Datenschutz Verfahrensverzeichnis mit Muster

Datenschutz Verfahrensverzeichnis nach DSGVO

Ein Verzeichnis von Verarbeitungstätigkeiten hört sich kompliziert an. Wer braucht es? Wie muss es erstellt werden? Was gehört alles hinein?

Fragen über Fragen. Mit diesem Beitrag möchte ich Ihnen eine einfache Anleitung geben, wie Sie dieses vermeintliche komplexe Gebilde doch relativ einfach umsetzen können.

 

Was ist überhaupt ein Verfahrensverzeichnis?

Der Name im Gesetz lautet „Verzeichnis von Verarbeitungstätigkeiten“. Unter den Verarbeitungstätigkeiten im Sinne des Datenschutzes versteht man alle Vorgänge im Unternehmen, die personenbezogene Daten verarbeiten. Also einfach gesagt, wo überall kommen Sie, Ihre Kollegen oder Ihre Mitarbeiter mit Informationen in Kontakt, bei denen reale Personen dahinter stehen? Das ist auf jeden Fall die Lohnabrechnung, die Mitarbeiterverwaltung, aber auch zum Beispiel ein Einzelverbindungsnachweis der Telefonie. Sind Ihre Kunden Endverbraucher, dann haben Sie wahrscheinlich deren Adressen, E-mail Kontakte, Zahlungsdaten, Einkaufsverhalten und noch vieles mehr.

Im Verfahrensverzeichnis listen Sie nun alle „Verfahren“ auf, bei denen Sie diese Daten erfassen oder verarbeiten.

Je nach Unternehmen ist diese Liste unterschiedlich lang. Es macht einen Unterschied, ob Sie Solopreneur sind oder das Verfahrensverzeichnis für ein Großunternehmen erstellen. Sind Ihre Kunden Businesskunden oder Endverbraucher? Bei Businesskunden fallen einige Verfahren weg, da ein Geschäftskunde ja nur teilweise personenbezogene Daten im Geschäftsverkehr preisgibt.

 

Wer braucht ein Verfahrensverzeichnis?

Da gibt’s (fast) keine Ausnahme. Jedes Unternehmen, bzw. jeder Unternehmer und Selbständige ist dafür verantwortlich eine Verfahrensübersicht zu führen. Es gibt zwar theoretisch die Ausnahme im Artikel 30 der DSGVO. Nur ab 250 Mitarbeitern im Unternehmen muss ein Verfahrensverzeichnis erstellt werden, so Absatz 5. Liest man ihn aber zu Ende, hebt er sich selber wieder auf. Wenn nämlich eine Verarbeitung nicht nur gelegentlich durchgeführt wird, muss sie ins Verfahrensverzeichnis.

Unabhängig davon, ob Sie einen Datenschutzbeauftragten haben / brauchen oder nicht. Das Verzeichnis benötigen Sie immer. Außer wie gerade erwähnt, sie verarbeiten nur „gelegentlich“.

Wobei nebenbei gesagt, diese Forderung an ein Verfahrensverzeichnis ist nicht neu. Die besteht auch bisher schon. Das ist nichts, was mit der DSGVO kam. Wenn Sie auch bisher ein funktionierendes Datenschutz System in Ihrem Unternehmen etabliert haben, wird Sie diese Forderung nicht überraschen.

 

Wer erstellt das Verfahrensverzeichnis?

Auf Anregung im Kommentar füge ich gerne noch den Punkt hinzu. Wer ist denn verantwortlich für die Erstellung des Verfahrensverzeichnisses? Das ist wie so oft der Verantwortliche für die Datenverarbeitung und das ist der Unternehmer bzw. Geschäftsführer. Also wie das Gesetz es nennt „die verantwortliche Stelle“.

Wer „macht“ die Arbeit in der Praxis ist dann wieder eine andere Sache. Als Datenschutzbeauftragter übernehme ich für „meine“ Unternehmen die Koordination der Erstellung und leiste Hilfe bei der Erstellung. Anschließend gibt es aber auf jeden Fall ein Review mit der Geschäftsführung, da die ja die verantwortliche Stelle ist und letztendlich dafür auch Rechenschaft übernehmen muss.

Ja nach Ihrer Unternehmensgröße sollten Sie überlegen, was die effizienteste und beste Lösung ist, das Verfahrensverzeichnis für Sie zu erstellen und zu pflegen. Bei kleineren Unternehmen oder Einzelunternehmen spreche ich direkt mit dem Geschäftsführer bzw. Inhaber und wir erstellen in einem kleinen Frage-Antwort Interview das Verfahrensverzeichnis. Anschließend übergebe ich die Dokumentation dann in die Hände der verantwortlichen Stelle.

Was gehört alles in ein Verfahrensverzeichnis?

Der Inhalt definiert sich aus Artikel 30 der Datenschutzgrundverordnung. Hier ist zusammenfassend aufgelistet, welche Informationen enthalten sein müssen.

