf dem Blog und Diskussion / Austausch aufzubauen. (So irgendwie wäre meine Beschreibung). Dann beschreiben Sie noch allg. welche Daten gesammelt werden, also in der Regel: E-mail Adresse, Kommentar, Name, ggf. Domain URL und IP-Adresse. Betroffene Personengruppe: Webseitenbetreiber. Wie lange Sie die Kommentare speichern liegt an Ihnen. In der Regel so lange, wie es Ihre Internetseite gibt. Sie wollen ja die Kommentare nicht löschen, denke ich. Wäre ja auch nicht sinnvoll. Ein Blog lebt ja davon.
Also nur eine allg. Beschreibung des Verfahrens „Kommentare auf dem Blog“ und fertig. Das haben Sie in 3 Minuten 🙂
[…] in Excel und PDF, wie ein Verfahrensverzeichnis aufgebaut werden soll, stelle ich im Blogartikel „Verfahrensverzeichnis mit Muster“ zur Verfügung. Sogar ein ausgefülltes Verfahrensverzeichnis für Online- und Kleinunternehmer […]
[…] Was das überhaupt genau ist und wie so etwas auszusehen hat, das kannst Du dir am besten bei Regina Stoiber durchlesen. Das Ganze ist zur Zeit für unseren Blog in Arbeit und sollte rechtzeitig zum Stichtag am 25.Mai […]
Vielen lieben DANK!!!!! für Deine Hilfe und Unterstützung vor allem auch von so kleinen Hobby-Bloggerinnen wie mir! DANKESCHÖN!! Mit lieben Grüßen! Nicole PS. Deine Ergänzung zu den Komentaren hilft mir schon sehr!!!! – Denn das ist eigentlich auch die einzige Datensammlung bei mir *zwinker*
[…] Geholfen haben mir die folgenden zwei Seiten: Vorschläge für ein Verfahrensverzeichnis DSGVO und Datenschutz Verfahrensverzeichnis mit Muster. Fazit: In […]
vielen lieben Dank für diesen sehr hilfreichen Beitrag.
Ich frage mich jedoch noch, ob man auch zu diesem Verfahrensverzeichnis verpflichtet ist, wenn man als Autor eine minimalistische Website betreibt auf der es lediglich einige Infos zum Buch und einen Link zum Verlag, wo es gekauft werden kann gibt. An sich wird kein Verkauf oder ähnliches auf der Seite betrieben.
(Zusätzlich gibt es eine Emailadresse für die Kontaktaufnahme und ein Gästebuch, wo in der Datenschutzerklärung (+ Kästchen) hingewiesen wird, dass der angegebene Name und Kommentar dauerhaft gespeichert werden)
Dankeschön für die Rückmeldung.
Es gibt die Ausnahme, wenn sie weniger als 250 Mitarbeiter haben oder personenbezogene Daten nicht regelmäßig verarbeiten. Sobald man aber eine Webseite betreibt, verarbeitete man ja personenbezogene Daten regelmäßig. Wenn Sie das nicht haben, brauchen Sie kein VVZ.
Ich denke, wenn es bei Ihnen aber so minimalistisch ist, dann haben Sie das VVZ in Kürze erstellt. Speichern es ab und fertig 😉
vielen Dank für den Beitrag!
Leider bin ich mir immernoch unschlüssig.
Ich betreibe einen Hobby-Buchblog, mit dem ich kein Geld verdiene. Google Analytics habe ich entfernt, die Kommentarfunktion werde ich zum 25.05. ausschalten, Affiliates habe ich keine und für Newsletter habe ich nur einen Link zu Feedburner, bei dem man ja die Auswertung für die Statistik auch abschalten kann. Ich habe ehrlich gesagt keine Ahnung, WAS ich genau in das Verzeichnis schreiben muss, da ich AKTIV keine Daten auswerte, speichere oder Ähnliches. Können Sie mir eventuell sagen, wie ich mich zu verhalten habe?
Hallo Jacqueline,
dann ist wirklich die Frage, ob tatsächlich ein Verfahrensverzeichnis nötig ist. Wenn Sie sonst nichts machen und auswerten, ist es wahrscheinlich wirklich nicht nötig.
Grundsätzlich ist ja mit Blogspot auch noch zu verfolgen, wie das ganze sich weiter entwickelt. Mir ist aber aufgefallen, dass die Datenschutzerklärung nicht up-to-date ist. Da wäre aber sicherlich der freie e-recht24 Generator ganz hilfreich.
vielen lieben Dank für Ihre Antwort und den Hinweis. Habe den Datenschutz aktualisiert und hoffe, dass ich alles richtig gemacht habe 😀 Also falls Ihnen noch etwas auffallen sollte, bin ich für jeden Hinweis dankbar 😀
Generell habe ich vor, den 25.05. abzuwarten um zu sehen, ob Blogspot noch ein paar Änderungen mit sich bringt. Ansonsten wird ein Umzug wohl unausweichlich. Leider weiß ich nicht wirklich, was die sicherste Lösung wäre. ich vermute, das wird uns wirklich erst das Go-Live zeigen. Viele raten mir dazu, zu WP zu wechseln, aber selbst hosten? Oder reicht managed über 1 und 1 oder Strato? Und wo finden sie Fachleute, denen man dann den letzten „Feinschliff“ übertragen kann, bzw. beauftragen kann? Fragen über Fragen… Sie sehen, ich bin wirklich froh, wenn es dann soweit ist und klar wird, wo die Reise letztlich hinführt. Ist leider sehr nervenaufreibend, wenn man technisch nicht so versiert ist 😀
Liebe Grüße und einen schönen Abend an Sie!
Jacqueline
[…] habe ich auch einen schönen Artikel zum Datenschutz Verfahrensverzeichnis mit Muster gefunden. Zur Info: JEDER Blogger ist verpflichtet so ein Verzeichnis zu führen! Ich finde es hier […]
vielen Dank für den tollen Artikel! Ich habe da aber noch eine etwas grundlegende Frage und hoffe, Sie können hier etwas Licht in diese für mich noch eher dunkle Kammer der DSGVO bringen. Ich habe einen nichtkommerziellen Blog bei Blogspot und wie so viele andere auch sammle ich selbst aktiv keine Daten. Ich selbst kann nicht mal genau sagen, WELCHE Daten genau durch Blogspot erhoben werden (durch die automatische Statistik, die man nicht abstellen kann oder durch Kommentarfunktion, etc). Liege ich richtig, wenn ich meine, dass ich das erst durch den AV erfahren werde (den es allerdings noch nicht gibt) und erst anhand dessen dann eigentlich das Verfahrensverzeichnis erstellen kann?
Liebe Conny,
vielen Dank für dein nettes Feedback. Genau, die Infos müssen von Blogspot kommen und sollten im AVV enthalten sein. Alternativ können die ganzen Infos auch in einer Datenschutzerklärung von Blogspot aufgelistet sein (dort sollten sie eigentlich zusätzlich stehen). Aber meines Wissens hat Blogspot bisher da noch keine Infos raus gegeben. Hoffe, das ändert sich bald.
Liebe Regina
vielen Dank für diesen ausführlichen Beitrag. Ich habe mir bereits viele wichtige und hilfreiche Tipps bei einem anderen sehr lieben Menschen eingeholt, der eine engelsgeduld mit mir und meinen Fragen hat. Hier habe ich nun noch weitere Antworten auf meine Fragen erhalten. Jedoch bin ich trotzdem noch nicht so richtig überzeugt von meinem Verzeichnis. Ich teste und stelle Produkte in einem Blog vor und hoffe, dass ich mit meinem Verzeichnis nun alles richtig gemacht habe. Da ich meinen Blog auch auf Blogspot habe ist dies für mich eine etwas unsichere Sache. Mein Blog besteht nun schon seit 7 Jahren und will ihn ungerne aufgeben. Gäbe es denn jemand, der sich so ein Verzeichnis mal anschauen könnte, wenn es erstellt ist?
