Da die Fragezeichen zum Verfahrensverzeichnis nach Artikel 30 DSGVO nicht weniger werden, möchte ich hier noch mal ins Detail gehen.
Ein generelles Muster in Excel und PDF, wie ein Verfahrensverzeichnis aufgebaut werden soll, stelle ich im Blogartikel „Verfahrensverzeichnis mit Muster“ zur Verfügung. Sogar ein ausgefülltes Verfahrensverzeichnis für Online- und Kleinunternehmer finden Sie in meinem gleichnamigen Onlinekurs.
Inhaltsverzeichnis
Jedes Verfahrensverzeichnis ist individuell
An dieser Stelle möchte ich nun aber ein paar Verfahren auflisten, die für verschiedene Branchen relevant sein können. Die Ausprägung dazu muss natürlich jeder selber machen. Da die Rechtmäßigkeit nach Artikel 6 (1) DSGVO sehr stark vom Zweck der Verarbeitung abhängt, kann ich hier nur eine Empfehlung geben. Das heißt ein Verfahrensverzeichnis DSGVO kann bei zwei Unternehme(er)n mit identischen Verfahren ganz unterschiedlich ausgeprägt sein. Daher rate ich Ihnen, sich zwar an den Mustern und Vorschlägen zu orientieren, aber im Detail noch mal selber zu prüfen, ob der Zweck und die Rechtmäßigkeit für SIE richtig beschrieben sind.
Die nachfolgenden Kategorieren sind nur eine grobe Klassifizierung und natürlich nicht ausschließlich. Wahrscheinlich ist eine Kombination aus den verschiedenen Kategorien für Sie eine sinnvolle Lösung.
Wichtiges vorweg!
Sehr oft höre ich die Frage, ob das Verfahrensverzeichnis dann täglich mit den aktuellen Daten ergänzt werden muss.
Keine persönlichen Informationen im Verfahrensverzeichnis!
Beim Verfahrensverzeichnis DSGVO handelt es sich um die Beschreibung allgemeiner Verfahren!!! Jede Verarbeitung wird einmal ganz allgemein beschrieben. Namen von einzelnen Kunden, Dienstleistern und Lieferanten gehören nicht in die Verarbeitungsübersicht.
Mögliche Verfahren in einem Verfahrensverzeichnis DSGVO
Nachfolgend beschreibe ich grundlegende Verfahren, die häufig in Verfahrensverzeichnissen nach der DSGVO erfasst werden. Ich gebe neben dem Zweck, also der Beschreibung des Verfahrens noch die Rechtmäßigkeit nach Artikel 6 an. Ein Verfahren muss immer auf einer Rechtmäßigkeit nach Artikel 6 basieren. Hier gibt es folgende Möglichkeiten.
Rechtmäßigkeit nach Artikel 6 DSGVO
Der Betroffene gibt eine freiwillige Einwilligung (perfekt für den Verarbeiter)
Die Verarbeitung der Daten basiert auf einem Vertrag oder vorvertraglichen Maßnahmen (also die Verhandlung mit potentiellen Kunden fällt auch darunter, auch wenn es dann ggf. nicht zu einem Vertragsschluss kommt). Übrigens, ein Vertrag kann mündlich und schriftlich erfolgen.
Die Verarbeitung basiert aufgrund eines Gesetzes oder sonstigen rechtlichen Verpflichtung
Es geht um lebenswichtige Interessen des Betroffenen
Zur Wahrung des öffentlichen Interesses oder öffentlicher Gewalt werden personenbezogene Daten verarbeitet
Solange die Grundrechte einer Person nicht verletzt werden, kann auch das eigene berechtigte Interesse des Verarbeiters ein Grund zur Verarbeitung der Daten sein
Allgemeine Verfahren in einem Verfahrensverzeichnis nach DSGVO
Verfahren
Beschreibung
Rechtmäßigkeit
Anmerkung
Kommunikation per E-mail
Durchführung von interner und externer Kommunikation per E-mail.
Art. 6 (1) b - Vertrag oder vorvertragliche Maßnahmen
Art. 6 (1) c - Rechtliche Verpflichtung / gesetzliche Vorgabe
Ist der E-mail Provider extern, z.B. der Webhoster, dann ist er Auftragsverarbeiter.
Kommunikation per Messenger
Durchführung von interner und externer Kommunikation per Messenger Dienst.
Art. 6 (1) a - Freiwillige Zustimmung
Messenger Dienstleister ist in der Regel kein Auftragsverarbeiter. What's App ist aktuell kein DSGVO konformer Messenger Dienst (auch wenn's schwer fällt)!!!!
Zahlungsverkehr ( externe Rechnungsstellung )
Erstellung von Rechnungen für erbrachte Dienstleistung oder übergebene Waren.
Ggf. unter Einbeziehung eines externen Dienstleistern, der sich um die Rechnungsstellung und Zahlungsabwicklung kümmert.
Art. 6 (1) b - Vertrag
Bei externem Dienstleister für die Rechnungsstellung handelt es sich um einen Auftragsverarbeiter.
IT-Support
Zugriff auf die interne IT-Infrastruktur durch einen externen Dienstleister aufgrund IT-Support und Wartungstätigkeiten. Dabei kann der Supportmitarbeiter Einsicht auf personenbezogene Daten von Kunden erhalten.
Art. 6 (1) b - Vertrag
Beziehen sich die Wartungs- und Supporttätigkeiten überwiegend auf Programme, die keine personenbezogenen Daten enthalten, sollte eine Geheimhaltungsvereinbarung getroffen werden. Sind aber vorrangig Programme im Support betroffen, wie z.B. Lohnverwaltung oder andere personenbezogene Daten, dann wäre ein Auftragsverarbeitungsvertrag besser.
Verfahrensverzeichnis DSGVO: Inhalt für Dienstleister
Hier müssen nur Dienstleistungen erfasst werden, die auch mit personenbezogenen Daten in Berührung kommen. Bzw. bei denen die Verarbeitung personenbezogener Daten dazu gehört. Meistens ist die Grundlage für diese Verfahren ein Vertrag, der mit dem Kunden geschlossen wurde (mündlich oder schriftlich).
Verfahren
Beschreibung
Rechtmäßigkeit
Anmerkung
Persönliches Coaching
Individuelle Beratung einer Person in persönlichen Gesprächen. Notizen und Empfehlungen werden während des Gesprächs in schriftlicher Form notiert
Art. 6 (1) c - Vertrag
Je nachdem, wie genau das Coaching abläuft muss natürlich die Beschreibung angepasst werden. Wenn das Coaching die Hauptdienstleistung ist, dann würde ich an dieser Stelle auch die Kontaktdatenerfassung mit aufnehmen und nicht als separates Verfahren beschreiben.
Online-Coaching
Persönliches Coaching im Rahmen von Online- oder Telefonmeetings. Aufzeichnung des Coachings als Video und Dokumentation des Gesprächs in Notizen.
Art. 6 (1) c - Vertrag
Auch hier wieder wird es individuelle Unterschiede geben.
Patientenbehandlung
Behandlung des Patienten zur Vorsorge / bei akuten Problemen. Dokumentation der Behandlung in der Patientenakte (Papier / digital).
Art. 6 (1) c - Vertrag
Je nachdem, um welche Behandlung es handelt und wie die Dokumentation erfolgt, kann man das noch beschreiben. Grundsätzlich würde ich nicht weiter in die Tiefe gehen.
Kundenverwaltung
Verwaltung und Organisation der Kunden- und Interessentendaten in einer Datenbank / Programm.
Art. 6 (1) c - Vertrag
oder Art. 6 (1) f - Berechtigtes Interesse
Ja nach Umfang der Kundenverwaltung kann man die Erfassung der Kontaktdaten auch in den Dienstleistungsverfahren mit beschreiben.
Schulungen / Training
Durchführung von Schulungen / Trainings mit Qualifizierungstest zum Abschluss.
Art. 6 (1) c - Vertrag
Wenn der Dozent die Daten der Teilnehmer nicht erhält oder auch nicht benötigt, ist es kein Verfahren im Sinne des Datenschutzes.
