Da die Fragezeichen zum Verfahrensverzeichnis nach Artikel 30 DSGVO nicht weniger werden, möchte ich hier noch mal ins Detail gehen.
Ein generelles Muster in Excel und PDF, wie ein Verfahrensverzeichnis aufgebaut werden soll, stelle ich im Blogartikel „Verfahrensverzeichnis mit Muster“ zur Verfügung. Sogar ein ausgefülltes Verfahrensverzeichnis für Online- und Kleinunternehmer finden Sie in meinem gleichnamigen Onlinekurs.
Jedes Verfahrensverzeichnis ist individuell
An dieser Stelle möchte ich nun aber ein paar Verfahren auflisten, die für verschiedene Branchen relevant sein können. Die Ausprägung dazu muss natürlich jeder selber machen. Da die Rechtmäßigkeit nach Artikel 6 (1) DSGVO sehr stark vom Zweck der Verarbeitung abhängt, kann ich hier nur eine Empfehlung geben. Das heißt ein Verfahrensverzeichnis DSGVO kann bei zwei Unternehme(er)n mit identischen Verfahren ganz unterschiedlich ausgeprägt sein. Daher rate ich Ihnen, sich zwar an den Mustern und Vorschlägen zu orientieren, aber im Detail noch mal selber zu prüfen, ob der Zweck und die Rechtmäßigkeit für SIE richtig beschrieben sind.
Die nachfolgenden Kategorieren sind nur eine grobe Klassifizierung und natürlich nicht ausschließlich. Wahrscheinlich ist eine Kombination aus den verschiedenen Kategorien für Sie eine sinnvolle Lösung.
Wichtiges vorweg!
Sehr oft höre ich die Frage, ob das Verfahrensverzeichnis dann täglich mit den aktuellen Daten ergänzt werden muss.
Keine persönlichen Informationen im Verfahrensverzeichnis!
Beim Verfahrensverzeichnis DSGVO handelt es sich um die Beschreibung allgemeiner Verfahren!!! Jede Verarbeitung wird einmal ganz allgemein beschrieben. Namen von einzelnen Kunden, Dienstleistern und Lieferanten gehören nicht in die Verarbeitungsübersicht.
Mögliche Verfahren in einem Verfahrensverzeichnis DSGVO
Nachfolgend beschreibe ich grundlegende Verfahren, die häufig in Verfahrensverzeichnissen nach der DSGVO erfasst werden. Ich gebe neben dem Zweck, also der Beschreibung des Verfahrens noch die Rechtmäßigkeit nach Artikel 6 an. Ein Verfahren muss immer auf einer Rechtmäßigkeit nach Artikel 6 basieren. Hier gibt es folgende Möglichkeiten.
Rechtmäßigkeit nach Artikel 6 DSGVO
- Der Betroffene gibt eine freiwillige Einwilligung (perfekt für den Verarbeiter)
- Die Verarbeitung der Daten basiert auf einem Vertrag oder vorvertraglichen Maßnahmen (also die Verhandlung mit potentiellen Kunden fällt auch darunter, auch wenn es dann ggf. nicht zu einem Vertragsschluss kommt). Übrigens, ein Vertrag kann mündlich und schriftlich erfolgen.