Liebe Grüße
Manuela
Liebe Manuela,
gerne schauen wir uns dein Verfahrensverzeichnis an, wenn du magst. Wir machen das meistens im Rahmen eines gemeinsamen Onlinemeetings. Dauer ca. 1 – 2 Stunden.
Schreib mir eine E-mail, falls das für dich interessant ist.
Hallo Frau Stoiber, vielen Dank für Ihren Artikel! Ich habe mich jetzt schon auf verschiedenen Wegen versucht über die neue DSGVO zu informieren, blicke aber ehrlich gesagt immer noch nicht ganz durch. So betreibe ich nebenher ein Kleingewerbe (Erstellen und Betreuen von Websites). Ich selbst habe keine Website (Kunden bekomme ich über Empfehlungen) und verarbeite/nutze personenbezogene Daten eigentlich nur beim Rechnungschreiben und bei der Kommunikation mit dem Kunden (E-Mail / Telefon). Muss ich da ein Verfahrensverzeichnis führen? Herzliche Grüße!
Ich würde auf Nummer sicher gehen und ein VVZ erstellen. Das ist ja dann bei Ihnen minimal. Haben Sie z.B. Zugriff auf Analysedaten der Kundenwebseiten, z.B. google Analytics und co? Oder haben Ihre Kunden Plugins im Einsatz, die personenbezogene Daten verarbeiten und Sie haben darauf Zugriff. Dann sind Sie damit auch Auftragsverarbeiter.
Das VVZ ist gar nicht so tragisch, wie es im ersten Moment zu sein scheint 🙂
Liebe Frau Stoiber, danke für diesen informativen Artikel. Ein paar Fragen bleiben für mich offen:
1. Müssen die Verfahren unter einer gesonderten Überschrift namens „Verfahrensverzeichnis“ als Teil der Datenschutzbestimmung auf unserer Webseite beschrieben werden, oder fließen diese Beschreibungen an den entsprechenden Stellen ein (z. B. im Abschnitt Cookies, im Abschnitt Newsletter etc.)?
2. Wir betreiben ein öffentliche Webseite, auf der man sich in einen passwortgeschützten Bereich einloggen kann, um dort Fotos mit der Familie zu teilen. Müssen die Verfahren auch für den privaten Bereich beschrieben werden?
3. Wir nutzen Facebook, allerdings ohne Plugins/Pixels etc., sondern nur zum Chat mit Kunden, ohne Messenger. Ich finde keine Infos darüber, ob Facebook diese Chatdaten auch ohne Plugin speichert bzw. dabei Personendaten abgreift. Gehört diese Kommunikationsform dennoch ins Verfahrensverzeichnis?
Ich danke Ihnen sehr herzlich im Voraus für Ihre Antwort. Es ist sehr hilfreich, dass es eine (aktive!) Webseite wie die Ihre gibt.
1. Das Verfahrensverzeichnis erstellen Sie erst mal für sich und geben es nicht der Öffentlichkeit preis. Die Informationen daraus benötigen Sie aber dann später für die Informationspflicht. Einen Teil dieser Informationspflicht deckt – wie Sie schon sagen – die Datenschutzerklärung auf Ihrer Webseite ab.
2. Genau, die Verfahren müssen auch für den internen Bereich beschrieben werden. Genauso müssen Sie die Verfahren auch für alle Prozesse beschreiben, die bei Ihnen intern im Unternehmen laufen, wenn diese personenbezogene Daten verarbeiten.
3.Ich würde den FB Chat schon als Verfahren beschreiben. Ein Verfahren richtet sich nicht danach, ob ein Plugin oder eine Software verwendet wird. Es geht beim Verfahren nach der Frage, ob personenbezogene Daten verarbeitet werden. Das könnte z.B. auch rein in Papierform sein. Die Organisation der Mitarbeiterdaten z.B. in einer Personalakte (Papier) ist auch ein Verfahren, auch wenn es überhaupt nicht IT-gestützt ist. Das ist, wie gesagt, kein Indikator. Sie müssen immer die Frage nach der Verarbeitung von personenbezogenen Daten stellen, ganz unabhängig des „Wie’s“ im ersten Schritt.
Danke für die netten Worte!
Viele Grüße
Regina Stoiber
hallo Frau Stoiber, herzlichen Dank für die Infos zum Verfahrensverzeichnis. Ich betreibe meinen blogspot-blog mit Rezensionen und Buchvorstellungen. Lediglich die Kommentarfunktion ist noch in Betrieb. So wie ich oben in den anderen Kommentaren bereits gelesen habe, ist da kein Verfahrensverzeichnis notwendig?
Ansonsten hoffe ich, dass blogger zeitgerecht alles fertig hat, dass wir blogspot-blogger weiter bloggen können 😉 Herzliche Grüße Sabine
Hallo Frau Stoiber,
vielen Dank für Ihren Beitrag und das Excel-Formular, dass ich für meinen Verein verwenden werde.
Meine Frage: Muss ich meine bestehenden Mitglieder informieren, dass ich ihre Daten erhoben habe, oder genügt es, das Verfahren auf die Neumitglieder zu beschränken.
Für Ihre Antwort im Voraus vielen Dank!
Die Informationspflicht sprechen Sie an, oder? Die müssen Sie nur für die Neumitglieder aktiv zur Verfügung stellen. Ich würde allerdings auch bei Gelegenheit – vielleicht auf einer (Haupt-)Versammlung das Thema einfach mal ansprechen und vielleicht einen Link angeben, an dem die Informationspflicht einsehbar ist.
Danke für diesen Artikel. Er hat mir in Verbindung mit dem Webinar gestern erst klar gemacht was wirklich alles in ein Verzeichnis muss. War sogar verständlicher als in einem teuren Guide den ich mir schon vor Wochen gekauft habe.
Allerdings habe ich eine Frage zu den Spalten „Übertragung und Speicherung“.
Zählt hier nur, wenn ich Daten aktiv weitergebe?
Wenn ich ein Newslettertool verwende, ist dann nicht das Newslettertool der Empfänger der Daten?
Wenn ich einen Server habe auf dem ich Kontakt Formulardaten in einer Datenbank speichere. Ist dann nicht der Server und die Datenbank darauf der Empfänger der Daten?
Oder geht es wirklich nur um Vorgänge bei denen aktiv Daten zu andere Gruppen übertragen werden und nicht um technische Empfänger?
Freut mich, wenn meine Arbeit hilfreich ist 🙂
Ja, ich würde in die Felder „Empfänger“ nur diejenigen schreiben, die aktiv die Daten für weitere Zwecke erhalten. Alle anderen, also der Newsletterdienstleister und der Provider für den Webspace sind ja schon als Auftragsverarbeiter genannt und definieren im AVV ihre Schutzmaßnahmen. Hier passiert ja keine aktive Weitergabe, sondern nur eine Ermöglichung der Verarbeitung.
Hallo Frau Stoiber, tolle Seite – vielen Dank für die hilfreichen Tipps! Eine Frage: Muss ich im Verfahrensverzeichnis auch aufnehmen, wenn ich Tel.Nr. handschriftlich notiere also diese nicht im PC abspeichere?
LG Yvonne
Erwägungsgrund 15 sagt dazu folgendes:
Der Schutz natürlicher Personen sollte für die automatisierte Verarbeitung personenbezogener Daten ebenso gelten wie für die manuelle Verarbeitung von personenbezogenen Daten, wenn die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. 3Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten nicht in den Anwendungsbereich dieser Verordnung fallen.