Verfahren für Blogger und Onlineunternehmer
An dieser Stelle würde ich die Verfahren nicht zu sehr im Detail aufsplitten. Ich weiß, dass viele Webseiten unterschiedliche Plugins für verschiedene Zwecke einsetzen. Ich würde nicht jedes Plugin als einzelnes Verfahren beschreiben, wenn es nicht einen wesentlichen Bestandteil des Geschäftsmodells ausmacht (wie es z.B. bei einem Onlineshop oder Mitgliederbereich der Fall ist). Viele Plugins, sollten sie überhaupt personenbezogene Daten in irgendeiner Weise verarbeiten, würde ich unter den Betrieb der Webseite fallen lassen.
Verfahren
Beschreibung
Rechtmäßigkeit
Anmerkung
Webseite
Betrieb einer Webseite / Blog für Marketing, Werbung und Außenauftritt. Erfassung personenbezogener Daten in Logfiles auf Server und ggf. im CMS.
Art. 6 (1) f - Berechtigtes Interesse
Für dieses Verfahren wäre z.B. der Webhoster der Auftragsverarbeiter.
Webseitenanalyse
Zur Erfassung der Besucherstatistik und daraus folgend die Optimierung der Webseite werden die Zugriffe auf die Webseite analysiert.
Art. 6 (1) f - Berechtigtes Interesse
Falls die Daten extern gespeichert werden, handelt es sich wie z.B. bei Google Analytics um eine Auftragsverarbeitung. Matomo lokal installiert ist keine Auftragsverarbeitung.
Kontaktformular
Kontaktanfrage über die Webseite für Interessenten und Kunden zur Beantwortung einer spezifischen Anfrage / Frage.
Art. 6 (1) a - Freiwillige Zustimmung
Kommentarfunktion im Blog
Seitenbesucher können Kommentare abgeben, um eine Diskussion oder Kommunikation am Blog aufzubauen.
Art. 6 (1) a - Freiwillige Zustimmung
Mitgliederbereich / Login-Bereich
Den Besuchern der Webseite / den Kunden wird ein Mitgliederbereich angeboten, um
- an Diskussionen teilzunehmen
- Beiträge zu verfassen
- auf bezahlte digitale Ware zugreifen zu können
.....
Art. 6 (1) a - Freiwillige Zustimmung
Art. 6 (1) b - Vertrag
...
Hier gibt es so viele Möglichkeiten, dass es wichtig ist, die richtige zu beschreiben und auch den richtigen Rechtsgrund auszuwählen.
Veröffentlichung von persönlichen Informationen Dritter
In Blogbeiträgen werden Interviews und / oder Bilder von Dritten veröffentlicht. Es werden dabei fachliche Informationen zum Blog publiziert.
Art. 6 (1) a - Freiwillige Zustimmung
Art. 6 (1) b - Vertrag
Auch hier wieder kann man ggf. die Beschreibung anpassen. Die Rechtmäßigkeit muss entweder auf der freiwilligen Zustimmung beruhen oder vielleicht sogar, weil es einen Vertrag gibt. Ein Interviewpartner kann z.B. die Zustimmung geben, indem er vor der Veröffentlichung den Beitrag noch mal gegenliest und mit OK bestätigt.
Für Fotos empfehle ich zur eigenen Absicherung eine schriftliche Freigabe des Betroffenen.
Affiliate Marketing
Monetarisierung der Webseite, um durch Produktempfehlungen oder Produktverlinkungen eine Provision durch Käufe von Webseitenbesuchern zu erhalten. Käufe werden durch Gesetze Cookies bei Käufern dienen dazu, die tatsächliche Provision dem Affiliate Partner zuzuordnen.
Art. 6 (1) f - Berechtigtes Interesse
Bei mehreren Affiliate Partnern macht es evtl. Sinn diese aufzuschlüsseln in einzelne Verfahren, wenn die erfassten Daten unterschiedlich sind. Der Affiliate Partner z.B. Amazon ist in der Regel kein Auftragsverarbeiter.
Newsletterversand
Regelmäßige Information und aktuelle Angebote und Angebote von Drittanbietern an Interessenten und Kunden.
Art. 6 (1) a - Freiwillige Zustimmung
Newsletterpartner ist Auftragsverarbeiter.
Onlineshop
Verkauf von Waren und Dienstleistungen über einen eigenen / oder über einen Dritten Onlineshop.
Art. 6 (1) f - Vertrag
Ob eine AVV mit dem Shopbetreiber notwendig ist, hängt vom Einzelfall ab.
Verfahren für Unternehmen mit Mitarbeitern
Beschäftigt das Unternehmen Mitarbeiter oder Zeitarbeiter, müssen ein paar grundsätzliche Tätigkeiten abgedeckt werden. Auch hier können im Einzelfall noch einzelne Verfahren hinzukommen, wenn z.B. die Mitarbeiter Firmenwägen nutzen oder andere personenbezogene Geräte ausgehändigt bekommen.
Verfahren
Beschreibung
Rechtmäßigkeit
Anmerkung
Bewerbungen
Bewerber bewirbt sich initiativ oder konkret auf eine ausgeschriebene Stelle per E-mail oder per Post. Bewerbungen werden bei nicht eingestellten Personen zurück geschickt.
Art. 6 (1) b - Vertrag oder vorvertraglicher Maßnahmen
Bewerbungen müssen gelöscht oder zurück geschickt werden. Alternativ kann der Bewerber AKTIV zustimmen, dass seine Unterlagen einbehalten werden dürfen, falls ähnliche Stellen später wieder besetzt werden müssen.
Lohnabrechnung
Überweisung von Löhnen und Gehältern. Abgabe von Steuern und Gebühren
Art. 6 (1) b - Vertrag
Externer Dienstleister zur Lohnabrechnung ist in der Regel kein Auftragsverarbeiter, sondern Funktionsübertragung.
Zeitwirtschaft
Zeitwirtschaft zur Erfassung der Arbeitszeiten, Urlaubszeiten, Fehlzeiten der Beschäftigten,
sowie Abwesenheitsplanung,
Art. 6 (1) b - Vertrag
Verfahren bei IT-Dienstleistern oder größeren IT-Abteilungen
Verfahren
Beschreibung
Rechtmäßigkeit
Anmerkung
Firewalladministration
Zum sicheren Betrieb des Unternehmensnetzwerks wird als Gateway zum Internet eine Firewall betrieben. Es werden regelmäßig Logfiles protokolliert und ausgewertet, um sicherheitskritische Events zu identifizieren.
Art. 6 (1) f - Berechtigtes Interesse
oder Art. 6 (1) b - Vertrag
Bei externen Kunden wird es in der Regel ein Vertrag seien der die rechtliche Grundlage bildet. Bei einer internen IT-Abteilung ist es wahrscheinlich das berechtigte Interesse.
IT Serviceprozesse
Es werden IT-Vorfälle und Änderungswünsche im Incident- und Changemanagement-Tool von Kunden / Mitarbeitern erfasst. Die IT-Mitarbeiter können anhand der Tickets die Fälle klassifizieren und bearbeiten.
Art. 6 (1) f - Berechtigtes Interesse
oder Art. 6 (1) b - Vertrag
PC-User Management
Jeder PC-User im Unternehmen / beim Kunden erhält einen eigenen PC / Laptop und eine eigene Benutzerkennung mit Passwort, sowie eine E-mail Adresse. Die Verwaltung der User wird auf Anweisung des Kunden umgesetzt
Art. 6 (1) f - Berechtigtes Interesse
oder Art. 6 (1) b - Vertrag
Administration von Applikationen mit personenbezogenen Inhalten
Zur Konfiguration, Wartung und Durchführung von Updates an zentralen IT-Systemen mit personenbezogenen Daten (z.B. HR-Software, CRM-Software...) müssen die Administratoren Zugriff auf das System erhalten.
Art. 6 (1) f - Berechtigtes Interesse
oder Art. 6 (1) b - Vertrag
Verfahren für Vereine in einem Verfahrensverzeichnis DSGVO
Da auch Vereine der DSGVO unterliegen, sollte ebenfalls eine Übersicht der Verfahren erstellt werden. Je nach Vereinszweck unterscheiden sich die Verfahren natürlich. Trotzdem sollte mit diesen Verfahren ein Anfang gemacht sein.
Verfahren
Beschreibung
Rechtmäßigkeit
Anmerkung
Mitgliederverwaltung
Übersicht und Verwaltung der Mitglieder mit ihren persönlichen Daten in einer Excel Liste, Access Datenbank, externen Anwendung...
Art. 6 (1) b - Vertrag
Bei einem Onlineportal ist eine Auftragsverarbeitung mit dem Dienstleister nötig.