- Die Verarbeitung basiert aufgrund eines Gesetzes oder sonstigen rechtlichen Verpflichtung
- Es geht um lebenswichtige Interessen des Betroffenen
- Zur Wahrung des öffentlichen Interesses oder öffentlicher Gewalt werden personenbezogene Daten verarbeitet
- Solange die Grundrechte einer Person nicht verletzt werden, kann auch das eigene berechtigte Interesse des Verarbeiters ein Grund zur Verarbeitung der Daten sein
Allgemeine Verfahren in einem Verfahrensverzeichnis nach DSGVO
| Verfahren | Beschreibung | Rechtmäßigkeit | Anmerkung |
|---|---|---|---|
| Kommunikation per E-mail | Durchführung von interner und externer Kommunikation per E-mail. | Art. 6 (1) b - Vertrag oder vorvertragliche Maßnahmen Art. 6 (1) c - Rechtliche Verpflichtung / gesetzliche Vorgabe | Ist der E-mail Provider extern, z.B. der Webhoster, dann ist er Auftragsverarbeiter. |
| Kommunikation per Messenger | Durchführung von interner und externer Kommunikation per Messenger Dienst. | Art. 6 (1) a - Freiwillige Zustimmung | Messenger Dienstleister ist in der Regel kein Auftragsverarbeiter. What's App ist aktuell kein DSGVO konformer Messenger Dienst (auch wenn's schwer fällt)!!!! |
| Zahlungsverkehr ( externe Rechnungsstellung ) | Erstellung von Rechnungen für erbrachte Dienstleistung oder übergebene Waren. Ggf. unter Einbeziehung eines externen Dienstleistern, der sich um die Rechnungsstellung und Zahlungsabwicklung kümmert. | Art. 6 (1) b - Vertrag | Bei externem Dienstleister für die Rechnungsstellung handelt es sich um einen Auftragsverarbeiter. |
| IT-Support | Zugriff auf die interne IT-Infrastruktur durch einen externen Dienstleister aufgrund IT-Support und Wartungstätigkeiten. Dabei kann der Supportmitarbeiter Einsicht auf personenbezogene Daten von Kunden erhalten. | Art. 6 (1) b - Vertrag | Beziehen sich die Wartungs- und Supporttätigkeiten überwiegend auf Programme, die keine personenbezogenen Daten enthalten, sollte eine Geheimhaltungsvereinbarung getroffen werden. Sind aber vorrangig Programme im Support betroffen, wie z.B. Lohnverwaltung oder andere personenbezogene Daten, dann wäre ein Auftragsverarbeitungsvertrag besser. |
Verfahrensverzeichnis DSGVO: Inhalt für Dienstleister
Hier müssen nur Dienstleistungen erfasst werden, die auch mit personenbezogenen Daten in Berührung kommen. Bzw. bei denen die Verarbeitung personenbezogener Daten dazu gehört. Meistens ist die Grundlage für diese Verfahren ein Vertrag, der mit dem Kunden geschlossen wurde (mündlich oder schriftlich).
| Verfahren | Beschreibung | Rechtmäßigkeit | Anmerkung |
|---|---|---|---|
| Persönliches Coaching | Individuelle Beratung einer Person in persönlichen Gesprächen. Notizen und Empfehlungen werden während des Gesprächs in schriftlicher Form notiert | Art. 6 (1) c - Vertrag | Je nachdem, wie genau das Coaching abläuft muss natürlich die Beschreibung angepasst werden. Wenn das Coaching die Hauptdienstleistung ist, dann würde ich an dieser Stelle auch die Kontaktdatenerfassung mit aufnehmen und nicht als separates Verfahren beschreiben. |
| Online-Coaching | Persönliches Coaching im Rahmen von Online- oder Telefonmeetings. Aufzeichnung des Coachings als Video und Dokumentation des Gesprächs in Notizen. | Art. 6 (1) c - Vertrag | Auch hier wieder wird es individuelle Unterschiede geben. |
| Patientenbehandlung | Behandlung des Patienten zur Vorsorge / bei akuten Problemen. Dokumentation der Behandlung in der Patientenakte (Papier / digital). | Art. 6 (1) c - Vertrag | Je nachdem, um welche Behandlung es handelt und wie die Dokumentation erfolgt, kann man das noch beschreiben. Grundsätzlich würde ich nicht weiter in die Tiefe gehen. |
| Kundenverwaltung | Verwaltung und Organisation der Kunden- und Interessentendaten in einer Datenbank / Programm. | Art. 6 (1) c - Vertrag oder Art. 6 (1) f - Berechtigtes Interesse | Ja nach Umfang der Kundenverwaltung kann man die Erfassung der Kontaktdaten auch in den Dienstleistungsverfahren mit beschreiben. |
| Schulungen / Training | Durchführung von Schulungen / Trainings mit Qualifizierungstest zum Abschluss. | Art. 6 (1) c - Vertrag | Wenn der Dozent die Daten der Teilnehmer nicht erhält oder auch nicht benötigt, ist es kein Verfahren im Sinne des Datenschutzes. |
Verfahren für Blogger und Onlineunternehmer
An dieser Stelle würde ich die Verfahren nicht zu sehr im Detail aufsplitten. Ich weiß, dass viele Webseiten unterschiedliche Plugins für verschiedene Zwecke einsetzen. Ich würde nicht jedes Plugin als einzelnes Verfahren beschreiben, wenn es nicht einen wesentlichen Bestandteil des Geschäftsmodells ausmacht (wie es z.B. bei einem Onlineshop oder Mitgliederbereich der Fall ist). Viele Plugins, sollten sie überhaupt personenbezogene Daten in irgendeiner Weise verarbeiten, würde ich unter den Betrieb der Webseite fallen lassen.