  1. Name und Kontakt des Verantwortlichen
  2. Zweck der Verarbeitung, also das WARUM.
  3. Welche Personengruppen sind betroffen und welche Daten von ihnen
  4. Wem werden diese Daten zur Verfügung gestellt (intern, extern, auch Drittländer)
  5. Beschreibung der Übermittlung an das Drittland (ist dies rechtlich abgesichert)?
  6. Vorgesehene Löschfristen der Daten (wenn möglich)
  7. allg. Beschreibung der technisch Sicherheit der Daten (wenn möglich)

Diese Informationen müssen Sie für Ihre eigenen Verarbeitungen dokumentieren. Ebenso müssen Sie aber dieselben Informationen zur Verfügung stellen, wenn Sie für Ihre Kunden zum Beispiel Daten verarbeiten. Beispiel: Sie machen intern die Lohnabrechnung für Ihre Mitarbeiter, dann ist dies ein zu dokumentierendes Verfahren. Machen Sie die Lohnbuchhaltung aber auch als Dienstleister für Ihre Kunden, dann müssen Sie das ebenfalls dokumentieren. Dann sind Sie in der Fachsprache als Auftragsverarbeiter tätig.

 

Gibt es „Standardverfahren“?

Standardverfahren würde ich es nicht unbedingt nennen, aber auf jeden Fall gibt es Verfahren, die regelmäßig und so gut wie in jedem Unternehmen vorkommen. Was fällt darunter?

Haben Sie Mitarbeiter? Dann haben Sie natürlich immer alle Prozesse rund um die Mitarbeiterverwaltung: Bewerbungen, Lohnabrechnung, PC-Zugänge und so weiter. Aber auch ohne Mitarbeiter gibt es immer wiederkehrende Verfahren. Denken Sie nur an die Internetpräsenz. E-Mail Marketing über Newsletter, Analyse des Besucherverhaltens Ihrer Webseite um nur zwei Verfahren zu nennen.

 

Datenschutz Verfahrensverzeichnis nach DSGVO
Pin it!

 

Wie sieht ein Muster eines Verfahrensverzeichnisses aus?

Natürlich können Sie sich auch dafür eine spezielle Software kaufen. Aber in vielen Fällen wäre damit mit Kanonen auf Spatzen geschossen. Ich empfehle Ihnen eine einfach Excel Liste die folgende Spalten enthält:

  • Name des Verfahren
  • Als Auftragsverarbeiter (j / n)
  • Datum der Erfassung
  • Name des Verantwortlichen
  • E-mail des Verantwortlichen
  • Telefonnummer des Verantwortlichen
  • Beschreibung der Verarbeitung / Zweck
  • Betroffene Personengruppen
  • Betroffene Daten
  • Empfänger der Daten
  • Empfänger der Daten in einem Drittland
  • Beschreibung der Absicherung der Datenübermittlung in das Drittland
  • Löschfrist
  • Beschreibung der IT-Sicherheit der Daten
  • Beschreibung der physikalischen Sicherheit der Daten

Natürlich können Sie diese Excel Liste um beliebige Spalten ergänzen. Das ist meine Empfehlung nach Artikel 30 ein Verfahrensverzeichnis einfach und kompakt zu erstellen. Mit diesen Feldern haben Sie auch relativ wenig Aufwand, die Verfahren zu beschreiben.

 

Hier finden Sie eine Vorlage als PDF, die Sie gerne übernehmen können.

Datenschutz Verfahrensverzeichnis nach DSGVO

Verfahrensverzeichnis Muster DSGVO Vorlage

 

Vor-ausgefülltes Verfahrensverzeichnis

Übrigens, ein vor-ausgefülltes Verfahrensverzeichnis mit über 20 Verfahren für Online- und Kleinunternehmer finden Sie in meinen Onlinekurs.

 

Vorgehensweise zur Befüllung

Je nach Unternehmensgröße befüllen Sie das Verfahrensverzeichnis entweder allein oder gemeinsam mit Kollegen. In größeren Unternehmen ist es die Aufgabe des Datenschutzbeauftragten, sich darum zu kümmern. Für meine Kunden bevorzuge ich die Erstellung des Verfahrensverzeichnisses im Rahmen von Interviews. In Gesprächen mit den Abteilungsleitern der Unternehmen hinterfrage ich ihre Prozesse auf die Verarbeitung personenbezogener Daten. Relativ oft kommt man an die Stelle, dass im Verfahren eine dritte Partei als externer Auftragsverarbeiter eingebunden ist. Diese Information ist wertvoll für die Erstellung der Verträge zur Auftragsdatenverarbeitung. Ergänzen Sie diese Notiz in Ihrer Dokumentation an geeigneter Stelle.

Grundsätzlich kann ich Ihnen als Vorgehensweise empfehlen, sich an den Prozessen des Unternehmens „durchzuhangeln“. Auch wenn Sie kein dokumentiertes QM-System haben, haben Sie doch Abläufe, die Sie regelmäßig ausführen. Gehen Sie diese gedanklich durch und erfassen Sie im Verfahrensverzeichnis die Verarbeitungen personenbezogener Daten.

 

Wie sind Ihre Erfahrungen?

Arbeiten Sie schon an einem Verfahrensverzeichnis? Wie haben Sie es bisher gelöst? Wo sind Ihre größten Hürden in der Praxis?

Schreiben Sie einen Kommentar!

 

Brauchen Sie Unterstützung?

Ich stehe Ihnen gerne mit Rat und Tat zur Verfügung, um Ihr Verfahrensverzeichnis zu erstellen.