Terminanmeldung
Anmeldung einzelner Mitglieder für vereinsinterne Veranstaltungen. Eigenständige Anmeldung der Teilnehmer per Telefon / Mail über ein Onlineportal.
Art. 6 (1) b - Vertrag
Jubiläum
Ehrung langjähriger Mitglieder nach 10, 20, .... jähriger Mitgliedschaft oder bei runden Geburtstagen. Auswertung der Jubiläen jährlich in Excel Tabellen.
Art. 6 (1) f - Berechtigtes Interesse
Übermittlung der Mitgliedsdaten an den übergeordneten Verband
Meldung der persönlichen Daten der Mitglieder beim Eintritt in den Verein an den übergeordneten Verein.
Art. 6 (1) f - Vertrag
Je nachdem, wenn der Verein einem übergeordneten Verband angehört und die Mitglieder dort gemeldet werden müssen, muss das auch Teil des Mitgliedsvertrags sein. Damit ist sichergestellt, dass ein Mitglied dagegen nicht im einzelnen widersprechen kann, falls der Verein zur Meldung verpflichtet ist.
Wie füllt man ein komplettes Verfahrensverzeichnis aus?
Da es trotzdem viele Fragen und Fragezeichen gibt, wie nun ein solches Verfahrensverzeichnis ausgefüllt wird, helfe ich hier gerne. Ich biete regelmäßig kostenlose Webinare an, in denen ich an mehreren Beispielen zeige, wie man vorgeht, ein Verfahrensverzeichnis auszufüllen. Hier finden Sie die nächsten Webinar-Termine.
Eine bereits ausgefüllte Verfahrensübersicht als Excel-Datei mit 25+ Verfahren gibt es in meinem Onlinekurs.
Vorschläge zur Erweiterung erwünscht
Ich hab diese Liste mal begonnen, um möchte sie gerne mit weiterem Input von Ihnen ergänzen. Welche Verfahren haben Sie und wissen nicht recht, wie Sie diese formulieren sollen? Gerne ergänze ich die Punkte in dieser Übersicht.
Hallo und herzlichen Dank für die tolle und vor allem verständliche Erklärung. Jetzt sehe ich schon viel klarer. Bleibt nur die Frage, was in das Verzeichnis gehört, wenn ich mehrere Online-Standbeine habe? In meinem Fall Freelance-Texterin + Blumenfotografin mit Shop + Produktfotografin + Bloggerin fürs Marketing?
sind die verschiedenen Standbeine ein Rechtsform für das Unternehmen oder betreibst du verschiedene Rechtsformen? Wenn es alles in einer Rechtsform passiert, dann gehört alles in ein Verfahrensverzeichnis.
Sind es mehrere verschiedene Unternehmen, dann würde ich zwar auch ein Excel Dokument führen – also so mache ich es – und eine zusätzliche Spalte einfügen. In dieser Spalte kann man dann angeben, für welche Rechtsform bzw. welches Unternehmen das Verfahren gültig ist. Es wird ja ein paar übergreifende Verfahren geben, die für alle gültig sind (z.B. E-mail Kommunikation ). So braucht man es nur einmal zu schreiben und hat es für alle Unternehmen. Bei Bedarf kann man in Excel dann nach dem Unternehmen filtern, für das man die ganzen Verfahren haben möchte.
Wow! Das sind ja großartige Beispiele. Die sind eine super Ergänzung zu deinem großartigen Kurs, liebe Regina. Vielen Dank dafür.
Liebe Grüße aus Berlin
Roswitha
Hallo und herzlichen Dank für die vielen nützlichen Informationen,w wirklich sehr hilfreich :)! Eine Frage habe ich: Wie sieht es mit Security-Plugins aus, die IP-Adressen nutzen? Eigentlich müssten die doch sowohl in das Verfahrensverzeichnis als auch in die Datenschutzerklärung, oder?! Danke und viele Grüße, Fee
Liebe Fee,
lieben Dank für die netten Worte.
Ja, die Plugins sollten auf jeden Fall in die Datenschutzerklärung. Im Verfahrensverzeichnis würde ich die ganzen „Standardplugins“ in ein Verfahren packen.
bei der Erstellung des Verfahrensverzeichnisses ist noch eine spezielle Frage aufgekommen: wäre der Versand von großen Datenmengen (z.B. Grafikdateien) an einen Kunden über einen Online-Anbieter wie wetransfer DSGVO-konform?
Man lädt dort eine Datei hoch und gibt neben der Absender-Email-Adresse die Email-Adresse des Empfängers an. Dieser bekommt dann eine automatische Benachrichtigung, dass ein Download bereitsteht und kann diesen per Link in der versendeten Email herunterladen, wodurch der Absender wiederum eine Downloadbestätigung erhält. Durch die Eingabe der Empfänger-Email-Adresse werden ja personenbezogene Daten weitergegeben. Ich vermute, es müsste bei Nutzung von wetransfer dann ebenfalls ein AV-Vertrag geschlossen werden? Bei wetransfer konnte ich dazu nichts finden.
Es gibt dort jedoch auch die Möglichkeit, keine Empfängeradresse anzugeben, sondern nach Dateiupload nur einen Downloadlink zu generieren. Diesen kann man kopieren und in einer „eigenen“ E-mail an den Kunden senden. Wie verhält es sich dann?
Würde mich freuen, wenn du dazu einen Tipp geben könntest.
Hallo Daniel,
vielen Dank für deine interessante Frage. Im ersten Moment dachte ich gar nicht an die E-mail Adresse bei Wetransfer. Da hast du recht. Um dem ganzen aus dem Weg zu gehen, würde ich auf jeden Fall die Option wählen, mit dem Link in der eigenen E-mail. Wenn Wetransfer diesen Service bietet, wäre das nach DSGVO die stressfreiste Lösung und auch relativ einfach zu realisieren.
Die Übergabe der E-mail zieht natürlich wieder die ganzen Datenschutz-Punkte mit sich mit, deswegen, wenn weglassen möglich ist, dann würde ich es so realisieren.
Vielen Dank für die tollen Beispiele und Vorlagen. Diese sind wirklich sehr praxisnah und hilfreich. Ich habe eine grundsätzliche Frage zur DSGVO: Es geht ja in erster Linie um den Schutz personenbezogener Daten. Wie deckt man aber die firmenbezogenen Daten ab? Ich arbeite als Beraterin im QM und sehe dort sehr viele auch vertrauliche Dokumente, z. T. erhalte ich diese auch zur Bearbeitung. Decke ich das dann auch unter „Beratungsleistung“ im Verfahrensverzeichnis ab? Vielen Dank für eine kurze Rückmeldung!
Alle nicht personenbezogenen, aber schätzenswerten Daten deckt die DSGVO und der Datenschutz allgemein nicht ab. Das fällt dann unter das Thema Informationssicherheit. Hier gibt’s dann z.B. Vorgaben laut IT-Grunschutz vom BSI oder die ISO 27001 als ISO Standard und noch weitere ….
vielen herzlichen Dank für Deine Hilfe und tolle Vorlagen! Eine kurze Frage: was ist mit der Kundenaquise (telefonisch und per Mail), gehört sie unter der Kundenverwaltung oder ist ein eigenständiges Verfahren?
Liebe Julia,
danke, das freut mich, wenn sie hilfreich sind die ganzen Vorlagen.
Da gibt es keine Vorgaben, wenn es für dich Sinn macht (vom Ablauf und den Daten, die verarbeitet werden), beides zusammen zu packen, dann ist das total ok. Wenn du in beiden Verfahren aber unterschiedliche Daten verarbeitest, dann würde ich es auf jeden Fall trennen.
Da gibt’s kein falsch und richtig 🙂
Ich bin mir nicht ganz sicher, ob ich alles richtig verstanden habe.
Ich habe einen kleinen Buchblog und hoste über Strato, mein Email Postfach läuft über Webmail von Strato, AVV ist vorhanden. Am Blog gibt es nur eine Kommentarfunktion, keinen Newsletter oder Kontaktformular, man kann auch keine Kommentare abonnieren!
Jetzt wurde mir gesagt, da ich nur eine reine Kommentarfunktion biete ohne Abos, müsste ich kein Verzeichnis erstellen.
Ich verstehe es allerdings so: ein Verzeichnis gilt auch für mich. Dort muss ich eben diese Kommentarfunktion erwähnen mit Strato als Verarbeiter, genauso wie mein Email-Postfach (da ja Kontaktaufnahme über das Impressum möglich ist), und ich müsste einige Plugins erwähnen und beschreiben, wie zb Count per day oder Shariff usw. Verstehe ich das richtig?