| Verfahren | Beschreibung | Rechtmäßigkeit | Anmerkung |
|---|---|---|---|
| Webseite | Betrieb einer Webseite / Blog für Marketing, Werbung und Außenauftritt. Erfassung personenbezogener Daten in Logfiles auf Server und ggf. im CMS. | Art. 6 (1) f - Berechtigtes Interesse | Für dieses Verfahren wäre z.B. der Webhoster der Auftragsverarbeiter. |
| Webseitenanalyse | Zur Erfassung der Besucherstatistik und daraus folgend die Optimierung der Webseite werden die Zugriffe auf die Webseite analysiert. | Art. 6 (1) f - Berechtigtes Interesse | Falls die Daten extern gespeichert werden, handelt es sich wie z.B. bei Google Analytics um eine Auftragsverarbeitung. Matomo lokal installiert ist keine Auftragsverarbeitung. |
| Kontaktformular | Kontaktanfrage über die Webseite für Interessenten und Kunden zur Beantwortung einer spezifischen Anfrage / Frage. | Art. 6 (1) a - Freiwillige Zustimmung | |
| Kommentarfunktion im Blog | Seitenbesucher können Kommentare abgeben, um eine Diskussion oder Kommunikation am Blog aufzubauen. | Art. 6 (1) a - Freiwillige Zustimmung | |
| Mitgliederbereich / Login-Bereich | Den Besuchern der Webseite / den Kunden wird ein Mitgliederbereich angeboten, um - an Diskussionen teilzunehmen - Beiträge zu verfassen - auf bezahlte digitale Ware zugreifen zu können ..... | Art. 6 (1) a - Freiwillige Zustimmung Art. 6 (1) b - Vertrag ... | Hier gibt es so viele Möglichkeiten, dass es wichtig ist, die richtige zu beschreiben und auch den richtigen Rechtsgrund auszuwählen. |
| Veröffentlichung von persönlichen Informationen Dritter | In Blogbeiträgen werden Interviews und / oder Bilder von Dritten veröffentlicht. Es werden dabei fachliche Informationen zum Blog publiziert. | Art. 6 (1) a - Freiwillige Zustimmung Art. 6 (1) b - Vertrag | Auch hier wieder kann man ggf. die Beschreibung anpassen. Die Rechtmäßigkeit muss entweder auf der freiwilligen Zustimmung beruhen oder vielleicht sogar, weil es einen Vertrag gibt. Ein Interviewpartner kann z.B. die Zustimmung geben, indem er vor der Veröffentlichung den Beitrag noch mal gegenliest und mit OK bestätigt. Für Fotos empfehle ich zur eigenen Absicherung eine schriftliche Freigabe des Betroffenen. |
| Affiliate Marketing | Monetarisierung der Webseite, um durch Produktempfehlungen oder Produktverlinkungen eine Provision durch Käufe von Webseitenbesuchern zu erhalten. Käufe werden durch Gesetze Cookies bei Käufern dienen dazu, die tatsächliche Provision dem Affiliate Partner zuzuordnen. | Art. 6 (1) f - Berechtigtes Interesse | Bei mehreren Affiliate Partnern macht es evtl. Sinn diese aufzuschlüsseln in einzelne Verfahren, wenn die erfassten Daten unterschiedlich sind. Der Affiliate Partner z.B. Amazon ist in der Regel kein Auftragsverarbeiter. |
| Newsletterversand | Regelmäßige Information und aktuelle Angebote und Angebote von Drittanbietern an Interessenten und Kunden. | Art. 6 (1) a - Freiwillige Zustimmung | Newsletterpartner ist Auftragsverarbeiter. |
| Onlineshop | Verkauf von Waren und Dienstleistungen über einen eigenen / oder über einen Dritten Onlineshop. | Art. 6 (1) f - Vertrag | Ob eine AVV mit dem Shopbetreiber notwendig ist, hängt vom Einzelfall ab. |