Das heißt, notieren Sie die Kontakte in alphabetischer Reihenfolge, dann sind sie relevant. Liegt keine Sortierung vor, dann brauchen Sie nicht ins Verfahrensverzeichnis 😉 Ich finde diesen Punkt ganz witzig. Aber so steht’s in der DSGVO!
[…] Stoiber: Datenschutz Verfahrensverzeichnis mit Muster Regina Soiber: Vorschläge für ein Verfahrensverzeichnis DSGVO RA Stephan Hansen-Oest: Keine Zeit […]
danke für den Artikel, ich hoffe das ich das Verzeichnis erstellen kann, da ich weder Kommentare noch Folgemöglichkeiten, auch keine Statistik habe, überlege ich was da überhaupt rein muss.
vielen Dank für diesen tollen und informativen Beitrag. Darf ich fragen, ob meine Follow me Buttons in der Sidebar (facebook, insta usw.) auch in das Verzeichnis, bzw. auch in die Datenschutzerklärung müssen? Es sind Links zu meinen Profilen.
Nein, ins Verzeichnis würde ich die nicht packen. Wenn es reine Links (ohne Plugins im Hintergrund sind), müssen diese auch nicht in die Datenschutzerklärung. Eine allgemeine Passage in der DSE zu den sozialen Kanälen würde ich empfehlen.
Guten Tag Frau Stoiber, auch von mir nochmal herzlichen Dank für diesen Artikel, der hilft mir sehr. Ich habe eine Frage zu den Speicherdauer/Löschfrist – welche ist denn rechtlich durch die DSGVO festgelegt worden? Dann würde ich diese, nehme ich an, immer in das Verfahrensverzeichnis eintragen oder?
Danke für Ihre Hilfe.
Hallo Frau Stoiber, noch eine ergänze Frage: was muss ich in die blau markierten Felder „Absicherung der Daten im Verfahren“ im VVZ reinschreiben?
Danke auch für diese Info.
Ich danke ihnen Frau Stoiber,
jetzt habe ich auch verstanden, was ich in mein Verzeichnis schreiben muss. Grade als kleiner Blogger ist das ja auch ein Wald mit zu vielen Bäumen 😉 Aber dank ihnen habe ich es verstanden.
Liebe Frau Stoiber,
ich bin glücklich, dass ich Ihre Seite gefunden habe! Leider erst heute, aber besser spät als gar nicht. Eine Frage, da ich einen in Spanien eingetragenen Onlinehandel habe: kann ich das Verfahrensverzeichnis auch in deutscher Sprache führen oder ist die jeweilige EU-Landessprache obligatorisch? Leider gibt es in Spanien nicht annähernd so tolle Info-Seiten wir die Ihre. Herzlichen Dank dafür!
Da bin ich nicht 100%ig sicher. Ich glaube, das muss dann spanisch sein. Aber fragen Sie da besser nochmal bei der Behörde nach. Tut mir leid, dass ich Ihnen da nichts definitives sagen kann.
[…] geschehen. Die Bürokratie wurde wieder ein Stück gesteigert. Ganz besonders im Hinblick auf die jetzt geltende Dokumentationspflicht. Es muss schriftlich nachgewiesen werden können, dass der Datenschutz eingehalten worden […]
vielen Dank für diesen ausführlichen Artikel! Leider habe ich immernoch ein großes Fragezeichen im Kopf, da ich mich nicht einordnen kann. Ich habe ein Kleinunternehmen (im Nebengewerbe) angemeldet, allerdings ohne eigene Webseite, Onlineshop oder auch Mitarbeiter. Lediglich bei Facebook(Fanseite z.Zt. auf unsichtbar geschaltet, weil ich nicht weiß, was genau ich da ändern muss) und Instagram bin ich vertreten. Den größten Teil meiner Kunden bekomme ich durch Mund-zu-Mund-Propaganda sowie im persönlichen Kontakt auf Märkten und Messen. Die Kontaktdaten werden in einem Kundenbuch notiert und nicht an Dritte weitergegeben.
Ich bin jetzt wirklich unsicher, wie ich vorgehen soll und wäre für jeden Tipp sehr dankbar!
Viele Grüße
Dann würde ich im Verfahrensverzeichnis die klassischen Verfahren wie E-mail Kommunikation, ggf. Chat Kommunikation (über FB und Instagram), Kundenbuch / Kontaktverwaltung, Rechnungsstellung beschreiben.
Wenn es nicht mehr sind, dann ist das ja auch ok.
[…] bei Datenschützerin Regina Stoiber: Excel-Vorlage Verarbeitungsverzeichnis (Muster). Sie klärt in diesem Artikel auch noch einmal alle weiteren Informationen zum […]
[…] das Thema DSFA überhaupt auf den Tisch kommt, muss zuallererst ein Verfahren in der Verfahrensübersicht beschrieben werden. Je besser die Dokumentation bereits in der Verfahrensbeschreibung ist, desto […]
[…] benötigen (sehr wahrscheinlich) ein Verfahrensverzeichnis nach Art. 30 DSGVO. In den Pflichtangaben des Verfahrensverzeichnisses muss die Rechtmäßigkeit nicht angegeben […]
Die guten Antworten auf die Kommentare sind teils sogar schon nützlicher als der Artikel selbst. Danke für alles! Seiten wie diese machen den Datenschutz-Dschungel so viel klarer.
[…] finden Sie in einem weiterem Blogartikel. Des Weiteren sind die Prozesse der Datenverarbeitung im Verfahrensverzeichnis zu dokumentieren und dieBetroffenen mittels der Informationspflicht zu […]
[…] In einem Verfahrensverzeichnis werden alle Wege, die Kundendaten vom Kommentarfeld bis zum Steuerberater nehmen, detailliert beschrieben. Hier finden Sie eine Vorlage für ein Verfahrensverzeichnis. […]
Danke für die Ausführliche Blog. Nun habe ich jetzt eine frage… im Internet gibt sowas wie DSGVO Creator. Du tippst ein par Daten von dir ein und es wird dir ein DS. Generiert. Wie nützlich und rechtlich sicher sowas? Könnte mir jemand da vielleicht helfen? Sollte man sich lieber für sowas ein Anwalt nehmen? Ich meine um ein Datenschutzerklärung zu schreiben?
Wenn wir jetzt nur von der Datenschutzerklärung für die Webseite sprechen, dann würde ich da sagen, dass man mit den Generatoren (je nach Anbieter) ca. 70-90% der Anforderungen abdeckt. Das wichtigste ist, dass man die Webseite gut kennt und weiß, was man ankreuzen muss. Unsere Erfahrung ist, dass wir immer wieder Aufträge zur Erstellung einer DSE von Webdesignern erhalten, die uns Infos über die Webseite geben. Diese Infos sind aber nicht vollständig. Weil z.B. der Webdesigner auf der Webseite ein Plugin eingebunden hat und gar nicht weiß, dass bzw. welche Daten das Plugin wohin überträgt. Diese Infos sind essentiell für eine Datenschutzerklärung.
Bei solchen individuellen oder eher nicht so häufigen Plugins kann auch der Generator nicht mehr helfen.
Wir nutzen für unsere Kunden auch DSE-Generatoren, analysieren aber vorher die Webseite und ergänzen dann die restlichen Passagen manuell in der Datenschutzerklärung. Wenn man weiß, was die restlichen Datenflüsse und Datenverarbeitungen sind, braucht man keinen Anwalt. Was in so einer Passage drin stehen muss, sagt Artikel 13 der DSGVO exakt aus. Wenn man sich danach richtet, kann man das auch selber machen.