Ich wurde nämlich etwas irritiert, als mir jemand sagte, ich müsse noch angeben, wie die Daten auf meinem Rechner gespeichert werden, und geschützt werden, Firewall, was mit Back-ups ist usw. Aber das trifft doch auf mich gar nicht zu, weil ich doch solche Daten auf meinem Rechner in meinem Fall gar nicht speichere, oder verstehe ich da was falsch?
Das läuft doch bei mir nur über Strato, oder?
Vielen Dank schon mal, ich hoffe so sehr, du kannst etwas Licht in mein Dunkel bringen. 😀
Liebe Marion,
genau, ein Verfahrensverzeichnis brauchst du auf jeden Fall.
Die Sicherheit der Daten musst du kurz erläutern, wie sie bei dir umgesetzt ist. Du wirst wahrscheinlich deine E-mails herunterladen auf deinen Rechner, oder? Hast du Username und PW für deinen Rechner? Oder eine verschlüsselte Festplatte, oder oder oder? Das musst du kurz (in Stichpunkten) angeben.
Hallo Regina,
auch von meiner Seite herzlichen Dank für die tolle Vorlage! Ich habe überlegt, ob auch die Übergabe von Rechnungen (per E-Mail oder die ausgedruckten Unterlagen) an den Steuerberater zur Erstellung diverser Erklärungen im Verzeichnis aufgeführt werden muss.
Liebe Regina,
vielen Dank für deine Antwort. Ich habe mir auch mal ein YouTube Video von dir angesehen und bin schon viel entspannter, so viel dazu. Vielen Dank für die ganze Unterstützung!
Zu meinen Emails: Ich lade bei mir nicht auf den Rechner, ich logge mich jedes Mal nur auf meinem Strato Account ein und gehe dort weiter zu Strato Webmail, dort logge ich mich erneut ein. Ich rufe meine Emails nur so ab, aber ich bekomme eh vlt. nur eine Email im halben Jahr. 🙂
Wenn ich das richtig verstanden habe, muss ich in meinem Fall hier angeben, dass ich meine Emails über Webmail Strato verwalte und diese dort passwortgeschützt sind?
Und ich hätte noch eine andere klitzekleine Frage: ich habe meine Schrift von Google Fonts in meine Strato Datenbank geladen via FTP und Code. Ich habe geprüft, dass die Lizenz frei ist. Muss ich das in meine DSE schreiben, dass ich das gemacht habe?
Liebe Marion,
freut mich, wenn dir meine Unterstützung hilft.
Genau, du musst dann nur angeben, dass deine Mails und dein Mail Account Passwort geschützt ist. Dass du dich z.B. über eine sichere HTTPS Verbindung einloggst, könntest du auch noch angeben.
die Schrift, wenn du sie heruntergeladen hast, musst du nicht mehr in der DSE angeben.
Ja, wie Google Fonts, das sind die Icons. Bei mir sind sie leider im Theme integriert und man kriegt sie nicht raus. Ich habe zwar den Hinweis in der DSE, aber ganz beruhigt bin ich dabei nicht.
in meinem Unternehmen setzen wir verschiedene Software-Fachanwendungen ein. Darunter Fachanwendungen, in denen personenbezogene Daten verarbeitet werden. Für all diese Fachanwendungen muss ein Verfahrensverzeichnis existieren richtig? Wie verhält es sich aber bei Fachanwendungen, in denen „nur“ der Erfasser/Bearbeiter (Benutzername)eines Datensatzes oder die im Programm hinterlegten Benutzer (Mitarbeiter der Firma) hinterlegt sind. Dabei handelt es sich ja um Mitarbeiterdaten. Muss für diese Anwendungen auch ein Verfahrensverzeichnis erstellt werden?
Sie schreiben „…muss ein Verfahrensverzeichnis für all die Fachanwendungen“ existieren. Evtl. ist es nur etwas anders von Ihnen formuliert, aber noch mal der Vollständigkeit halber. Sie haben für Ihr Unternehmen EIN Verfahrensverzeichnis und darin verschiedene Verfahren beschrieben. Also, Sie brauchen kein eigenes Verfahrensverzeichnis pro Fachanwendung.
Jede Fachanwendung, welche personenbezogene Daten verarbeitet ist mit mindestens einem Eintrag in Ihrem Verfahrensverzeichnis eingetragen. Ich schreibe mit mind. einem Verfahren, da es ja sein kann, dass Ihre Anwendungen so umfangreich sind, dass sie mehrere Verfahren abdecken.
Für Anwendungen, die lediglich Username und Passwort benötigen, würde ich ein Verfahren beschreiben, z.B. „Personenbezogene Anmeldung für Softwareanwendungen“, dann beschreiben Sie, wie Sie die Daten speichern. Sie können ja noch die Anwendungen im Feld „Verfahrens Beschreibung / Zweck“ nennen, die nur personenbezogene Anmeldedaten haben und sonst nichts.
Hallo Regina,
diese Übersicht ist der Hammer und wirklich sehr hilfreich für juristische Laien. Herzlichen Dank dafür.
Zum Thema „Veröffentlichung von persönlichen Informationen Dritter“ habe ich zwei Fragen:
Meine Vorlage für die Verarbeitungen sieht eine Rubrik „Dokumentation, dass Einwilligung erteilt wurde“ vor. Hältst Du die für erforderlich oder ist das schon „Kür“?
Wäre so ein Passus sinnvoll oder eher schädlich?
„Für Blogartikel / Interviews vor dem 19. Mai 2018 gilt, dass das Einverständnis der betroffenen Personen mündlich auf den Veranstaltungen eingeholt und gegeben wurde. Auf Wunsch können Fotos mit den betroffenen Fotos jederzeit von mir gelöscht werden. Die Interviews wurden von den betroffenen Personen vor der Veröffentlichung gegengelesen und freigegeben. Davon existieren E-Mails als Nachweis.
Ab dem 19. Mai 2018 werden mit den betroffenen Personen schriftliche Verträge geschlossen.“
Liebe Birgit,
danke für das Kompliment.
Ich sehe die Problematik mit dieser zusätzlichen Spalte „Einwilligung erteilt“, dass man in das allgemeine Verfahrensverzeichnis plötzlich Informationen auf Stammdaten Basis hast und ein relativ statisches Dokument bei jedem neuen Kunden aktualisieren muss. Ich würde diese Information eher im CRM Tool oder in der Kundenübersicht (wo immer die auch abgelegt ist), dokumentieren. Da ist es wohl einfacher zu verwalten.
Punkt 2 hört sich gut an. Bei den mündlichen Einverständnissen kann im Extremfall Aussage gegen Aussage stehen, aber wenn die Inhalte dann gelöscht werden, ist das Risiko sicherlich überschaubar.
Guten Morgen Frau Stoiber,
Ihre Seite hilft mir wirklich sehr weiter, vielen Dank!
Meine Frage:
Oben bei den Mustern steht immer die Spalte „Rechtmäßigkeit“. In Ihrem Muster-Verfahrensverzeichnis in Excel ist diese Spalte nicht. Ist sie notwendig oder nicht?
Vielen Dank im Voraus!
Mit freundlichen Grüßen
Silke Scher
Hallo Frau Scher,
rein für das Verfahrensverzeichnis ist sie nicht notwendig. Wenn Sie z.B. Auftragsverarbeiter für ein anderes Unternehmen sind, können Sie die Rechtmäßigkeit meistens gar nicht ausfüllen. Nach Art. 30 ist die Rechtmäßigkeit kein Bestandteil des VVZ.
Ich gebe es doch gern mit an, da es gut ist, sich darüber bei der Aufnahme des Verfahrens Gedanken zu machen, zudem brauchen Sie es spätestens für die Informationspflicht nach Art. 13 und 14, die sich am besten aus dem Verfahrensverzeichnis ableitet.
Ich würde es empfehlen, ist aber keine Pflicht.
Frage bezüglich Datentransfer Drittstaat: Wohnsitz Anbieter in der Schweiz, Server steht in der Schweiz. Was ist dann unter „Datentransfer in Drittstaaten“ anzugeben?
Hallo Sascha,
aktuell ist dann der Anbieter in der Schweiz im Drittstaat und das musst du so angeben im Verfahrensverzeichnis und eben auch gesondert beachten im Auftragsverarbeitungsvertrag.