 

 

 

Bildquelle: Nietjuh@Pixabay

Regina Stoiber

Seit über 10 Jahren bin ich nun im Bereich Informationssicherheit und Datenschutz tätig. Mit Begeisterung für das Thema bin ich seit einigen Jahren nun selbständig. Ich unterstütze Sie, beim Schützen Ihrer Daten. Praxisorientiert, strukturiert und persönlich.

66 Comments on “Datenschutz Verfahrensverzeichnis mit Muster
  • Gerhard Pundt says:

    Hallo Frau Stoiber,

    ein gelungener Artikel. Kurz und knapp beschreiben Sie, worum es geht.

    Allerdings „sprechen“ Sie recht neutral die/den „Sie“ an. Ich glaube, es wäre nützlich, wenn im Beitrag herauskommt, dass der Verantwortliche das Verzeichnis zu erstellen hat und nicht der Datenschutzbeauftragte. Das ist nämlich häufige Praxis in Unternehmen, der Datenschutzbeauftragte soll es richten.

    Gerhard

    Antworten
  • Was ändert sich bei der Informationspflicht mit der DSGVO? | Datenbeschützerin says:

    […] Das Gesetz fordert an anderer Stelle in Artikel 30 der DSGVO eine Übersicht aller Verfahren zur Verarbeitung personenbezogener Daten in Ihrem Unternehmen. Einen Artikel mit Muster Verfahrensverzeichnis finden Sie ebenfalls im Blog. […]

    Antworten
  • Wie setze ich die Anforderungen der DSGVO für meine Website um? says:

    […] Stoiber hat einen tollen Artikel über das mit der DSGVO Pflicht werdenende Verfahrensverzeichnis geschrieben (inkl. […]

    Antworten
  • DSGVO-Checkliste für Blogger und Online-Unternehmer - Blogmojo says:

    […] Mehr zum detaillierten Aufbau und Inhalt eines Verfahrensverzeichnisses findest du in meinem Artikel mit Mustervorlage zum Verfahrensverzeichnis. […]

    Antworten
  • DSGVO für Blogger - Checkliste und Linksammlung | Blog Your Thing says:

    […] alles in ein Verfahrensverzeichnis gehört und wie du es erstellst, findest du bei Regina Stoiber. Dort findest du außerdem ein Muster, wie das Verfahrensverzeichnis […]

    Antworten
  • DSGVO-Linksammlung: 40+ nützliche Artikel, Tools und Vorlagen says:

    […] Datenschutz Verfahrensverzeichnis mit Muster (Regina Stoiber) […]

    Antworten
  • Elias says:

    Super Vorlage… gibt es diese auch als Excel / Google Docs Dokument zum direkten kopieren?

    Antworten
  • Regina Stoiber says:

    Danke! Ich hab’s im Artikel ergänzt. Jetzt steht die Vorlage auch als Excel zur Verfügung.

    Antworten
  • Hanno Köhncke says:

    Meine Meinung als Einzelunternehmer/Solopreneur ist: Sollte eine Bombe auf das EU-Parlament fallen und alle Politiker töten, die die DSGVO auf den Weg gebracht haben – ich würde nicht weinen.

    Letztendlich ist der Aufwand für kleine Unternehmen mit hier einer neuen „Schutz“-Vorschrift, da einer kleinen „Schutz“-Vorschrift ein riesiger Sandhaufen und echter Sand im Getriebe. Dieser ungeheure Aufwand frißt zeitliche Ressourcen der arbeitswilligen Bevölkerung ohne einen „Schutz“ zu erzeugen, den irgendjemand braucht und haben will. Wer will denn beim Besuch von Webseiten demnächst alles Mögliche zustimmenderweise oder nicht zustimmenderweise anklicken und wegklicken müssen? – Das will fast Niemand, das schafft nur eins: Politik- und Demokratie-Verdrossenheit. Und sichert auch nur eins: Den Politikern eine Platz auf der Ansehensrangliste am unteren Ende.

    Antworten
  • Checkliste: Datenschutz für WordPress Blogs - familös says:

    […] Das Verfahrensverzeichnis kenne ich bereits von meiner Firma, die meisten Kollegen brechen bei dem „bösen Wort“ in Panik aus ;). Für Blogger ist das aber nicht dramatisch, meistens gibt es doch gar nicht so viele Verfahren. Sobald ich ein paar Verfahren aufgeschrieben habe, teile ich euch das mit, ihr dürft dann gerne bei mir spicken *gg. Vorab bekommt ihr hier ein paar wichtige Infos zum Verfahrensverzeichnis. […]

    Antworten
  • Wera says:

    Danke vielmals für die Excel-Datei, super!