Sollte sich die Frage generell auf die Informationspflicht nach Art. 13 und Art. 14 beziehen (also nicht nur auf den Teilbereich Datenschutzerklärung auf der Webseite), dann wäre ich mit einem Generator zurückhaltend.
Ich hoffe, ich konnte Ihnen mit der Antwort weiter helfen.
Hallo Jan,
„DSGVO ändern“ wäre ja das Gesetz zu ändern. Aber ich glaube die Frage zielt darauf ab, wie oft das Verfahrensverzeichnis aktualisiert werden sollte, oder? Auf jeden Fall sollte einmal jährlich ein Audit mit Prüfung des Verfahrensverzeichnisses durchgeführt werden.
Wenn ein neues Verfahren geplant ist oder implementiert wird (z.B. Einführung einer neuen zentralen Software), sollte das gleich bei der Umsetzung / Planung in Bezug auf den Datenschutz aktualisiert werden.
kostenloses Live-Webinar: So setzen Sie TISAX® um!
Von Experten – für Experten im Datenschutz
Tauschen Sie sich mit Gleichgesinnten aus und bleiben Sie up to date!
Whistleblowing-Portal der Datenbeschützerin
Whistleblowing Richtlinie - Bereit für das Hinweisgeberschutzgesetz?
Bleiben wir in Kontakt
Melden Sie sich zu unserem Newsletter an und erhalten Sie alle 14 Tage aktuelle und praxisorientierte Informationen zum Datenschutz und zur Informationssicherheit.
Gerhard Pundt says:
Hallo Frau Stoiber,
ein gelungener Artikel. Kurz und knapp beschreiben Sie, worum es geht.
Allerdings „sprechen“ Sie recht neutral die/den „Sie“ an. Ich glaube, es wäre nützlich, wenn im Beitrag herauskommt, dass der Verantwortliche das Verzeichnis zu erstellen hat und nicht der Datenschutzbeauftragte. Das ist nämlich häufige Praxis in Unternehmen, der Datenschutzbeauftragte soll es richten.
Gerhard
Regina Stoiber says:
Hallo Herr Pundt,
vielen Dank für Ihren Kommentar. Das ist eine sehr gute Anregung. Ich hab’s gleich noch im Artikel ergänzt.
Viele Grüße
Regina Stoiber
Was ändert sich bei der Informationspflicht mit der DSGVO? | Datenbeschützerin says:
[…] Das Gesetz fordert an anderer Stelle in Artikel 30 der DSGVO eine Übersicht aller Verfahren zur Verarbeitung personenbezogener Daten in Ihrem Unternehmen. Einen Artikel mit Muster Verfahrensverzeichnis finden Sie ebenfalls im Blog. […]
Wie setze ich die Anforderungen der DSGVO für meine Website um? says:
[…] Stoiber hat einen tollen Artikel über das mit der DSGVO Pflicht werdenende Verfahrensverzeichnis geschrieben (inkl. […]
DSGVO-Checkliste für Blogger und Online-Unternehmer - Blogmojo says:
[…] Mehr zum detaillierten Aufbau und Inhalt eines Verfahrensverzeichnisses findest du in meinem Artikel mit Mustervorlage zum Verfahrensverzeichnis. […]
DSGVO für Blogger - Checkliste und Linksammlung | Blog Your Thing says:
[…] alles in ein Verfahrensverzeichnis gehört und wie du es erstellst, findest du bei Regina Stoiber. Dort findest du außerdem ein Muster, wie das Verfahrensverzeichnis […]
DSGVO-Linksammlung: 40+ nützliche Artikel, Tools und Vorlagen says:
[…] Datenschutz Verfahrensverzeichnis mit Muster (Regina Stoiber) […]
Elias says:
Super Vorlage… gibt es diese auch als Excel / Google Docs Dokument zum direkten kopieren?
Regina Stoiber says:
Danke! Ich hab’s im Artikel ergänzt. Jetzt steht die Vorlage auch als Excel zur Verfügung.
Hanno Köhncke says:
Meine Meinung als Einzelunternehmer/Solopreneur ist: Sollte eine Bombe auf das EU-Parlament fallen und alle Politiker töten, die die DSGVO auf den Weg gebracht haben – ich würde nicht weinen.
Letztendlich ist der Aufwand für kleine Unternehmen mit hier einer neuen „Schutz“-Vorschrift, da einer kleinen „Schutz“-Vorschrift ein riesiger Sandhaufen und echter Sand im Getriebe. Dieser ungeheure Aufwand frißt zeitliche Ressourcen der arbeitswilligen Bevölkerung ohne einen „Schutz“ zu erzeugen, den irgendjemand braucht und haben will. Wer will denn beim Besuch von Webseiten demnächst alles Mögliche zustimmenderweise oder nicht zustimmenderweise anklicken und wegklicken müssen? – Das will fast Niemand, das schafft nur eins: Politik- und Demokratie-Verdrossenheit. Und sichert auch nur eins: Den Politikern eine Platz auf der Ansehensrangliste am unteren Ende.
Checkliste: Datenschutz für WordPress Blogs - familös says:
[…] Das Verfahrensverzeichnis kenne ich bereits von meiner Firma, die meisten Kollegen brechen bei dem „bösen Wort“ in Panik aus ;). Für Blogger ist das aber nicht dramatisch, meistens gibt es doch gar nicht so viele Verfahren. Sobald ich ein paar Verfahren aufgeschrieben habe, teile ich euch das mit, ihr dürft dann gerne bei mir spicken *gg. Vorab bekommt ihr hier ein paar wichtige Infos zum Verfahrensverzeichnis. […]
Wera says:
Danke vielmals für die Excel-Datei, super!
Regina Stoiber says:
Sehr gerne! Danke für die nette Rückmeldung!
Blogspot & DSGVO: Checkliste (und ungelöste Fragen!) - Blogmojo says:
[…] Was dieses Verzeichnis genau enthalten muss sowie ein tolles Musterverzeichnis, findest du auf dem Blog von Regina Stoiber. […]
DSGVO Linktipps says:
[…] Datenschutz Verfahrensverzeichnis mit Muster […]
Sonja says:
Hallo Frau Stoiber,
vielen Dank für diesen tollen Artikel und auch die Vorlage! Ich habe noch eine Frage dazu: Ich bin Bloggerin (mit Kleinunternehmen, also inkl. Shop). Auf meinem Blog speichere ich also Kundendaten (die ich ja auch aufbewahren muss) und auch Daten von Kommentatoren.
Muss ich letztere auch in dem Verfahrensverzeichnis verzeichnen? Und muss das rückwirkend geschehen?
Reicht es, wenn ich einmal in dem Verzeichnis angebe, dass Kommentare soundso gespeichert werden, oder muss ich neue Kommentare mit aufzeichnen? Stellt das nicht selbst eine unnötige Datensammlung dar?
Im Bloggerland regen sich alle nur auf, keiner weiß es. Vielleicht können Sie da helfen?
Ach ja, eine DSGVO-Checkbox für sämtliche Formulare auf dem Blog und Shop habe ich bereits eingerichtet.
Vielen Dank und viele Grüße,
Sonja
Regina Stoiber says:
Hallo Sonja,
danke für das positive Feedback. Freut mich sehr.
Ganz wichtig, es müssen KEINE einzelnen Kommentare in der Liste aufgenommen werden. Also ist es für das Verfahrensverzeichnis egal, ob es „alte“ oder „neue“ Kommentare sind.