Vor der DSGVO wurde ja die Schweiz als sicherer Drittstaat akzeptiert und konnte somit auf gleichem Datenschutzniveau gesehen werden. Meines Wissens arbeitet ja die Schweiz an einem ähnlichen Gesetz wie die DSGVO. Vielleicht ist dann ja (hoffentlich) bald die Schweiz wieder ein sicherer Drittstaat und kann wie ein EU Land behandelt werden.
Bisher ist das allerdings nicht der Fall.
bei einem Kurs durch den TÜV Süd wurde uns gesagt, dass selbst Telefonate in ein Verfahrensverzeichnis gehören, da dort personenbezogene Daten erhoben werden können. Wenn ich mein Verfahrensverzeichnis aber nun so detailliert erstelle, bzw. erweitere, dann habe ich ja bald ein Buch zusammen.
Ist es dort nicht ausreichend, dass nur komplette Vorgänge (z.B. Kundenberatung) aufgenommen werden?
Ich würde es auch nicht übertreiben. Telefonate habe ich nur separat, wenn es sich um ein Call Center handelt. Orientiert man sich an den Vorlagen von Verfahrensverzeichnissen unseres Landesamts in Bayern, dann sieht man, dass die Verfahren nicht so detailliert aufgeschlüsselt sind.
Meine Empfehlung ist, Verfahren so zu gliedern, dass die Beschreibung und die Daten noch zusammen passen. Angebotserstellung und Auftragsbearbeitung würde ich trennen, da in der Regel unterschiedliche Löschfristen sind, andere Daten erhoben werden (ggf.)…. Bei den Telefonaten würde ich das dann eher in das jeweilige Verfahren schreiben. Wenn z.B. Bestellungen per Telefon erfolgen, dann würde ich das Verfahren „Bestellung“ nennen und im Zweck schreiben, Bestellungseingang per Telefon, Mail, Onlineshop….
Ich hoffe, es ist nachvollziehbar, worauf ich raus möchte. Wenn der Kundensupport telefonisch erfolgt, würde ich das Verfahren Kundensupport nennen und nicht Telefongespräche. Im Zweck dann aber auf die telefonische Annahme hinweisen.
Hallo nochmals, ich habe nun ein Verzeichnis von internen Verarbeitungstätigkeiten erstellt und wende mich dem externen zu. Hierbei geht es um uns als Auftragsdatenverarbeiter, wir digitalisieren Unterlagen von Kunden. Eigentlich war ich informiert, dass ich nun für jeden Kunden das zugehörige Verfahren erstellen muss inkl. Nennung von Ansprechpartnern, Kontaktdaten etc., sehe aber nun hier, dass gar keine persönliche Daten, sondern nur allgemeine Verfahren erfasst werden sollen. Bei Hunderten von Kunden wäre das natürlich toll. Es reicht also tatsächlich aus, wenn ich nur die einzelnen Dienstleistungen beschreibe, die wir unseren Kunden anbieten, z. B. Scannen, Mikroverfilmen, zugehörige Datenerfassung, Vorbereitungsarbeiten, zur Verfügung Stellung per FTP etc. ohne auf die einzelnen Kunden eingehen zu müssen? lg, Su
Ich habe nochmals nachgelesen und denke, meine Frage hat sich schon erledigt, denn nach DSGVO Artikel 30 (2) müssen Name und Kontaktdaten „jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist (…)“ genannt werden. Also muss die Verfahrensbeschreibung doch für jeden Kunden erstellt werden, richtig?
Hallo Susann,
ich würde bzw. wir unterscheiden bei Kunden, die Auftragsverarbeiter sind folgende Fälle:
1. Wird ein spezielles Verfahren nur für einen Auftragsverarbeiter durchgeführt, kann man diesen konkret im VVZ benennen.
2. Wird das Verfahren für viele Kunden angewendet, wie bei euch oder auch bei einem Webhoster, schreiben wir nur in das Feld Auftragnehmer, z.B. Webhosting Kunden. Damit bleibt das VVZ wieder relativ statisch. Es gibt dann eine zweite Liste, die aktuell gepflegt werden muss, die die Kunden, die die Dienstleistung z.B. Webhosting in Anspruch nehmen, auflistet. Wenn das, z.B. immer aktuell aus dem ERP System als Report heraus gelassen werden kann, dann wäre das meiner Sicht auch ausreichend. Ist praxisnah und sinnvoll.
Liebe Frau Stoiber,
danke für Ihre tolle Arbeit und die Zurverfügungstellung dieser vielen Informationen für die, die sich eine professionelle Beratung vielleicht nicht so einfach leisten können.
Gehe ich richtig in der Annahme, dass die Nutzung von PayPal und Google Analytics auch eine eigene Verarbeitung im Sinne des Verzeichnis für Verarbeitungstätigkeiten ist und gesondert zum Onlineshop/ Webseite aufgeführt werden müsste? Haben Sie hierzu bereits eine Notiz in Ihren Veröffentlichungen, die ich vielleicht überlesen habe?
Liebe Nadine,
danke für Ihr nettes Feedback.
Ja, ich würde wahrscheinlich, PayPal und Analytics als eigene Verfahren zu beschreiben. Es gibt hier zwar kein richtig und falsch. Theoretisch wäre es auch möglich die Webseitenanalyse und Paypal in einem Verfahren mit der Internetseite / Webshop zu beschreiben. Das können Sie machen, wie es für Sie am besten nachzuvollziehen ist.
In der Datenschutzerklärung auf der Webseite müssen Sie beide Punkte auf jeden Fall angeben. Am besten separat. Dann wäre es wohl einfacher, auch im VVZ die beiden Verfahren getrennt aufzuführen.
Beides ist also in Ordnung.
Viele Grüße
Regina Stoiber
Hallo in die Runde,
gleich einmal direkt nachgefrag – wäre eine EC Kartenlesegerät, welches ja personenbezogene Daten erfässt und an die Bank (Dritten) weiterleitet, auch eine Verarbeitungstätigkeit und somit in das Verarbeitunsgverzeichnis mit aufzunehmen?
Die Bank ist ja als solches, siehe DSK – Kurzhinweis 13 Anlage B, ist ja nicht als Auftragsverarbeiter zu betrachten. Wie sieht das aber mit EC-, VISA-, Masterkarte o. ä. aus. Und sollte man hier TOM’s erlassen und das Lesegerät monatlich prüfen, insoweit die Versiegelung unbeschädigt ist.
Hallo Andreas,
danke dir für die Frage.
EC Kartenlesegeräte würden wir im Verfahren „Zahlungsverkehr“ sehen. Ein eigenes Verfahren würden wir dazu nicht machen. Fachlich falsch ist es aber natürlich nicht ein eigenes Verfahren zu erstellen.
Zahlungsdienstleister sind generell keine Auftragsverarbeiter, also auch die ganzen Kreditkartenanbieter oder Paypal zum Beispiel nicht.
Spezielle interne technische Schutzmaßnahmen für das Gerät würde ich nicht zwingend sehen. Die EC Geräte sind meines Wissens alle nach dem sehr hohen PCI Standard (Payment Card Industrie) zertifiziert und gefertigt.
Was allerdings sinnvoll sein kann, sind interne organisatorische Maßnahmen, dass das Gerät nicht gestohlen wird, ebenso die Belege sollten sicher verwahrt sein.
Soweit meine Einschätzung. Ich hoffe das hilft weiter.
Hallo,
die Übersicht „Inhalt für Dienstleister“ enthält als Grundlage Art. 6 1 c – Vertrag. Das muss sicher 6 1 b heißen. Weiter gibt es mindestend an einer anderen Stelle auch noch einen Fehler zur Rechtsgrundlage.
Das ist ausgesprochen hilfreich. Danke. Ist so ein Verfahrensverzeichnis auch für Privatpersonen Pflicht?
Herzlichen Dank!
Nein, das Verfahrensverzeichnis ist nur Pflicht für Unternehmen/Unternehmer, Vereine und Behörden.
Hallo und herzlichen Dank für die tolle und vor allem verständliche Erklärung. Jetzt sehe ich schon viel klarer. Bleibt nur die Frage, was in das Verzeichnis gehört, wenn ich mehrere Online-Standbeine habe? In meinem Fall Freelance-Texterin + Blumenfotografin mit Shop + Produktfotografin + Bloggerin fürs Marketing?