    Antworten
  • Blogspot & DSGVO: Checkliste (und ungelöste Fragen!) - Blogmojo says:

    […] Was dieses Verzeichnis genau enthalten muss sowie ein tolles Musterverzeichnis, findest du auf dem Blog von Regina Stoiber. […]

    Antworten
  • DSGVO Linktipps says:

    […] Datenschutz Verfahrensverzeichnis mit Muster […]

    Antworten
  • Sonja says:

    Hallo Frau Stoiber,

    vielen Dank für diesen tollen Artikel und auch die Vorlage! Ich habe noch eine Frage dazu: Ich bin Bloggerin (mit Kleinunternehmen, also inkl. Shop). Auf meinem Blog speichere ich also Kundendaten (die ich ja auch aufbewahren muss) und auch Daten von Kommentatoren.
    Muss ich letztere auch in dem Verfahrensverzeichnis verzeichnen? Und muss das rückwirkend geschehen?
    Reicht es, wenn ich einmal in dem Verzeichnis angebe, dass Kommentare soundso gespeichert werden, oder muss ich neue Kommentare mit aufzeichnen? Stellt das nicht selbst eine unnötige Datensammlung dar?

    Im Bloggerland regen sich alle nur auf, keiner weiß es. Vielleicht können Sie da helfen?

    Ach ja, eine DSGVO-Checkbox für sämtliche Formulare auf dem Blog und Shop habe ich bereits eingerichtet.

    Vielen Dank und viele Grüße,
    Sonja

    Antworten
    • Regina Stoiber says:

      Hallo Sonja,

      danke für das positive Feedback. Freut mich sehr.
      Ganz wichtig, es müssen KEINE einzelnen Kommentare in der Liste aufgenommen werden. Also ist es für das Verfahrensverzeichnis egal, ob es „alte“ oder „neue“ Kommentare sind.
      Es gibt ein Verfahren, das heißt z.B. „Kommentare“ und dient dem Zweck, Interaktion auf dem Blog und Diskussion / Austausch aufzubauen. (So irgendwie wäre meine Beschreibung). Dann beschreiben Sie noch allg. welche Daten gesammelt werden, also in der Regel: E-mail Adresse, Kommentar, Name, ggf. Domain URL und IP-Adresse. Betroffene Personengruppe: Webseitenbetreiber. Wie lange Sie die Kommentare speichern liegt an Ihnen. In der Regel so lange, wie es Ihre Internetseite gibt. Sie wollen ja die Kommentare nicht löschen, denke ich. Wäre ja auch nicht sinnvoll. Ein Blog lebt ja davon.
      Also nur eine allg. Beschreibung des Verfahrens „Kommentare auf dem Blog“ und fertig. Das haben Sie in 3 Minuten 🙂

      Hoffe, ich konnte Ihnen weiter helfen.

      LG Regina

      Antworten
  • Sonja says:

    Oh super, vielen Dank! Dann ist das ja gar nicht so der Aufwand. Danke auch für das Template! 🙂

    Viele Grüße,
    Sonja

    Antworten
  • Vorschläge für ein Verfahrensverzeichnis DSGVO | Datenbeschützerin says:

    […] in Excel und PDF, wie ein Verfahrensverzeichnis aufgebaut werden soll, stelle ich im Blogartikel „Verfahrensverzeichnis mit Muster“ zur Verfügung. Sogar ein ausgefülltes Verfahrensverzeichnis für Online- und Kleinunternehmer […]

    Antworten
  • Veränderungen auf unserem Reiseblog durch die DSGVO says:

    […] Was das überhaupt genau ist und wie so etwas auszusehen hat, das kannst Du dir am besten bei Regina Stoiber durchlesen. Das Ganze ist zur Zeit für unseren Blog in Arbeit und sollte rechtzeitig zum Stichtag am 25.Mai […]

    Antworten
  • Nicole says:

    Vielen lieben DANK!!!!! für Deine Hilfe und Unterstützung vor allem auch von so kleinen Hobby-Bloggerinnen wie mir! DANKESCHÖN!! Mit lieben Grüßen! Nicole PS. Deine Ergänzung zu den Komentaren hilft mir schon sehr!!!! – Denn das ist eigentlich auch die einzige Datensammlung bei mir *zwinker*

    Antworten
  • DSGVO – Umsetzung auf meinem Blog says:

    […] Geholfen haben mir die folgenden zwei Seiten: Vorschläge für ein Verfahrensverzeichnis DSGVO und Datenschutz Verfahrensverzeichnis mit Muster. Fazit: In […]

    Antworten
  • Alex says:

    Guten Tag,

    vielen lieben Dank für diesen sehr hilfreichen Beitrag.
    Ich frage mich jedoch noch, ob man auch zu diesem Verfahrensverzeichnis verpflichtet ist, wenn man als Autor eine minimalistische Website betreibt auf der es lediglich einige Infos zum Buch und einen Link zum Verlag, wo es gekauft werden kann gibt. An sich wird kein Verkauf oder ähnliches auf der Seite betrieben.