Verfahren für Unternehmen mit Mitarbeitern
Beschäftigt das Unternehmen Mitarbeiter oder Zeitarbeiter, müssen ein paar grundsätzliche Tätigkeiten abgedeckt werden. Auch hier können im Einzelfall noch einzelne Verfahren hinzukommen, wenn z.B. die Mitarbeiter Firmenwägen nutzen oder andere personenbezogene Geräte ausgehändigt bekommen.
| Verfahren | Beschreibung | Rechtmäßigkeit | Anmerkung |
|---|---|---|---|
| Bewerbungen | Bewerber bewirbt sich initiativ oder konkret auf eine ausgeschriebene Stelle per E-mail oder per Post. Bewerbungen werden bei nicht eingestellten Personen zurück geschickt. | Art. 6 (1) b - Vertrag oder vorvertraglicher Maßnahmen Art. 6 (1) c - Rechtliche Verpflichtung / gesetzliche Vorgabe (E-mail Archivierung) | Bewerbungen müssen gelöscht oder zurück geschickt werden. Alternativ kann der Bewerber AKTIV zustimmen, dass seine Unterlagen einbehalten werden dürfen, falls ähnliche Stellen später wieder besetzt werden müssen. |
| Lohnabrechnung | Überweisung von Löhnen und Gehältern. Abgabe von Steuern und Gebühren | Art. 6 (1) b - Vertrag | Externer Dienstleister zur Lohnabrechnung ist in der Regel kein Auftragsverarbeiter, sondern Funktionsübertragung. |
| Zeitwirtschaft | Zeitwirtschaft zur Erfassung der Arbeitszeiten, Urlaubszeiten, Fehlzeiten der Beschäftigten, sowie Abwesenheitsplanung, | Art. 6 (1) b - Vertrag |
Verfahren bei IT-Dienstleistern oder größeren IT-Abteilungen
| Verfahren | Beschreibung | Rechtmäßigkeit | Anmerkung |
|---|---|---|---|
| Firewalladministration | Zum sicheren Betrieb des Unternehmensnetzwerks wird als Gateway zum Internet eine Firewall betrieben. Es werden regelmäßig Logfiles protokolliert und ausgewertet, um sicherheitskritische Events zu identifizieren. | Art. 6 (1) f - Berechtigtes Interesse oder Art. 6 (1) b - Vertrag | Bei externen Kunden wird es in der Regel ein Vertrag seien der die rechtliche Grundlage bildet. Bei einer internen IT-Abteilung ist es wahrscheinlich das berechtigte Interesse. |
| IT Serviceprozesse | Es werden IT-Vorfälle und Änderungswünsche im Incident- und Changemanagement-Tool von Kunden / Mitarbeitern erfasst. Die IT-Mitarbeiter können anhand der Tickets die Fälle klassifizieren und bearbeiten. | Art. 6 (1) f - Berechtigtes Interesse oder Art. 6 (1) b - Vertrag | |
| PC-User Management | Jeder PC-User im Unternehmen / beim Kunden erhält einen eigenen PC / Laptop und eine eigene Benutzerkennung mit Passwort, sowie eine E-mail Adresse. Die Verwaltung der User wird auf Anweisung des Kunden umgesetzt | Art. 6 (1) f - Berechtigtes Interesse oder Art. 6 (1) b - Vertrag | |
| Administration von Applikationen mit personenbezogenen Inhalten | Zur Konfiguration, Wartung und Durchführung von Updates an zentralen IT-Systemen mit personenbezogenen Daten (z.B. HR-Software, CRM-Software...) müssen die Administratoren Zugriff auf das System erhalten. | Art. 6 (1) f - Berechtigtes Interesse oder Art. 6 (1) b - Vertrag |
Verfahren für Vereine in einem Verfahrensverzeichnis DSGVO
Da auch Vereine der DSGVO unterliegen, sollte ebenfalls eine Übersicht der Verfahren erstellt werden. Je nach Vereinszweck unterscheiden sich die Verfahren natürlich. Trotzdem sollte mit diesen Verfahren ein Anfang gemacht sein.