Hallo Fiona,
sind die verschiedenen Standbeine ein Rechtsform für das Unternehmen oder betreibst du verschiedene Rechtsformen? Wenn es alles in einer Rechtsform passiert, dann gehört alles in ein Verfahrensverzeichnis.
Sind es mehrere verschiedene Unternehmen, dann würde ich zwar auch ein Excel Dokument führen – also so mache ich es – und eine zusätzliche Spalte einfügen. In dieser Spalte kann man dann angeben, für welche Rechtsform bzw. welches Unternehmen das Verfahren gültig ist. Es wird ja ein paar übergreifende Verfahren geben, die für alle gültig sind (z.B. E-mail Kommunikation ). So braucht man es nur einmal zu schreiben und hat es für alle Unternehmen. Bei Bedarf kann man in Excel dann nach dem Unternehmen filtern, für das man die ganzen Verfahren haben möchte.
Ich hoffe, das hilft dir weiter. LG Regina
Wow! Das sind ja großartige Beispiele. Die sind eine super Ergänzung zu deinem großartigen Kurs, liebe Regina. Vielen Dank dafür.
Liebe Grüße aus Berlin
Roswitha
Hallo und herzlichen Dank für die vielen nützlichen Informationen,w wirklich sehr hilfreich :)! Eine Frage habe ich: Wie sieht es mit Security-Plugins aus, die IP-Adressen nutzen? Eigentlich müssten die doch sowohl in das Verfahrensverzeichnis als auch in die Datenschutzerklärung, oder?! Danke und viele Grüße, Fee
Liebe Fee,
lieben Dank für die netten Worte.
Ja, die Plugins sollten auf jeden Fall in die Datenschutzerklärung. Im Verfahrensverzeichnis würde ich die ganzen „Standardplugins“ in ein Verfahren packen.
LG Regina
Hallo Regina,
vielen lieben Dank für die wertvolle Hilfe. Das macht mich sehr dankbar.
Liebe Grüße aus Köln,
Patrick
Lieber Patrick,
das freut mich wirklich sehr, wenn die Artikel hilfreich sind.
LG Regina
Dankeschön. Genauso habe ich es jetzt auch gemacht :)!
Danke für diesen Überblick, das hilft sehr!
Freut mich sehr! Vielen Dank für das Feedback!
Hallo Regina,
bei der Erstellung des Verfahrensverzeichnisses ist noch eine spezielle Frage aufgekommen: wäre der Versand von großen Datenmengen (z.B. Grafikdateien) an einen Kunden über einen Online-Anbieter wie wetransfer DSGVO-konform?
Man lädt dort eine Datei hoch und gibt neben der Absender-Email-Adresse die Email-Adresse des Empfängers an. Dieser bekommt dann eine automatische Benachrichtigung, dass ein Download bereitsteht und kann diesen per Link in der versendeten Email herunterladen, wodurch der Absender wiederum eine Downloadbestätigung erhält. Durch die Eingabe der Empfänger-Email-Adresse werden ja personenbezogene Daten weitergegeben. Ich vermute, es müsste bei Nutzung von wetransfer dann ebenfalls ein AV-Vertrag geschlossen werden? Bei wetransfer konnte ich dazu nichts finden.
Es gibt dort jedoch auch die Möglichkeit, keine Empfängeradresse anzugeben, sondern nach Dateiupload nur einen Downloadlink zu generieren. Diesen kann man kopieren und in einer „eigenen“ E-mail an den Kunden senden. Wie verhält es sich dann?
Würde mich freuen, wenn du dazu einen Tipp geben könntest.
Viele Grüße
Daniel
Hallo Daniel,
vielen Dank für deine interessante Frage. Im ersten Moment dachte ich gar nicht an die E-mail Adresse bei Wetransfer. Da hast du recht. Um dem ganzen aus dem Weg zu gehen, würde ich auf jeden Fall die Option wählen, mit dem Link in der eigenen E-mail. Wenn Wetransfer diesen Service bietet, wäre das nach DSGVO die stressfreiste Lösung und auch relativ einfach zu realisieren.
Die Übergabe der E-mail zieht natürlich wieder die ganzen Datenschutz-Punkte mit sich mit, deswegen, wenn weglassen möglich ist, dann würde ich es so realisieren.
Viele Grüße
Regina
Liebe Regina,
vielen Dank für deine Einschätzung.
Bitte um Erweiterung für Podcaster…
Ja, die Idee hatte ich auch schon ein paar mal. Ich versuch’s. 🙂
LG Regina
Vielen Dank für die tollen Beispiele und Vorlagen. Diese sind wirklich sehr praxisnah und hilfreich. Ich habe eine grundsätzliche Frage zur DSGVO: Es geht ja in erster Linie um den Schutz personenbezogener Daten. Wie deckt man aber die firmenbezogenen Daten ab? Ich arbeite als Beraterin im QM und sehe dort sehr viele auch vertrauliche Dokumente, z. T. erhalte ich diese auch zur Bearbeitung. Decke ich das dann auch unter „Beratungsleistung“ im Verfahrensverzeichnis ab? Vielen Dank für eine kurze Rückmeldung!
Alle nicht personenbezogenen, aber schätzenswerten Daten deckt die DSGVO und der Datenschutz allgemein nicht ab. Das fällt dann unter das Thema Informationssicherheit. Hier gibt’s dann z.B. Vorgaben laut IT-Grunschutz vom BSI oder die ISO 27001 als ISO Standard und noch weitere ….
Vielen Dank für die schnelle Rückmeldung!
Liebe Regina,
vielen herzlichen Dank für Deine Hilfe und tolle Vorlagen! Eine kurze Frage: was ist mit der Kundenaquise (telefonisch und per Mail), gehört sie unter der Kundenverwaltung oder ist ein eigenständiges Verfahren?
Liebe Julia,
danke, das freut mich, wenn sie hilfreich sind die ganzen Vorlagen.
Da gibt es keine Vorgaben, wenn es für dich Sinn macht (vom Ablauf und den Daten, die verarbeitet werden), beides zusammen zu packen, dann ist das total ok. Wenn du in beiden Verfahren aber unterschiedliche Daten verarbeitest, dann würde ich es auf jeden Fall trennen.
Da gibt’s kein falsch und richtig 🙂
LG
Hallo liebe Regina,
vielen Dank für viele tolle hilfreiche Artikel.
Ich bin mir nicht ganz sicher, ob ich alles richtig verstanden habe.
Ich habe einen kleinen Buchblog und hoste über Strato, mein Email Postfach läuft über Webmail von Strato, AVV ist vorhanden. Am Blog gibt es nur eine Kommentarfunktion, keinen Newsletter oder Kontaktformular, man kann auch keine Kommentare abonnieren!
Jetzt wurde mir gesagt, da ich nur eine reine Kommentarfunktion biete ohne Abos, müsste ich kein Verzeichnis erstellen.
Ich verstehe es allerdings so: ein Verzeichnis gilt auch für mich. Dort muss ich eben diese Kommentarfunktion erwähnen mit Strato als Verarbeiter, genauso wie mein Email-Postfach (da ja Kontaktaufnahme über das Impressum möglich ist), und ich müsste einige Plugins erwähnen und beschreiben, wie zb Count per day oder Shariff usw. Verstehe ich das richtig?
Ich wurde nämlich etwas irritiert, als mir jemand sagte, ich müsse noch angeben, wie die Daten auf meinem Rechner gespeichert werden, und geschützt werden, Firewall, was mit Back-ups ist usw. Aber das trifft doch auf mich gar nicht zu, weil ich doch solche Daten auf meinem Rechner in meinem Fall gar nicht speichere, oder verstehe ich da was falsch?
Das läuft doch bei mir nur über Strato, oder?
Vielen Dank schon mal, ich hoffe so sehr, du kannst etwas Licht in mein Dunkel bringen. 😀
Liebe Grüße, Marion
Liebe Marion,
genau, ein Verfahrensverzeichnis brauchst du auf jeden Fall.
Die Sicherheit der Daten musst du kurz erläutern, wie sie bei dir umgesetzt ist. Du wirst wahrscheinlich deine E-mails herunterladen auf deinen Rechner, oder? Hast du Username und PW für deinen Rechner? Oder eine verschlüsselte Festplatte, oder oder oder? Das musst du kurz (in Stichpunkten) angeben.