    (Zusätzlich gibt es eine Emailadresse für die Kontaktaufnahme und ein Gästebuch, wo in der Datenschutzerklärung (+ Kästchen) hingewiesen wird, dass der angegebene Name und Kommentar dauerhaft gespeichert werden)

    Antworten
    • Regina Stoiber says:

      Dankeschön für die Rückmeldung.
      Es gibt die Ausnahme, wenn sie weniger als 250 Mitarbeiter haben oder personenbezogene Daten nicht regelmäßig verarbeiten. Sobald man aber eine Webseite betreibt, verarbeitete man ja personenbezogene Daten regelmäßig. Wenn Sie das nicht haben, brauchen Sie kein VVZ.
      Ich denke, wenn es bei Ihnen aber so minimalistisch ist, dann haben Sie das VVZ in Kürze erstellt. Speichern es ab und fertig 😉

      Antworten
  • Jacqueline says:

    Hallo,

    vielen Dank für den Beitrag!
    Leider bin ich mir immernoch unschlüssig.
    Ich betreibe einen Hobby-Buchblog, mit dem ich kein Geld verdiene. Google Analytics habe ich entfernt, die Kommentarfunktion werde ich zum 25.05. ausschalten, Affiliates habe ich keine und für Newsletter habe ich nur einen Link zu Feedburner, bei dem man ja die Auswertung für die Statistik auch abschalten kann. Ich habe ehrlich gesagt keine Ahnung, WAS ich genau in das Verzeichnis schreiben muss, da ich AKTIV keine Daten auswerte, speichere oder Ähnliches. Können Sie mir eventuell sagen, wie ich mich zu verhalten habe?

    Viele Grüße 🙂

    Antworten
    • Regina Stoiber says:

      Hallo Jacqueline,
      dann ist wirklich die Frage, ob tatsächlich ein Verfahrensverzeichnis nötig ist. Wenn Sie sonst nichts machen und auswerten, ist es wahrscheinlich wirklich nicht nötig.
      Grundsätzlich ist ja mit Blogspot auch noch zu verfolgen, wie das ganze sich weiter entwickelt. Mir ist aber aufgefallen, dass die Datenschutzerklärung nicht up-to-date ist. Da wäre aber sicherlich der freie e-recht24 Generator ganz hilfreich.

      LG Regina

      Antworten
  • Jacqueline says:

    Liebe Regina,

    vielen lieben Dank für Ihre Antwort und den Hinweis. Habe den Datenschutz aktualisiert und hoffe, dass ich alles richtig gemacht habe 😀 Also falls Ihnen noch etwas auffallen sollte, bin ich für jeden Hinweis dankbar 😀

    Generell habe ich vor, den 25.05. abzuwarten um zu sehen, ob Blogspot noch ein paar Änderungen mit sich bringt. Ansonsten wird ein Umzug wohl unausweichlich. Leider weiß ich nicht wirklich, was die sicherste Lösung wäre. ich vermute, das wird uns wirklich erst das Go-Live zeigen. Viele raten mir dazu, zu WP zu wechseln, aber selbst hosten? Oder reicht managed über 1 und 1 oder Strato? Und wo finden sie Fachleute, denen man dann den letzten „Feinschliff“ übertragen kann, bzw. beauftragen kann? Fragen über Fragen… Sie sehen, ich bin wirklich froh, wenn es dann soweit ist und klar wird, wo die Reise letztlich hinführt. Ist leider sehr nervenaufreibend, wenn man technisch nicht so versiert ist 😀

    Liebe Grüße und einen schönen Abend an Sie!
    Jacqueline

    Antworten
  • Crafting Linktipps April 2018 * The Crafting Café says:

    […] habe ich auch einen schönen Artikel zum Datenschutz Verfahrensverzeichnis mit Muster gefunden. Zur Info: JEDER Blogger ist verpflichtet so ein Verzeichnis zu führen! Ich finde es hier […]

    Antworten
  • Conny says:

    Liebe Regina,

    vielen Dank für den tollen Artikel! Ich habe da aber noch eine etwas grundlegende Frage und hoffe, Sie können hier etwas Licht in diese für mich noch eher dunkle Kammer der DSGVO bringen. Ich habe einen nichtkommerziellen Blog bei Blogspot und wie so viele andere auch sammle ich selbst aktiv keine Daten. Ich selbst kann nicht mal genau sagen, WELCHE Daten genau durch Blogspot erhoben werden (durch die automatische Statistik, die man nicht abstellen kann oder durch Kommentarfunktion, etc). Liege ich richtig, wenn ich meine, dass ich das erst durch den AV erfahren werde (den es allerdings noch nicht gibt) und erst anhand dessen dann eigentlich das Verfahrensverzeichnis erstellen kann?

    Antworten
    • Regina Stoiber says:

      Liebe Conny,
      vielen Dank für dein nettes Feedback. Genau, die Infos müssen von Blogspot kommen und sollten im AVV enthalten sein. Alternativ können die ganzen Infos auch in einer Datenschutzerklärung von Blogspot aufgelistet sein (dort sollten sie eigentlich zusätzlich stehen). Aber meines Wissens hat Blogspot bisher da noch keine Infos raus gegeben. Hoffe, das ändert sich bald.