Es gibt ein Verfahren, das heißt z.B. „Kommentare“ und dient dem Zweck, Interaktion auf dem Blog und Diskussion / Austausch aufzubauen. (So irgendwie wäre meine Beschreibung). Dann beschreiben Sie noch allg. welche Daten gesammelt werden, also in der Regel: E-mail Adresse, Kommentar, Name, ggf. Domain URL und IP-Adresse. Betroffene Personengruppe: Webseitenbetreiber. Wie lange Sie die Kommentare speichern liegt an Ihnen. In der Regel so lange, wie es Ihre Internetseite gibt. Sie wollen ja die Kommentare nicht löschen, denke ich. Wäre ja auch nicht sinnvoll. Ein Blog lebt ja davon.
Also nur eine allg. Beschreibung des Verfahrens „Kommentare auf dem Blog“ und fertig. Das haben Sie in 3 Minuten 🙂
Hoffe, ich konnte Ihnen weiter helfen.
LG Regina
DS-GVO Generator – Datenschutzerklärung – Gambio Service says:
[…] DATENSCHUTZ VERFAHRENSVERZEICHNIS MIT MUSTER: https://regina-stoiber.com/2018/03/…verzeichnis-nach-artikel-30-dsgvo-mit-muster/ […]
Sonja says:
Oh super, vielen Dank! Dann ist das ja gar nicht so der Aufwand. Danke auch für das Template! 🙂
Viele Grüße,
Sonja
EU-DSGVO - ein paar Fragen - INVALIDENTURM.DE says:
[…] https://regina-stoiber.com/2018/03/11/datenschutz-verfahrensverzeichnis-nach-artikel-30-dsgvo-mit-mu… […]
Vorschläge für ein Verfahrensverzeichnis DSGVO | Datenbeschützerin says:
[…] in Excel und PDF, wie ein Verfahrensverzeichnis aufgebaut werden soll, stelle ich im Blogartikel „Verfahrensverzeichnis mit Muster“ zur Verfügung. Sogar ein ausgefülltes Verfahrensverzeichnis für Online- und Kleinunternehmer […]
Veränderungen auf unserem Reiseblog durch die DSGVO says:
[…] Was das überhaupt genau ist und wie so etwas auszusehen hat, das kannst Du dir am besten bei Regina Stoiber durchlesen. Das Ganze ist zur Zeit für unseren Blog in Arbeit und sollte rechtzeitig zum Stichtag am 25.Mai […]
Nicole says:
Vielen lieben DANK!!!!! für Deine Hilfe und Unterstützung vor allem auch von so kleinen Hobby-Bloggerinnen wie mir! DANKESCHÖN!! Mit lieben Grüßen! Nicole PS. Deine Ergänzung zu den Komentaren hilft mir schon sehr!!!! – Denn das ist eigentlich auch die einzige Datensammlung bei mir *zwinker*
Regina Stoiber says:
Liebe Nicole,
das freut mich sehr, wenn dir die Inhalte weiter helfen. Dann lohnt es sich zu schreiben 🙂
LG Regina
DSGVO – Umsetzung auf meinem Blog says:
[…] Geholfen haben mir die folgenden zwei Seiten: Vorschläge für ein Verfahrensverzeichnis DSGVO und Datenschutz Verfahrensverzeichnis mit Muster. Fazit: In […]
Alex says:
Guten Tag,
vielen lieben Dank für diesen sehr hilfreichen Beitrag.
Ich frage mich jedoch noch, ob man auch zu diesem Verfahrensverzeichnis verpflichtet ist, wenn man als Autor eine minimalistische Website betreibt auf der es lediglich einige Infos zum Buch und einen Link zum Verlag, wo es gekauft werden kann gibt. An sich wird kein Verkauf oder ähnliches auf der Seite betrieben.
(Zusätzlich gibt es eine Emailadresse für die Kontaktaufnahme und ein Gästebuch, wo in der Datenschutzerklärung (+ Kästchen) hingewiesen wird, dass der angegebene Name und Kommentar dauerhaft gespeichert werden)
Regina Stoiber says:
Dankeschön für die Rückmeldung.
Es gibt die Ausnahme, wenn sie weniger als 250 Mitarbeiter haben oder personenbezogene Daten nicht regelmäßig verarbeiten. Sobald man aber eine Webseite betreibt, verarbeitete man ja personenbezogene Daten regelmäßig. Wenn Sie das nicht haben, brauchen Sie kein VVZ.
Ich denke, wenn es bei Ihnen aber so minimalistisch ist, dann haben Sie das VVZ in Kürze erstellt. Speichern es ab und fertig 😉
Jacqueline says:
Hallo,
vielen Dank für den Beitrag!
Leider bin ich mir immernoch unschlüssig.
Ich betreibe einen Hobby-Buchblog, mit dem ich kein Geld verdiene. Google Analytics habe ich entfernt, die Kommentarfunktion werde ich zum 25.05. ausschalten, Affiliates habe ich keine und für Newsletter habe ich nur einen Link zu Feedburner, bei dem man ja die Auswertung für die Statistik auch abschalten kann. Ich habe ehrlich gesagt keine Ahnung, WAS ich genau in das Verzeichnis schreiben muss, da ich AKTIV keine Daten auswerte, speichere oder Ähnliches. Können Sie mir eventuell sagen, wie ich mich zu verhalten habe?
Viele Grüße 🙂
Regina Stoiber says:
Hallo Jacqueline,
dann ist wirklich die Frage, ob tatsächlich ein Verfahrensverzeichnis nötig ist. Wenn Sie sonst nichts machen und auswerten, ist es wahrscheinlich wirklich nicht nötig.
Grundsätzlich ist ja mit Blogspot auch noch zu verfolgen, wie das ganze sich weiter entwickelt. Mir ist aber aufgefallen, dass die Datenschutzerklärung nicht up-to-date ist. Da wäre aber sicherlich der freie e-recht24 Generator ganz hilfreich.
LG Regina
Jacqueline says:
Liebe Regina,
vielen lieben Dank für Ihre Antwort und den Hinweis. Habe den Datenschutz aktualisiert und hoffe, dass ich alles richtig gemacht habe 😀 Also falls Ihnen noch etwas auffallen sollte, bin ich für jeden Hinweis dankbar 😀
Generell habe ich vor, den 25.05. abzuwarten um zu sehen, ob Blogspot noch ein paar Änderungen mit sich bringt. Ansonsten wird ein Umzug wohl unausweichlich. Leider weiß ich nicht wirklich, was die sicherste Lösung wäre. ich vermute, das wird uns wirklich erst das Go-Live zeigen. Viele raten mir dazu, zu WP zu wechseln, aber selbst hosten? Oder reicht managed über 1 und 1 oder Strato? Und wo finden sie Fachleute, denen man dann den letzten „Feinschliff“ übertragen kann, bzw. beauftragen kann? Fragen über Fragen… Sie sehen, ich bin wirklich froh, wenn es dann soweit ist und klar wird, wo die Reise letztlich hinführt. Ist leider sehr nervenaufreibend, wenn man technisch nicht so versiert ist 😀
Liebe Grüße und einen schönen Abend an Sie!
Jacqueline
Crafting Linktipps April 2018 * The Crafting Café says:
[…] habe ich auch einen schönen Artikel zum Datenschutz Verfahrensverzeichnis mit Muster gefunden. Zur Info: JEDER Blogger ist verpflichtet so ein Verzeichnis zu führen! Ich finde es hier […]
Conny says:
Liebe Regina,
vielen Dank für den tollen Artikel! Ich habe da aber noch eine etwas grundlegende Frage und hoffe, Sie können hier etwas Licht in diese für mich noch eher dunkle Kammer der DSGVO bringen. Ich habe einen nichtkommerziellen Blog bei Blogspot und wie so viele andere auch sammle ich selbst aktiv keine Daten. Ich selbst kann nicht mal genau sagen, WELCHE Daten genau durch Blogspot erhoben werden (durch die automatische Statistik, die man nicht abstellen kann oder durch Kommentarfunktion, etc). Liege ich richtig, wenn ich meine, dass ich das erst durch den AV erfahren werde (den es allerdings noch nicht gibt) und erst anhand dessen dann eigentlich das Verfahrensverzeichnis erstellen kann?
