Jede natürliche Person, deren Daten bei einer Organisation, einem Verein oder einer Behörde gespeichert sind, hat Rechte an Ihren Daten. Was das für den Betroffenen (also die Person, deren Daten gespeichert sind), aber auch für die Organisation bedeutet, das möchte dieser Artikel erläutern.
Vorweg, im Folgenden wird vom Datenschutzbeauftragten in der männlichen Form gesprochen. Der Einfachheit halber beim Lesen unterscheiden wir nicht. Es sind natürlich alle Geschlechter angesprochen.
Wir weisen Sie auch darauf hin, dass es sich bei diesem Artikel um keine Rechtsberatung handelt, sondern lediglich um unsere Einschätzung und Erfahrung aus der Praxis.
Die Aufgaben eines Datenschutzbeauftragten wurden bereits ausführlich im letzten Blogartikel vorgestellt. Dennoch sorgen sich viele Datenschutzbeauftragten, wie es um die Haftung bei Datenpannen, Datenschutzvorfällen oder die Nichteinhaltung von Betroffenenrechte bestellt ist.
Dieser Artikel soll Sie unterstützen und die Themen des Kündigungsschutzes sowie der Haftung des Datenschutzbeauftragten näherbringen.
mehr lesen…
Da die Fragezeichen zum Verfahrensverzeichnis nach Artikel 30 DSGVO nicht weniger werden, möchte ich hier noch mal ins Detail gehen.
Ein generelles Muster in Excel und PDF, wie ein Verfahrensverzeichnis aufgebaut werden soll, stelle ich im Blogartikel „Verfahrensverzeichnis mit Muster“ zur Verfügung. Sogar ein ausgefülltes Verfahrensverzeichnis für Online- und Kleinunternehmer finden Sie in meinem gleichnamigen Onlinekurs.
An dieser Stelle möchte ich nun aber ein paar Verfahren auflisten, die für verschiedene Branchen relevant sein können. Die Ausprägung dazu muss natürlich jeder selber machen. Da die Rechtmäßigkeit nach Artikel 6 (1) DSGVO sehr stark vom Zweck der Verarbeitung abhängt, kann ich hier nur eine Empfehlung geben. Das heißt ein Verfahrensverzeichnis DSGVO kann bei zwei Unternehme(er)n mit identischen Verfahren ganz unterschiedlich ausgeprägt sein. Daher rate ich Ihnen, sich zwar an den Mustern und Vorschlägen zu orientieren, aber im Detail noch mal selber zu prüfen, ob der Zweck und die Rechtmäßigkeit für SIE richtig beschrieben sind.
Die nachfolgenden Kategorieren sind nur eine grobe Klassifizierung und natürlich nicht ausschließlich. Wahrscheinlich ist eine Kombination aus den verschiedenen Kategorien für Sie eine sinnvolle Lösung.
Sehr oft höre ich die Frage, ob das Verfahrensverzeichnis dann täglich mit den aktuellen Daten ergänzt werden muss.
Beim Verfahrensverzeichnis DSGVO handelt es sich um die Beschreibung allgemeiner Verfahren!!! Jede Verarbeitung wird einmal ganz allgemein beschrieben. Namen von einzelnen Kunden, Dienstleistern und Lieferanten gehören nicht in die Verarbeitungsübersicht.
Nachfolgend beschreibe ich grundlegende Verfahren, die häufig in Verfahrensverzeichnissen nach der DSGVO erfasst werden. Ich gebe neben dem Zweck, also der Beschreibung des Verfahrens noch die Rechtmäßigkeit nach Artikel 6 an. Ein Verfahren muss immer auf einer Rechtmäßigkeit nach Artikel 6 basieren. Hier gibt es folgende Möglichkeiten.
| Verfahren | Beschreibung | Rechtmäßigkeit | Anmerkung |
|---|---|---|---|
| Kommunikation per E-mail | Durchführung von interner und externer Kommunikation per E-mail. | Art. 6 (1) b - Vertrag oder vorvertragliche Maßnahmen Art. 6 (1) c - Rechtliche Verpflichtung / gesetzliche Vorgabe | Ist der E-mail Provider extern, z.B. der Webhoster, dann ist er Auftragsverarbeiter. |
| Kommunikation per Messenger | Durchführung von interner und externer Kommunikation per Messenger Dienst. | Art. 6 (1) a - Freiwillige Zustimmung | Messenger Dienstleister ist in der Regel kein Auftragsverarbeiter. What's App ist aktuell kein DSGVO konformer Messenger Dienst (auch wenn's schwer fällt)!!!! |
| Zahlungsverkehr ( externe Rechnungsstellung ) | Erstellung von Rechnungen für erbrachte Dienstleistung oder übergebene Waren. Ggf. unter Einbeziehung eines externen Dienstleistern, der sich um die Rechnungsstellung und Zahlungsabwicklung kümmert. | Art. 6 (1) b - Vertrag | Bei externem Dienstleister für die Rechnungsstellung handelt es sich um einen Auftragsverarbeiter. |
| IT-Support | Zugriff auf die interne IT-Infrastruktur durch einen externen Dienstleister aufgrund IT-Support und Wartungstätigkeiten. Dabei kann der Supportmitarbeiter Einsicht auf personenbezogene Daten von Kunden erhalten. | Art. 6 (1) b - Vertrag | Beziehen sich die Wartungs- und Supporttätigkeiten überwiegend auf Programme, die keine personenbezogenen Daten enthalten, sollte eine Geheimhaltungsvereinbarung getroffen werden. Sind aber vorrangig Programme im Support betroffen, wie z.B. Lohnverwaltung oder andere personenbezogene Daten, dann wäre ein Auftragsverarbeitungsvertrag besser. |
Hier müssen nur Dienstleistungen erfasst werden, die auch mit personenbezogenen Daten in Berührung kommen. Bzw. bei denen die Verarbeitung personenbezogener Daten dazu gehört. Meistens ist die Grundlage für diese Verfahren ein Vertrag, der mit dem Kunden geschlossen wurde (mündlich oder schriftlich).