      LG Regina

      Antworten
  • Zwischenboss DSGVO - Aaah! - Fried Phoenix says:

    […] DATENSCHUTZ VERFAHRENSVERZEICHNIS MIT MUSTER […]

    Antworten
  • Manuela Candal says:

    Liebe Regina
    vielen Dank für diesen ausführlichen Beitrag. Ich habe mir bereits viele wichtige und hilfreiche Tipps bei einem anderen sehr lieben Menschen eingeholt, der eine engelsgeduld mit mir und meinen Fragen hat. Hier habe ich nun noch weitere Antworten auf meine Fragen erhalten. Jedoch bin ich trotzdem noch nicht so richtig überzeugt von meinem Verzeichnis. Ich teste und stelle Produkte in einem Blog vor und hoffe, dass ich mit meinem Verzeichnis nun alles richtig gemacht habe. Da ich meinen Blog auch auf Blogspot habe ist dies für mich eine etwas unsichere Sache. Mein Blog besteht nun schon seit 7 Jahren und will ihn ungerne aufgeben. Gäbe es denn jemand, der sich so ein Verzeichnis mal anschauen könnte, wenn es erstellt ist?
    Liebe Grüße
    Manuela

    Antworten
    • Regina Stoiber says:

      Liebe Manuela,
      gerne schauen wir uns dein Verfahrensverzeichnis an, wenn du magst. Wir machen das meistens im Rahmen eines gemeinsamen Onlinemeetings. Dauer ca. 1 – 2 Stunden.
      Schreib mir eine E-mail, falls das für dich interessant ist.

      LG Regina

      Antworten
  • DSGVO für Selbstständige & Blogger – das musst du jetzt umsetzen! | FRAU FUCHSIA & die smarten Füchse says:

    […] Vorlage für solch ein Verzeichnis findest du z.B. bei activemind.de  oder Regina Stoiber […]

    Antworten
  • Herr Otto says:

    Hallo Frau Stoiber, vielen Dank für Ihren Artikel! Ich habe mich jetzt schon auf verschiedenen Wegen versucht über die neue DSGVO zu informieren, blicke aber ehrlich gesagt immer noch nicht ganz durch. So betreibe ich nebenher ein Kleingewerbe (Erstellen und Betreuen von Websites). Ich selbst habe keine Website (Kunden bekomme ich über Empfehlungen) und verarbeite/nutze personenbezogene Daten eigentlich nur beim Rechnungschreiben und bei der Kommunikation mit dem Kunden (E-Mail / Telefon). Muss ich da ein Verfahrensverzeichnis führen? Herzliche Grüße!

    Antworten
    • Regina Stoiber says:

      Ich würde auf Nummer sicher gehen und ein VVZ erstellen. Das ist ja dann bei Ihnen minimal. Haben Sie z.B. Zugriff auf Analysedaten der Kundenwebseiten, z.B. google Analytics und co? Oder haben Ihre Kunden Plugins im Einsatz, die personenbezogene Daten verarbeiten und Sie haben darauf Zugriff. Dann sind Sie damit auch Auftragsverarbeiter.
      Das VVZ ist gar nicht so tragisch, wie es im ersten Moment zu sein scheint 🙂

      Viele Grüße
      Regina Stoiber

      Antworten
  • Scheit says:

    Liebe Frau Stoiber, danke für diesen informativen Artikel. Ein paar Fragen bleiben für mich offen:

    1. Müssen die Verfahren unter einer gesonderten Überschrift namens „Verfahrensverzeichnis“ als Teil der Datenschutzbestimmung auf unserer Webseite beschrieben werden, oder fließen diese Beschreibungen an den entsprechenden Stellen ein (z. B. im Abschnitt Cookies, im Abschnitt Newsletter etc.)?

    2. Wir betreiben ein öffentliche Webseite, auf der man sich in einen passwortgeschützten Bereich einloggen kann, um dort Fotos mit der Familie zu teilen. Müssen die Verfahren auch für den privaten Bereich beschrieben werden?

    3. Wir nutzen Facebook, allerdings ohne Plugins/Pixels etc., sondern nur zum Chat mit Kunden, ohne Messenger. Ich finde keine Infos darüber, ob Facebook diese Chatdaten auch ohne Plugin speichert bzw. dabei Personendaten abgreift. Gehört diese Kommunikationsform dennoch ins Verfahrensverzeichnis?

    Ich danke Ihnen sehr herzlich im Voraus für Ihre Antwort. Es ist sehr hilfreich, dass es eine (aktive!) Webseite wie die Ihre gibt.

    Antworten
    • Regina Stoiber says:

      1. Das Verfahrensverzeichnis erstellen Sie erst mal für sich und geben es nicht der Öffentlichkeit preis. Die Informationen daraus benötigen Sie aber dann später für die Informationspflicht. Einen Teil dieser Informationspflicht deckt – wie Sie schon sagen – die Datenschutzerklärung auf Ihrer Webseite ab.

      2. Genau, die Verfahren müssen auch für den internen Bereich beschrieben werden. Genauso müssen Sie die Verfahren auch für alle Prozesse beschreiben, die bei Ihnen intern im Unternehmen laufen, wenn diese personenbezogene Daten verarbeiten.

      3.Ich würde den FB Chat schon als Verfahren beschreiben. Ein Verfahren richtet sich nicht danach, ob ein Plugin oder eine Software verwendet wird. Es geht beim Verfahren nach der Frage, ob personenbezogene Daten verarbeitet werden. Das könnte z.B. auch rein in Papierform sein. Die Organisation der Mitarbeiterdaten z.B. in einer Personalakte (Papier) ist auch ein Verfahren, auch wenn es überhaupt nicht IT-gestützt ist. Das ist, wie gesagt, kein Indikator. Sie müssen immer die Frage nach der Verarbeitung von personenbezogenen Daten stellen, ganz unabhängig des „Wie’s“ im ersten Schritt.