Regina Stoiber says:
Liebe Conny,
vielen Dank für dein nettes Feedback. Genau, die Infos müssen von Blogspot kommen und sollten im AVV enthalten sein. Alternativ können die ganzen Infos auch in einer Datenschutzerklärung von Blogspot aufgelistet sein (dort sollten sie eigentlich zusätzlich stehen). Aber meines Wissens hat Blogspot bisher da noch keine Infos raus gegeben. Hoffe, das ändert sich bald.
LG Regina
Zwischenboss DSGVO - Aaah! - Fried Phoenix says:
[…] DATENSCHUTZ VERFAHRENSVERZEICHNIS MIT MUSTER […]
Manuela Candal says:
Liebe Regina
vielen Dank für diesen ausführlichen Beitrag. Ich habe mir bereits viele wichtige und hilfreiche Tipps bei einem anderen sehr lieben Menschen eingeholt, der eine engelsgeduld mit mir und meinen Fragen hat. Hier habe ich nun noch weitere Antworten auf meine Fragen erhalten. Jedoch bin ich trotzdem noch nicht so richtig überzeugt von meinem Verzeichnis. Ich teste und stelle Produkte in einem Blog vor und hoffe, dass ich mit meinem Verzeichnis nun alles richtig gemacht habe. Da ich meinen Blog auch auf Blogspot habe ist dies für mich eine etwas unsichere Sache. Mein Blog besteht nun schon seit 7 Jahren und will ihn ungerne aufgeben. Gäbe es denn jemand, der sich so ein Verzeichnis mal anschauen könnte, wenn es erstellt ist?
Liebe Grüße
Manuela
Regina Stoiber says:
Liebe Manuela,
gerne schauen wir uns dein Verfahrensverzeichnis an, wenn du magst. Wir machen das meistens im Rahmen eines gemeinsamen Onlinemeetings. Dauer ca. 1 – 2 Stunden.
Schreib mir eine E-mail, falls das für dich interessant ist.
LG Regina
DSGVO für Selbstständige & Blogger – das musst du jetzt umsetzen! | FRAU FUCHSIA & die smarten Füchse says:
[…] Vorlage für solch ein Verzeichnis findest du z.B. bei activemind.de oder Regina Stoiber […]
Herr Otto says:
Hallo Frau Stoiber, vielen Dank für Ihren Artikel! Ich habe mich jetzt schon auf verschiedenen Wegen versucht über die neue DSGVO zu informieren, blicke aber ehrlich gesagt immer noch nicht ganz durch. So betreibe ich nebenher ein Kleingewerbe (Erstellen und Betreuen von Websites). Ich selbst habe keine Website (Kunden bekomme ich über Empfehlungen) und verarbeite/nutze personenbezogene Daten eigentlich nur beim Rechnungschreiben und bei der Kommunikation mit dem Kunden (E-Mail / Telefon). Muss ich da ein Verfahrensverzeichnis führen? Herzliche Grüße!
Regina Stoiber says:
Ich würde auf Nummer sicher gehen und ein VVZ erstellen. Das ist ja dann bei Ihnen minimal. Haben Sie z.B. Zugriff auf Analysedaten der Kundenwebseiten, z.B. google Analytics und co? Oder haben Ihre Kunden Plugins im Einsatz, die personenbezogene Daten verarbeiten und Sie haben darauf Zugriff. Dann sind Sie damit auch Auftragsverarbeiter.
Das VVZ ist gar nicht so tragisch, wie es im ersten Moment zu sein scheint 🙂
Viele Grüße
Regina Stoiber
Scheit says:
Liebe Frau Stoiber, danke für diesen informativen Artikel. Ein paar Fragen bleiben für mich offen:
1. Müssen die Verfahren unter einer gesonderten Überschrift namens „Verfahrensverzeichnis“ als Teil der Datenschutzbestimmung auf unserer Webseite beschrieben werden, oder fließen diese Beschreibungen an den entsprechenden Stellen ein (z. B. im Abschnitt Cookies, im Abschnitt Newsletter etc.)?
2. Wir betreiben ein öffentliche Webseite, auf der man sich in einen passwortgeschützten Bereich einloggen kann, um dort Fotos mit der Familie zu teilen. Müssen die Verfahren auch für den privaten Bereich beschrieben werden?
3. Wir nutzen Facebook, allerdings ohne Plugins/Pixels etc., sondern nur zum Chat mit Kunden, ohne Messenger. Ich finde keine Infos darüber, ob Facebook diese Chatdaten auch ohne Plugin speichert bzw. dabei Personendaten abgreift. Gehört diese Kommunikationsform dennoch ins Verfahrensverzeichnis?
Ich danke Ihnen sehr herzlich im Voraus für Ihre Antwort. Es ist sehr hilfreich, dass es eine (aktive!) Webseite wie die Ihre gibt.
Regina Stoiber says:
1. Das Verfahrensverzeichnis erstellen Sie erst mal für sich und geben es nicht der Öffentlichkeit preis. Die Informationen daraus benötigen Sie aber dann später für die Informationspflicht. Einen Teil dieser Informationspflicht deckt – wie Sie schon sagen – die Datenschutzerklärung auf Ihrer Webseite ab.
2. Genau, die Verfahren müssen auch für den internen Bereich beschrieben werden. Genauso müssen Sie die Verfahren auch für alle Prozesse beschreiben, die bei Ihnen intern im Unternehmen laufen, wenn diese personenbezogene Daten verarbeiten.
3.Ich würde den FB Chat schon als Verfahren beschreiben. Ein Verfahren richtet sich nicht danach, ob ein Plugin oder eine Software verwendet wird. Es geht beim Verfahren nach der Frage, ob personenbezogene Daten verarbeitet werden. Das könnte z.B. auch rein in Papierform sein. Die Organisation der Mitarbeiterdaten z.B. in einer Personalakte (Papier) ist auch ein Verfahren, auch wenn es überhaupt nicht IT-gestützt ist. Das ist, wie gesagt, kein Indikator. Sie müssen immer die Frage nach der Verarbeitung von personenbezogenen Daten stellen, ganz unabhängig des „Wie’s“ im ersten Schritt.
Danke für die netten Worte!
Viele Grüße
Regina Stoiber
Ein kleiner Exkurs zur DSGVO • Kettenritzel.cc says:
[…] dieses Verzeichnis genau enthalten muss sowie ein tolles Musterverzeichnis, findest du auf dem Blog von Regina Stoiber. Muss ich noch […]
Sabine says:
hallo Frau Stoiber, herzlichen Dank für die Infos zum Verfahrensverzeichnis. Ich betreibe meinen blogspot-blog mit Rezensionen und Buchvorstellungen. Lediglich die Kommentarfunktion ist noch in Betrieb. So wie ich oben in den anderen Kommentaren bereits gelesen habe, ist da kein Verfahrensverzeichnis notwendig?
Ansonsten hoffe ich, dass blogger zeitgerecht alles fertig hat, dass wir blogspot-blogger weiter bloggen können 😉 Herzliche Grüße Sabine
Natalie says:
Liebe Regina,
vielen Dank für Ihren hilfreichen Artikel, die Vorlage und auch die Antworten auf die Kommentare.