| Verfahren | Beschreibung | Rechtmäßigkeit | Anmerkung |
|---|---|---|---|
| Mitgliederverwaltung | Übersicht und Verwaltung der Mitglieder mit ihren persönlichen Daten in einer Excel Liste, Access Datenbank, externen Anwendung... | Art. 6 (1) b - Vertrag | Bei einem Onlineportal ist eine Auftragsverarbeitung mit dem Dienstleister nötig. |
| Terminanmeldung | Anmeldung einzelner Mitglieder für vereinsinterne Veranstaltungen. Eigenständige Anmeldung der Teilnehmer per Telefon / Mail über ein Onlineportal. | Art. 6 (1) b - Vertrag | |
| Jubiläum | Ehrung langjähriger Mitglieder nach 10, 20, .... jähriger Mitgliedschaft oder bei runden Geburtstagen. Auswertung der Jubiläen jährlich in Excel Tabellen. | Art. 6 (1) f - Berechtigtes Interesse | |
| Übermittlung der Mitgliedsdaten an den übergeordneten Verband | Meldung der persönlichen Daten der Mitglieder beim Eintritt in den Verein an den übergeordneten Verein. | Art. 6 (1) f - Vertrag | Je nachdem, wenn der Verein einem übergeordneten Verband angehört und die Mitglieder dort gemeldet werden müssen, muss das auch Teil des Mitgliedsvertrags sein. Damit ist sichergestellt, dass ein Mitglied dagegen nicht im einzelnen widersprechen kann, falls der Verein zur Meldung verpflichtet ist. |
Wie füllt man ein komplettes Verfahrensverzeichnis aus?
Da es trotzdem viele Fragen und Fragezeichen gibt, wie nun ein solches Verfahrensverzeichnis ausgefüllt wird, helfe ich hier gerne. Ich biete regelmäßig kostenlose Webinare an, in denen ich an mehreren Beispielen zeige, wie man vorgeht, ein Verfahrensverzeichnis auszufüllen. Hier finden Sie die nächsten Webinar-Termine.
Eine bereits ausgefüllte Verfahrensübersicht als Excel-Datei mit 25+ Verfahren gibt es in meinem Onlinekurs.
Vorschläge zur Erweiterung erwünscht
Ich hab diese Liste mal begonnen, um möchte sie gerne mit weiterem Input von Ihnen ergänzen. Welche Verfahren haben Sie und wissen nicht recht, wie Sie diese formulieren sollen? Gerne ergänze ich die Punkte in dieser Übersicht.
Bildquelle: @pixabay
Jetzt muss ich mal eine Lanze brechen für alle, die sich so viele Gedanken um die bevorstehende DSGVO machen. In vielen digitalen Foren und bei Präsenzveranstaltungen führt das Thema Datenschutzgrundverordnung immer wieder zum selben Ergebnis. PANIK! Jeder Unternehmer, vom Solopreneur bis zum Großunternehmer, jeder IT- und HR-Verantwortliche stellt sich die Frage, ob er der neuen Datenschutzgrundverordnung am 25.5.2018 gewachsen ist.