      Danke für die netten Worte!
      Viele Grüße
      Regina Stoiber

      Antworten
  • Ein kleiner Exkurs zur DSGVO • Kettenritzel.cc says:

    […] dieses Verzeichnis genau enthalten muss sowie ein tolles Musterverzeichnis, findest du auf dem Blog von Regina Stoiber. Muss ich noch […]

    Antworten
  • Sabine says:

    hallo Frau Stoiber, herzlichen Dank für die Infos zum Verfahrensverzeichnis. Ich betreibe meinen blogspot-blog mit Rezensionen und Buchvorstellungen. Lediglich die Kommentarfunktion ist noch in Betrieb. So wie ich oben in den anderen Kommentaren bereits gelesen habe, ist da kein Verfahrensverzeichnis notwendig?

    Ansonsten hoffe ich, dass blogger zeitgerecht alles fertig hat, dass wir blogspot-blogger weiter bloggen können 😉 Herzliche Grüße Sabine

    Antworten
  • Natalie says:

    Liebe Regina,

    vielen Dank für Ihren hilfreichen Artikel, die Vorlage und auch die Antworten auf die Kommentare.

    Antworten
  • Detlev Nitsche says:

    Hallo Frau Stoiber,
    vielen Dank für Ihren Beitrag und das Excel-Formular, dass ich für meinen Verein verwenden werde.
    Meine Frage: Muss ich meine bestehenden Mitglieder informieren, dass ich ihre Daten erhoben habe, oder genügt es, das Verfahren auf die Neumitglieder zu beschränken.
    Für Ihre Antwort im Voraus vielen Dank!

    Beste Grüße
    Detlev Nitsche

    Antworten
    • Regina Stoiber says:

      Die Informationspflicht sprechen Sie an, oder? Die müssen Sie nur für die Neumitglieder aktiv zur Verfügung stellen. Ich würde allerdings auch bei Gelegenheit – vielleicht auf einer (Haupt-)Versammlung das Thema einfach mal ansprechen und vielleicht einen Link angeben, an dem die Informationspflicht einsehbar ist.

      Antworten
  • Boris says:

    Danke für diesen Artikel. Er hat mir in Verbindung mit dem Webinar gestern erst klar gemacht was wirklich alles in ein Verzeichnis muss. War sogar verständlicher als in einem teuren Guide den ich mir schon vor Wochen gekauft habe.

    Allerdings habe ich eine Frage zu den Spalten „Übertragung und Speicherung“.
    Zählt hier nur, wenn ich Daten aktiv weitergebe?

    Wenn ich ein Newslettertool verwende, ist dann nicht das Newslettertool der Empfänger der Daten?
    Wenn ich einen Server habe auf dem ich Kontakt Formulardaten in einer Datenbank speichere. Ist dann nicht der Server und die Datenbank darauf der Empfänger der Daten?
    Oder geht es wirklich nur um Vorgänge bei denen aktiv Daten zu andere Gruppen übertragen werden und nicht um technische Empfänger?

    Antworten
    • Regina Stoiber says:

      Freut mich, wenn meine Arbeit hilfreich ist 🙂
      Ja, ich würde in die Felder „Empfänger“ nur diejenigen schreiben, die aktiv die Daten für weitere Zwecke erhalten. Alle anderen, also der Newsletterdienstleister und der Provider für den Webspace sind ja schon als Auftragsverarbeiter genannt und definieren im AVV ihre Schutzmaßnahmen. Hier passiert ja keine aktive Weitergabe, sondern nur eine Ermöglichung der Verarbeitung.

      Antworten
  • Yvonne says:

    Hallo Frau Stoiber, tolle Seite – vielen Dank für die hilfreichen Tipps! Eine Frage: Muss ich im Verfahrensverzeichnis auch aufnehmen, wenn ich Tel.Nr. handschriftlich notiere also diese nicht im PC abspeichere?
    LG Yvonne

    Antworten
    • Regina Stoiber says:

      Erwägungsgrund 15 sagt dazu folgendes:
      Der Schutz natürlicher Personen sollte für die automatisierte Verarbeitung personenbezogener Daten ebenso gelten wie für die manuelle Verarbeitung von personenbezogenen Daten, wenn die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. 3Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten nicht in den Anwendungsbereich dieser Verordnung fallen.

      Das heißt, notieren Sie die Kontakte in alphabetischer Reihenfolge, dann sind sie relevant. Liegt keine Sortierung vor, dann brauchen Sie nicht ins Verfahrensverzeichnis 😉 Ich finde diesen Punkt ganz witzig. Aber so steht’s in der DSGVO!

      Antworten
  • DSGVO - Leitfaden zur Umsetzung für Blogger, Vereine und Freiberufler | Zeilenabstand.net - Blog für Kultur, Reisen und Webdesign says:

    […] Stoiber: Datenschutz Verfahrensverzeichnis mit Muster Regina Soiber: Vorschläge für ein Verfahrensverzeichnis DSGVO RA Stephan Hansen-Oest: Keine Zeit […]

    Antworten
  • Silvia says:

    danke für den Artikel, ich hoffe das ich das Verzeichnis erstellen kann, da ich weder Kommentare noch Folgemöglichkeiten, auch keine Statistik habe, überlege ich was da überhaupt rein muss.