Detlev Nitsche says:
Hallo Frau Stoiber,
vielen Dank für Ihren Beitrag und das Excel-Formular, dass ich für meinen Verein verwenden werde.
Meine Frage: Muss ich meine bestehenden Mitglieder informieren, dass ich ihre Daten erhoben habe, oder genügt es, das Verfahren auf die Neumitglieder zu beschränken.
Für Ihre Antwort im Voraus vielen Dank!
Beste Grüße
Detlev Nitsche
Regina Stoiber says:
Die Informationspflicht sprechen Sie an, oder? Die müssen Sie nur für die Neumitglieder aktiv zur Verfügung stellen. Ich würde allerdings auch bei Gelegenheit – vielleicht auf einer (Haupt-)Versammlung das Thema einfach mal ansprechen und vielleicht einen Link angeben, an dem die Informationspflicht einsehbar ist.
Boris says:
Danke für diesen Artikel. Er hat mir in Verbindung mit dem Webinar gestern erst klar gemacht was wirklich alles in ein Verzeichnis muss. War sogar verständlicher als in einem teuren Guide den ich mir schon vor Wochen gekauft habe.
Allerdings habe ich eine Frage zu den Spalten „Übertragung und Speicherung“.
Zählt hier nur, wenn ich Daten aktiv weitergebe?
Wenn ich ein Newslettertool verwende, ist dann nicht das Newslettertool der Empfänger der Daten?
Wenn ich einen Server habe auf dem ich Kontakt Formulardaten in einer Datenbank speichere. Ist dann nicht der Server und die Datenbank darauf der Empfänger der Daten?
Oder geht es wirklich nur um Vorgänge bei denen aktiv Daten zu andere Gruppen übertragen werden und nicht um technische Empfänger?
Regina Stoiber says:
Freut mich, wenn meine Arbeit hilfreich ist 🙂
Ja, ich würde in die Felder „Empfänger“ nur diejenigen schreiben, die aktiv die Daten für weitere Zwecke erhalten. Alle anderen, also der Newsletterdienstleister und der Provider für den Webspace sind ja schon als Auftragsverarbeiter genannt und definieren im AVV ihre Schutzmaßnahmen. Hier passiert ja keine aktive Weitergabe, sondern nur eine Ermöglichung der Verarbeitung.
Yvonne says:
Hallo Frau Stoiber, tolle Seite – vielen Dank für die hilfreichen Tipps! Eine Frage: Muss ich im Verfahrensverzeichnis auch aufnehmen, wenn ich Tel.Nr. handschriftlich notiere also diese nicht im PC abspeichere?
LG Yvonne
Regina Stoiber says:
Erwägungsgrund 15 sagt dazu folgendes:
Der Schutz natürlicher Personen sollte für die automatisierte Verarbeitung personenbezogener Daten ebenso gelten wie für die manuelle Verarbeitung von personenbezogenen Daten, wenn die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. 3Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten nicht in den Anwendungsbereich dieser Verordnung fallen.
Das heißt, notieren Sie die Kontakte in alphabetischer Reihenfolge, dann sind sie relevant. Liegt keine Sortierung vor, dann brauchen Sie nicht ins Verfahrensverzeichnis 😉 Ich finde diesen Punkt ganz witzig. Aber so steht’s in der DSGVO!
DSGVO - Leitfaden zur Umsetzung für Blogger, Vereine und Freiberufler | Zeilenabstand.net - Blog für Kultur, Reisen und Webdesign says:
[…] Stoiber: Datenschutz Verfahrensverzeichnis mit Muster Regina Soiber: Vorschläge für ein Verfahrensverzeichnis DSGVO RA Stephan Hansen-Oest: Keine Zeit […]
Silvia says:
danke für den Artikel, ich hoffe das ich das Verzeichnis erstellen kann, da ich weder Kommentare noch Folgemöglichkeiten, auch keine Statistik habe, überlege ich was da überhaupt rein muss.
Regina Stoiber says:
Die Webseite selber ist auf jeden Fall ein eigenes Verfahren, ggf. die Webseitenanalyse, E-mail Kommunikation….
Checkliste: DSGVO vernünftig umsetzen als kleines Unternehmen in der Schweiz - Webdesign, SEO & Online Marketing | Schaffhauser Webagentur 80/20 Webdesign says:
[…] Update 23. Mai 2018: Eine gute Erklärung (speziell für Einzel-/Kleinunternehmer) inklusive Vorlage für Excel finden Sie hier. […]
TiaMel says:
Hallo Frau Stoiber,
vielen Dank für diesen tollen und informativen Beitrag. Darf ich fragen, ob meine Follow me Buttons in der Sidebar (facebook, insta usw.) auch in das Verzeichnis, bzw. auch in die Datenschutzerklärung müssen? Es sind Links zu meinen Profilen.
Lieber Gruß
Regina Stoiber says:
Nein, ins Verzeichnis würde ich die nicht packen. Wenn es reine Links (ohne Plugins im Hintergrund sind), müssen diese auch nicht in die Datenschutzerklärung. Eine allgemeine Passage in der DSE zu den sozialen Kanälen würde ich empfehlen.
LG
Kathalin says:
Guten Tag Frau Stoiber, auch von mir nochmal herzlichen Dank für diesen Artikel, der hilft mir sehr. Ich habe eine Frage zu den Speicherdauer/Löschfrist – welche ist denn rechtlich durch die DSGVO festgelegt worden? Dann würde ich diese, nehme ich an, immer in das Verfahrensverzeichnis eintragen oder?
Danke für Ihre Hilfe.
Herzliche Grüße,
Kathalin
Kathalin says:
Hallo Frau Stoiber, noch eine ergänze Frage: was muss ich in die blau markierten Felder „Absicherung der Daten im Verfahren“ im VVZ reinschreiben?
Danke auch für diese Info.
Herzliche Grüße,
Kathalin
Vanessa says:
Ich danke ihnen Frau Stoiber,
jetzt habe ich auch verstanden, was ich in mein Verzeichnis schreiben muss. Grade als kleiner Blogger ist das ja auch ein Wald mit zu vielen Bäumen 😉 Aber dank ihnen habe ich es verstanden.
Herzlichen Dankk.
Vanessa
Simone Petra says:
Liebe Frau Stoiber,
ich bin glücklich, dass ich Ihre Seite gefunden habe! Leider erst heute, aber besser spät als gar nicht. Eine Frage, da ich einen in Spanien eingetragenen Onlinehandel habe: kann ich das Verfahrensverzeichnis auch in deutscher Sprache führen oder ist die jeweilige EU-Landessprache obligatorisch? Leider gibt es in Spanien nicht annähernd so tolle Info-Seiten wir die Ihre. Herzlichen Dank dafür!
Regina Stoiber says:
Da bin ich nicht 100%ig sicher. Ich glaube, das muss dann spanisch sein. Aber fragen Sie da besser nochmal bei der Behörde nach. Tut mir leid, dass ich Ihnen da nichts definitives sagen kann.