LG Regina
Hallo Regina,
auch von meiner Seite herzlichen Dank für die tolle Vorlage! Ich habe überlegt, ob auch die Übergabe von Rechnungen (per E-Mail oder die ausgedruckten Unterlagen) an den Steuerberater zur Erstellung diverser Erklärungen im Verzeichnis aufgeführt werden muss.
Viele Grüße Silke
Ich würde im Verfahren Rechnungen, als „Empfänger der Daten“ den Steuerberater nennen.
LG Regina
Liebe Regina,
vielen Dank für deine Antwort. Ich habe mir auch mal ein YouTube Video von dir angesehen und bin schon viel entspannter, so viel dazu. Vielen Dank für die ganze Unterstützung!
Zu meinen Emails: Ich lade bei mir nicht auf den Rechner, ich logge mich jedes Mal nur auf meinem Strato Account ein und gehe dort weiter zu Strato Webmail, dort logge ich mich erneut ein. Ich rufe meine Emails nur so ab, aber ich bekomme eh vlt. nur eine Email im halben Jahr. 🙂
Wenn ich das richtig verstanden habe, muss ich in meinem Fall hier angeben, dass ich meine Emails über Webmail Strato verwalte und diese dort passwortgeschützt sind?
Und ich hätte noch eine andere klitzekleine Frage: ich habe meine Schrift von Google Fonts in meine Strato Datenbank geladen via FTP und Code. Ich habe geprüft, dass die Lizenz frei ist. Muss ich das in meine DSE schreiben, dass ich das gemacht habe?
Vielen lieben Dank noch mal.
LG Marion
Liebe Marion,
freut mich, wenn dir meine Unterstützung hilft.
Genau, du musst dann nur angeben, dass deine Mails und dein Mail Account Passwort geschützt ist. Dass du dich z.B. über eine sichere HTTPS Verbindung einloggst, könntest du auch noch angeben.
die Schrift, wenn du sie heruntergeladen hast, musst du nicht mehr in der DSE angeben.
LG Regina
Liebe Regina,
vielen lieben Dank, wir können echt froh sein, dass es Menschen wie dich gibt, die anderen helfen!
LG Marion
Hallo Regina,
vielen Dank für die guten Artikel und Vorlagen – ich habe lange gesucht und finde deine Erklärungen sehr gut und verständlich. LG
Das freut mich sehr! DANKE!
Hallo Regina,
könntest du den Link zum You-Tube-Video von dem Marion spricht, bitte nochmal nennen.
Danke und Grüße Silke
Hallo Regina,
noch eine kurze Sache: muss ich die Font Awesome im Verzeichnis erwähnen? Gesondert wahrscheinlich, nicht? Was wäre da zu den Löschfristen anzugeben?
Als eigenes Verfahren würde ich es nicht aufführen. Wie funktioniert Font Awesome? Wie google Fonts oder installiert man diese lokal?
Zum Thema wetransfer: Mit denen kann man mittlerweile einen AVV abschließen. Hier ist der Link: https://na3.docusign.net/Member/PowerFormSigning.aspx?PowerFormId=6ecbac28-c955-4419-8ed4-a5147655437b
wow super, danke für die Info! Das wusste ich nicht!
Ja, wie Google Fonts, das sind die Icons. Bei mir sind sie leider im Theme integriert und man kriegt sie nicht raus. Ich habe zwar den Hinweis in der DSE, aber ganz beruhigt bin ich dabei nicht.
Hallo Frau Stoiber,
in meinem Unternehmen setzen wir verschiedene Software-Fachanwendungen ein. Darunter Fachanwendungen, in denen personenbezogene Daten verarbeitet werden. Für all diese Fachanwendungen muss ein Verfahrensverzeichnis existieren richtig? Wie verhält es sich aber bei Fachanwendungen, in denen „nur“ der Erfasser/Bearbeiter (Benutzername)eines Datensatzes oder die im Programm hinterlegten Benutzer (Mitarbeiter der Firma) hinterlegt sind. Dabei handelt es sich ja um Mitarbeiterdaten. Muss für diese Anwendungen auch ein Verfahrensverzeichnis erstellt werden?
Sie schreiben „…muss ein Verfahrensverzeichnis für all die Fachanwendungen“ existieren. Evtl. ist es nur etwas anders von Ihnen formuliert, aber noch mal der Vollständigkeit halber. Sie haben für Ihr Unternehmen EIN Verfahrensverzeichnis und darin verschiedene Verfahren beschrieben. Also, Sie brauchen kein eigenes Verfahrensverzeichnis pro Fachanwendung.
Jede Fachanwendung, welche personenbezogene Daten verarbeitet ist mit mindestens einem Eintrag in Ihrem Verfahrensverzeichnis eingetragen. Ich schreibe mit mind. einem Verfahren, da es ja sein kann, dass Ihre Anwendungen so umfangreich sind, dass sie mehrere Verfahren abdecken.
Für Anwendungen, die lediglich Username und Passwort benötigen, würde ich ein Verfahren beschreiben, z.B. „Personenbezogene Anmeldung für Softwareanwendungen“, dann beschreiben Sie, wie Sie die Daten speichern. Sie können ja noch die Anwendungen im Feld „Verfahrens Beschreibung / Zweck“ nennen, die nur personenbezogene Anmeldedaten haben und sonst nichts.
Hallo Regina,
diese Übersicht ist der Hammer und wirklich sehr hilfreich für juristische Laien. Herzlichen Dank dafür.
Zum Thema „Veröffentlichung von persönlichen Informationen Dritter“ habe ich zwei Fragen:
Meine Vorlage für die Verarbeitungen sieht eine Rubrik „Dokumentation, dass Einwilligung erteilt wurde“ vor. Hältst Du die für erforderlich oder ist das schon „Kür“?
Wäre so ein Passus sinnvoll oder eher schädlich?
„Für Blogartikel / Interviews vor dem 19. Mai 2018 gilt, dass das Einverständnis der betroffenen Personen mündlich auf den Veranstaltungen eingeholt und gegeben wurde. Auf Wunsch können Fotos mit den betroffenen Fotos jederzeit von mir gelöscht werden. Die Interviews wurden von den betroffenen Personen vor der Veröffentlichung gegengelesen und freigegeben. Davon existieren E-Mails als Nachweis.
Ab dem 19. Mai 2018 werden mit den betroffenen Personen schriftliche Verträge geschlossen.“
Herzlichen Dank und zauberhafte Grüße
Birgit
Liebe Birgit,
danke für das Kompliment.
Ich sehe die Problematik mit dieser zusätzlichen Spalte „Einwilligung erteilt“, dass man in das allgemeine Verfahrensverzeichnis plötzlich Informationen auf Stammdaten Basis hast und ein relativ statisches Dokument bei jedem neuen Kunden aktualisieren muss. Ich würde diese Information eher im CRM Tool oder in der Kundenübersicht (wo immer die auch abgelegt ist), dokumentieren. Da ist es wohl einfacher zu verwalten.
Punkt 2 hört sich gut an. Bei den mündlichen Einverständnissen kann im Extremfall Aussage gegen Aussage stehen, aber wenn die Inhalte dann gelöscht werden, ist das Risiko sicherlich überschaubar.
LG Regina
Vielen Dank Frau Stoiber!
Guten Morgen Frau Stoiber,
Ihre Seite hilft mir wirklich sehr weiter, vielen Dank!
Meine Frage:
Oben bei den Mustern steht immer die Spalte „Rechtmäßigkeit“. In Ihrem Muster-Verfahrensverzeichnis in Excel ist diese Spalte nicht. Ist sie notwendig oder nicht?
Vielen Dank im Voraus!
Mit freundlichen Grüßen
Silke Scher
Hallo Frau Scher,
rein für das Verfahrensverzeichnis ist sie nicht notwendig. Wenn Sie z.B. Auftragsverarbeiter für ein anderes Unternehmen sind, können Sie die Rechtmäßigkeit meistens gar nicht ausfüllen. Nach Art. 30 ist die Rechtmäßigkeit kein Bestandteil des VVZ.
Ich gebe es doch gern mit an, da es gut ist, sich darüber bei der Aufnahme des Verfahrens Gedanken zu machen, zudem brauchen Sie es spätestens für die Informationspflicht nach Art. 13 und 14, die sich am besten aus dem Verfahrensverzeichnis ableitet.
Ich würde es empfehlen, ist aber keine Pflicht.