    Antworten
  • Checkliste: DSGVO vernünftig umsetzen als kleines Unternehmen in der Schweiz - Webdesign, SEO & Online Marketing | Schaffhauser Webagentur 80/20 Webdesign says:

    […] Update 23. Mai 2018: Eine gute Erklärung (speziell für Einzel-/Kleinunternehmer) inklusive Vorlage für Excel finden Sie hier. […]

    Antworten
  • TiaMel says:

    Hallo Frau Stoiber,

    vielen Dank für diesen tollen und informativen Beitrag. Darf ich fragen, ob meine Follow me Buttons in der Sidebar (facebook, insta usw.) auch in das Verzeichnis, bzw. auch in die Datenschutzerklärung müssen? Es sind Links zu meinen Profilen.

    Lieber Gruß

    Antworten
    • Regina Stoiber says:

      Nein, ins Verzeichnis würde ich die nicht packen. Wenn es reine Links (ohne Plugins im Hintergrund sind), müssen diese auch nicht in die Datenschutzerklärung. Eine allgemeine Passage in der DSE zu den sozialen Kanälen würde ich empfehlen.

      LG

      Antworten
  • Kathalin says:

    Guten Tag Frau Stoiber, auch von mir nochmal herzlichen Dank für diesen Artikel, der hilft mir sehr. Ich habe eine Frage zu den Speicherdauer/Löschfrist – welche ist denn rechtlich durch die DSGVO festgelegt worden? Dann würde ich diese, nehme ich an, immer in das Verfahrensverzeichnis eintragen oder?
    Danke für Ihre Hilfe.

    Herzliche Grüße,
    Kathalin

    Antworten
  • Kathalin says:

    Hallo Frau Stoiber, noch eine ergänze Frage: was muss ich in die blau markierten Felder „Absicherung der Daten im Verfahren“ im VVZ reinschreiben?
    Danke auch für diese Info.

    Herzliche Grüße,
    Kathalin

    Antworten
  • Vanessa says:

    Ich danke ihnen Frau Stoiber,
    jetzt habe ich auch verstanden, was ich in mein Verzeichnis schreiben muss. Grade als kleiner Blogger ist das ja auch ein Wald mit zu vielen Bäumen 😉 Aber dank ihnen habe ich es verstanden.

    Herzlichen Dankk.

    Vanessa

    Antworten
  • Simone Petra says:

    Liebe Frau Stoiber,
    ich bin glücklich, dass ich Ihre Seite gefunden habe! Leider erst heute, aber besser spät als gar nicht. Eine Frage, da ich einen in Spanien eingetragenen Onlinehandel habe: kann ich das Verfahrensverzeichnis auch in deutscher Sprache führen oder ist die jeweilige EU-Landessprache obligatorisch? Leider gibt es in Spanien nicht annähernd so tolle Info-Seiten wir die Ihre. Herzlichen Dank dafür!

    Antworten
    • Regina Stoiber says:

      Da bin ich nicht 100%ig sicher. Ich glaube, das muss dann spanisch sein. Aber fragen Sie da besser nochmal bei der Behörde nach. Tut mir leid, dass ich Ihnen da nichts definitives sagen kann.

      Antworten
  • Katarzyna Oberdorf says:

    Danke, Sie sind ein Lebensretter! 🙂

    Antworten
  • DSGVO - Deutschlands zweiter D-Day nach 74 Jahren • Nicht spurlos says:

    […] geschehen. Die Bürokratie wurde wieder ein Stück gesteigert. Ganz besonders im Hinblick auf die jetzt geltende Dokumentationspflicht. Es muss schriftlich nachgewiesen werden können, dass der Datenschutz eingehalten worden […]

    Antworten
  • DSGVO Checkliste | Alltag Raus - Reiseblog says:

    […] Es muss ein Verfahrensverzeichnis angelegt werden, Infos gibt es z.B. hier. […]

    Antworten
  • Kathrin says:

    Hallo Frau Stoiber,

    vielen Dank für diesen ausführlichen Artikel! Leider habe ich immernoch ein großes Fragezeichen im Kopf, da ich mich nicht einordnen kann. Ich habe ein Kleinunternehmen (im Nebengewerbe) angemeldet, allerdings ohne eigene Webseite, Onlineshop oder auch Mitarbeiter. Lediglich bei Facebook(Fanseite z.Zt. auf unsichtbar geschaltet, weil ich nicht weiß, was genau ich da ändern muss) und Instagram bin ich vertreten. Den größten Teil meiner Kunden bekomme ich durch Mund-zu-Mund-Propaganda sowie im persönlichen Kontakt auf Märkten und Messen. Die Kontaktdaten werden in einem Kundenbuch notiert und nicht an Dritte weitergegeben.
    Ich bin jetzt wirklich unsicher, wie ich vorgehen soll und wäre für jeden Tipp sehr dankbar!
    Viele Grüße

    Antworten
    • Regina Stoiber says:

      Dann würde ich im Verfahrensverzeichnis die klassischen Verfahren wie E-mail Kommunikation, ggf. Chat Kommunikation (über FB und Instagram), Kundenbuch / Kontaktverwaltung, Rechnungsstellung beschreiben.
      Wenn es nicht mehr sind, dann ist das ja auch ok.

      Antworten

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.