Katarzyna Oberdorf says:
Danke, Sie sind ein Lebensretter! 🙂
DSGVO - Deutschlands zweiter D-Day nach 74 Jahren • Nicht spurlos says:
[…] geschehen. Die Bürokratie wurde wieder ein Stück gesteigert. Ganz besonders im Hinblick auf die jetzt geltende Dokumentationspflicht. Es muss schriftlich nachgewiesen werden können, dass der Datenschutz eingehalten worden […]
DSGVO Checkliste | Alltag Raus - Reiseblog says:
[…] Es muss ein Verfahrensverzeichnis angelegt werden, Infos gibt es z.B. hier. […]
Kathrin says:
Hallo Frau Stoiber,
vielen Dank für diesen ausführlichen Artikel! Leider habe ich immernoch ein großes Fragezeichen im Kopf, da ich mich nicht einordnen kann. Ich habe ein Kleinunternehmen (im Nebengewerbe) angemeldet, allerdings ohne eigene Webseite, Onlineshop oder auch Mitarbeiter. Lediglich bei Facebook(Fanseite z.Zt. auf unsichtbar geschaltet, weil ich nicht weiß, was genau ich da ändern muss) und Instagram bin ich vertreten. Den größten Teil meiner Kunden bekomme ich durch Mund-zu-Mund-Propaganda sowie im persönlichen Kontakt auf Märkten und Messen. Die Kontaktdaten werden in einem Kundenbuch notiert und nicht an Dritte weitergegeben.
Ich bin jetzt wirklich unsicher, wie ich vorgehen soll und wäre für jeden Tipp sehr dankbar!
Viele Grüße
Regina Stoiber says:
Dann würde ich im Verfahrensverzeichnis die klassischen Verfahren wie E-mail Kommunikation, ggf. Chat Kommunikation (über FB und Instagram), Kundenbuch / Kontaktverwaltung, Rechnungsstellung beschreiben.
Wenn es nicht mehr sind, dann ist das ja auch ok.
DSGVO für Blogger leicht gemacht: Guide, Checkliste & wichtige Links says:
[…] bei Datenschützerin Regina Stoiber: Excel-Vorlage Verarbeitungsverzeichnis (Muster). Sie klärt in diesem Artikel auch noch einmal alle weiteren Informationen zum […]
Severin says:
Gut erklaert! Vielen Dank!
Regina Stoiber says:
Sehr gerne! Danke Dir! 🙂
Ich bin noch da … ! | weisnähschen says:
[…] https://regina-stoiber.com/2018/03/11/datenschutz-verfahrensverzeichnis-nach-artikel-30-dsgvo-mit-mu… […]
DSGVO Linksammlung - Oli's Blog says:
[…] https://regina-stoiber.com/2018/03/11/datenschutz-verfahrensverzeichnis-nach-artikel-30-dsgvo-mit-mu… https://www.lda.bayern.de/de/kleine-unternehmen.html […]
Spieluhr.de says:
Knapper, aber prägnanter Artikel besten Dank dafür!
Datenschutzfolgeabschätzung (DSFA) mit Muster nach Art. 35 DSGVO | Datenbeschützerin Regina Stoiber says:
[…] das Thema DSFA überhaupt auf den Tisch kommt, muss zuallererst ein Verfahren in der Verfahrensübersicht beschrieben werden. Je besser die Dokumentation bereits in der Verfahrensbeschreibung ist, desto […]
Warum die Einwilligungserklärung die DSGVO kaputt macht says:
[…] benötigen (sehr wahrscheinlich) ein Verfahrensverzeichnis nach Art. 30 DSGVO. In den Pflichtangaben des Verfahrensverzeichnisses muss die Rechtmäßigkeit nicht angegeben […]
Valarim says:
Die guten Antworten auf die Kommentare sind teils sogar schon nützlicher als der Artikel selbst. Danke für alles! Seiten wie diese machen den Datenschutz-Dschungel so viel klarer.
Modraz says:
Sehr guter Beitrag. Super erklärt!
Viele Grüße
Regina Stoiber says:
Herzlichen Dank!
Bußgelder nach der DSGVO | Datenbeschützerin Regina Stoiber says:
[…] finden Sie in einem weiterem Blogartikel. Des Weiteren sind die Prozesse der Datenverarbeitung im Verfahrensverzeichnis zu dokumentieren und dieBetroffenen mittels der Informationspflicht zu […]
Prüfungskatalog DSGVO-Umsetzung in der Wirtschaft | Datenbeschützerin Regina Stoiber says:
[…] wird, dass alle Geschäftsabläufe mit personenbezogenen Daten erfasst wurden und ob das Verfahrensverzeichnis die Kriterien nach Art. 30 DSGVO […]
Der Weg zu meiner großen Hassliebe DSGVO | Sprachfaible.de says:
[…] In einem Verfahrensverzeichnis werden alle Wege, die Kundendaten vom Kommentarfeld bis zum Steuerberater nehmen, detailliert beschrieben. Hier finden Sie eine Vorlage für ein Verfahrensverzeichnis. […]
Gewappnet für den Launch? | Bloggen für Anfänger #10 | Myna Kaltschnee says:
[…] “Datenschutz Verfahrensverzeichnis mit Muster” von Regina Stoiber […]
Can says:
Danke für die Ausführliche Blog. Nun habe ich jetzt eine frage… im Internet gibt sowas wie DSGVO Creator. Du tippst ein par Daten von dir ein und es wird dir ein DS. Generiert. Wie nützlich und rechtlich sicher sowas? Könnte mir jemand da vielleicht helfen? Sollte man sich lieber für sowas ein Anwalt nehmen? Ich meine um ein Datenschutzerklärung zu schreiben?
Regina Stoiber says:
Wenn wir jetzt nur von der Datenschutzerklärung für die Webseite sprechen, dann würde ich da sagen, dass man mit den Generatoren (je nach Anbieter) ca. 70-90% der Anforderungen abdeckt. Das wichtigste ist, dass man die Webseite gut kennt und weiß, was man ankreuzen muss. Unsere Erfahrung ist, dass wir immer wieder Aufträge zur Erstellung einer DSE von Webdesignern erhalten, die uns Infos über die Webseite geben. Diese Infos sind aber nicht vollständig. Weil z.B. der Webdesigner auf der Webseite ein Plugin eingebunden hat und gar nicht weiß, dass bzw. welche Daten das Plugin wohin überträgt. Diese Infos sind essentiell für eine Datenschutzerklärung.
Bei solchen individuellen oder eher nicht so häufigen Plugins kann auch der Generator nicht mehr helfen.
Wir nutzen für unsere Kunden auch DSE-Generatoren, analysieren aber vorher die Webseite und ergänzen dann die restlichen Passagen manuell in der Datenschutzerklärung. Wenn man weiß, was die restlichen Datenflüsse und Datenverarbeitungen sind, braucht man keinen Anwalt. Was in so einer Passage drin stehen muss, sagt Artikel 13 der DSGVO exakt aus. Wenn man sich danach richtet, kann man das auch selber machen.
Sollte sich die Frage generell auf die Informationspflicht nach Art. 13 und Art. 14 beziehen (also nicht nur auf den Teilbereich Datenschutzerklärung auf der Webseite), dann wäre ich mit einem Generator zurückhaltend.
Ich hoffe, ich konnte Ihnen mit der Antwort weiter helfen.
Viele Grüße
Regina
Jan says:
Wie oft sollte man die DSGVO ändern bzw. Aktuell halten?
MfG.
Regina Stoiber says:
Hallo Jan,
„DSGVO ändern“ wäre ja das Gesetz zu ändern. Aber ich glaube die Frage zielt darauf ab, wie oft das Verfahrensverzeichnis aktualisiert werden sollte, oder? Auf jeden Fall sollte einmal jährlich ein Audit mit Prüfung des Verfahrensverzeichnisses durchgeführt werden.
Wenn ein neues Verfahren geplant ist oder implementiert wird (z.B. Einführung einer neuen zentralen Software), sollte das gleich bei der Umsetzung / Planung in Bezug auf den Datenschutz aktualisiert werden.
Ich hoffe, das beantwortet die Frage.
VG Regina
Adrian Fuhrer says:
Super erklärt, vielen Dank.