Viele Grüße
Regina Stoiber
Frage bezüglich Datentransfer Drittstaat: Wohnsitz Anbieter in der Schweiz, Server steht in der Schweiz. Was ist dann unter „Datentransfer in Drittstaaten“ anzugeben?
Hallo Sascha,
aktuell ist dann der Anbieter in der Schweiz im Drittstaat und das musst du so angeben im Verfahrensverzeichnis und eben auch gesondert beachten im Auftragsverarbeitungsvertrag.
Vor der DSGVO wurde ja die Schweiz als sicherer Drittstaat akzeptiert und konnte somit auf gleichem Datenschutzniveau gesehen werden. Meines Wissens arbeitet ja die Schweiz an einem ähnlichen Gesetz wie die DSGVO. Vielleicht ist dann ja (hoffentlich) bald die Schweiz wieder ein sicherer Drittstaat und kann wie ein EU Land behandelt werden.
Bisher ist das allerdings nicht der Fall.
Hallo,
bei einem Kurs durch den TÜV Süd wurde uns gesagt, dass selbst Telefonate in ein Verfahrensverzeichnis gehören, da dort personenbezogene Daten erhoben werden können. Wenn ich mein Verfahrensverzeichnis aber nun so detailliert erstelle, bzw. erweitere, dann habe ich ja bald ein Buch zusammen.
Ist es dort nicht ausreichend, dass nur komplette Vorgänge (z.B. Kundenberatung) aufgenommen werden?
Liebe Grüße
Ich würde es auch nicht übertreiben. Telefonate habe ich nur separat, wenn es sich um ein Call Center handelt. Orientiert man sich an den Vorlagen von Verfahrensverzeichnissen unseres Landesamts in Bayern, dann sieht man, dass die Verfahren nicht so detailliert aufgeschlüsselt sind.
Meine Empfehlung ist, Verfahren so zu gliedern, dass die Beschreibung und die Daten noch zusammen passen. Angebotserstellung und Auftragsbearbeitung würde ich trennen, da in der Regel unterschiedliche Löschfristen sind, andere Daten erhoben werden (ggf.)…. Bei den Telefonaten würde ich das dann eher in das jeweilige Verfahren schreiben. Wenn z.B. Bestellungen per Telefon erfolgen, dann würde ich das Verfahren „Bestellung“ nennen und im Zweck schreiben, Bestellungseingang per Telefon, Mail, Onlineshop….
Ich hoffe, es ist nachvollziehbar, worauf ich raus möchte. Wenn der Kundensupport telefonisch erfolgt, würde ich das Verfahren Kundensupport nennen und nicht Telefongespräche. Im Zweck dann aber auf die telefonische Annahme hinweisen.
LG
Hallo nochmals, ich habe nun ein Verzeichnis von internen Verarbeitungstätigkeiten erstellt und wende mich dem externen zu. Hierbei geht es um uns als Auftragsdatenverarbeiter, wir digitalisieren Unterlagen von Kunden. Eigentlich war ich informiert, dass ich nun für jeden Kunden das zugehörige Verfahren erstellen muss inkl. Nennung von Ansprechpartnern, Kontaktdaten etc., sehe aber nun hier, dass gar keine persönliche Daten, sondern nur allgemeine Verfahren erfasst werden sollen. Bei Hunderten von Kunden wäre das natürlich toll. Es reicht also tatsächlich aus, wenn ich nur die einzelnen Dienstleistungen beschreibe, die wir unseren Kunden anbieten, z. B. Scannen, Mikroverfilmen, zugehörige Datenerfassung, Vorbereitungsarbeiten, zur Verfügung Stellung per FTP etc. ohne auf die einzelnen Kunden eingehen zu müssen? lg, Su
Ich habe nochmals nachgelesen und denke, meine Frage hat sich schon erledigt, denn nach DSGVO Artikel 30 (2) müssen Name und Kontaktdaten „jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist (…)“ genannt werden. Also muss die Verfahrensbeschreibung doch für jeden Kunden erstellt werden, richtig?
Hallo Susann,
ich würde bzw. wir unterscheiden bei Kunden, die Auftragsverarbeiter sind folgende Fälle:
1. Wird ein spezielles Verfahren nur für einen Auftragsverarbeiter durchgeführt, kann man diesen konkret im VVZ benennen.
2. Wird das Verfahren für viele Kunden angewendet, wie bei euch oder auch bei einem Webhoster, schreiben wir nur in das Feld Auftragnehmer, z.B. Webhosting Kunden. Damit bleibt das VVZ wieder relativ statisch. Es gibt dann eine zweite Liste, die aktuell gepflegt werden muss, die die Kunden, die die Dienstleistung z.B. Webhosting in Anspruch nehmen, auflistet. Wenn das, z.B. immer aktuell aus dem ERP System als Report heraus gelassen werden kann, dann wäre das meiner Sicht auch ausreichend. Ist praxisnah und sinnvoll.
Liebe Frau Stoiber,
danke für Ihre tolle Arbeit und die Zurverfügungstellung dieser vielen Informationen für die, die sich eine professionelle Beratung vielleicht nicht so einfach leisten können.
Gehe ich richtig in der Annahme, dass die Nutzung von PayPal und Google Analytics auch eine eigene Verarbeitung im Sinne des Verzeichnis für Verarbeitungstätigkeiten ist und gesondert zum Onlineshop/ Webseite aufgeführt werden müsste? Haben Sie hierzu bereits eine Notiz in Ihren Veröffentlichungen, die ich vielleicht überlesen habe?
Vielen Dank und ein sonniges Wochenende!
Nadine
Liebe Nadine,
danke für Ihr nettes Feedback.
Ja, ich würde wahrscheinlich, PayPal und Analytics als eigene Verfahren zu beschreiben. Es gibt hier zwar kein richtig und falsch. Theoretisch wäre es auch möglich die Webseitenanalyse und Paypal in einem Verfahren mit der Internetseite / Webshop zu beschreiben. Das können Sie machen, wie es für Sie am besten nachzuvollziehen ist.
In der Datenschutzerklärung auf der Webseite müssen Sie beide Punkte auf jeden Fall angeben. Am besten separat. Dann wäre es wohl einfacher, auch im VVZ die beiden Verfahren getrennt aufzuführen.
Beides ist also in Ordnung.
Viele Grüße
Regina Stoiber
Hallo in die Runde,
gleich einmal direkt nachgefrag – wäre eine EC Kartenlesegerät, welches ja personenbezogene Daten erfässt und an die Bank (Dritten) weiterleitet, auch eine Verarbeitungstätigkeit und somit in das Verarbeitunsgverzeichnis mit aufzunehmen?
Die Bank ist ja als solches, siehe DSK – Kurzhinweis 13 Anlage B, ist ja nicht als Auftragsverarbeiter zu betrachten. Wie sieht das aber mit EC-, VISA-, Masterkarte o. ä. aus. Und sollte man hier TOM’s erlassen und das Lesegerät monatlich prüfen, insoweit die Versiegelung unbeschädigt ist.
Liebe Grüße
Hallo Andreas,
danke dir für die Frage.
EC Kartenlesegeräte würden wir im Verfahren „Zahlungsverkehr“ sehen. Ein eigenes Verfahren würden wir dazu nicht machen. Fachlich falsch ist es aber natürlich nicht ein eigenes Verfahren zu erstellen.
Zahlungsdienstleister sind generell keine Auftragsverarbeiter, also auch die ganzen Kreditkartenanbieter oder Paypal zum Beispiel nicht.
Spezielle interne technische Schutzmaßnahmen für das Gerät würde ich nicht zwingend sehen. Die EC Geräte sind meines Wissens alle nach dem sehr hohen PCI Standard (Payment Card Industrie) zertifiziert und gefertigt.
Was allerdings sinnvoll sein kann, sind interne organisatorische Maßnahmen, dass das Gerät nicht gestohlen wird, ebenso die Belege sollten sicher verwahrt sein.
Soweit meine Einschätzung. Ich hoffe das hilft weiter.
Viele Grüße
Regina
Hallo,
die Übersicht „Inhalt für Dienstleister“ enthält als Grundlage Art. 6 1 c – Vertrag. Das muss sicher 6 1 b heißen. Weiter gibt es mindestend an einer anderen Stelle auch noch einen Fehler zur Rechtsgrundlage.
Wow, super Webseite … werde hier auch in Zukunft zurückgreifen 😉 DANKE !!!! Liebe Grüße Mia