| Verfahren | Beschreibung | Rechtmäßigkeit | Anmerkung |
|---|---|---|---|
| Persönliches Coaching | Individuelle Beratung einer Person in persönlichen Gesprächen. Notizen und Empfehlungen werden während des Gesprächs in schriftlicher Form notiert | Art. 6 (1) c - Vertrag | Je nachdem, wie genau das Coaching abläuft muss natürlich die Beschreibung angepasst werden. Wenn das Coaching die Hauptdienstleistung ist, dann würde ich an dieser Stelle auch die Kontaktdatenerfassung mit aufnehmen und nicht als separates Verfahren beschreiben. |
| Online-Coaching | Persönliches Coaching im Rahmen von Online- oder Telefonmeetings. Aufzeichnung des Coachings als Video und Dokumentation des Gesprächs in Notizen. | Art. 6 (1) c - Vertrag | Auch hier wieder wird es individuelle Unterschiede geben. |
| Patientenbehandlung | Behandlung des Patienten zur Vorsorge / bei akuten Problemen. Dokumentation der Behandlung in der Patientenakte (Papier / digital). | Art. 6 (1) c - Vertrag | Je nachdem, um welche Behandlung es handelt und wie die Dokumentation erfolgt, kann man das noch beschreiben. Grundsätzlich würde ich nicht weiter in die Tiefe gehen. |
| Kundenverwaltung | Verwaltung und Organisation der Kunden- und Interessentendaten in einer Datenbank / Programm. | Art. 6 (1) c - Vertrag oder Art. 6 (1) f - Berechtigtes Interesse | Ja nach Umfang der Kundenverwaltung kann man die Erfassung der Kontaktdaten auch in den Dienstleistungsverfahren mit beschreiben. |
| Schulungen / Training | Durchführung von Schulungen / Trainings mit Qualifizierungstest zum Abschluss. | Art. 6 (1) c - Vertrag | Wenn der Dozent die Daten der Teilnehmer nicht erhält oder auch nicht benötigt, ist es kein Verfahren im Sinne des Datenschutzes. |
An dieser Stelle würde ich die Verfahren nicht zu sehr im Detail aufsplitten. Ich weiß, dass viele Webseiten unterschiedliche Plugins für verschiedene Zwecke einsetzen. Ich würde nicht jedes Plugin als einzelnes Verfahren beschreiben, wenn es nicht einen wesentlichen Bestandteil des Geschäftsmodells ausmacht (wie es z.B. bei einem Onlineshop oder Mitgliederbereich der Fall ist). Viele Plugins, sollten sie überhaupt personenbezogene Daten in irgendeiner Weise verarbeiten, würde ich unter den Betrieb der Webseite fallen lassen.
| Verfahren | Beschreibung | Rechtmäßigkeit | Anmerkung |
|---|---|---|---|
| Webseite | Betrieb einer Webseite / Blog für Marketing, Werbung und Außenauftritt. Erfassung personenbezogener Daten in Logfiles auf Server und ggf. im CMS. | Art. 6 (1) f - Berechtigtes Interesse | Für dieses Verfahren wäre z.B. der Webhoster der Auftragsverarbeiter. |
| Webseitenanalyse | Zur Erfassung der Besucherstatistik und daraus folgend die Optimierung der Webseite werden die Zugriffe auf die Webseite analysiert. | Art. 6 (1) f - Berechtigtes Interesse | Falls die Daten extern gespeichert werden, handelt es sich wie z.B. bei Google Analytics um eine Auftragsverarbeitung. Matomo lokal installiert ist keine Auftragsverarbeitung. |
| Kontaktformular | Kontaktanfrage über die Webseite für Interessenten und Kunden zur Beantwortung einer spezifischen Anfrage / Frage. | Art. 6 (1) a - Freiwillige Zustimmung | |
| Kommentarfunktion im Blog | Seitenbesucher können Kommentare abgeben, um eine Diskussion oder Kommunikation am Blog aufzubauen. | Art. 6 (1) a - Freiwillige Zustimmung | |
| Mitgliederbereich / Login-Bereich | Den Besuchern der Webseite / den Kunden wird ein Mitgliederbereich angeboten, um - an Diskussionen teilzunehmen - Beiträge zu verfassen - auf bezahlte digitale Ware zugreifen zu können ..... | Art. 6 (1) a - Freiwillige Zustimmung Art. 6 (1) b - Vertrag ... | Hier gibt es so viele Möglichkeiten, dass es wichtig ist, die richtige zu beschreiben und auch den richtigen Rechtsgrund auszuwählen. |
| Veröffentlichung von persönlichen Informationen Dritter | In Blogbeiträgen werden Interviews und / oder Bilder von Dritten veröffentlicht. Es werden dabei fachliche Informationen zum Blog publiziert. | Art. 6 (1) a - Freiwillige Zustimmung Art. 6 (1) b - Vertrag | Auch hier wieder kann man ggf. die Beschreibung anpassen. Die Rechtmäßigkeit muss entweder auf der freiwilligen Zustimmung beruhen oder vielleicht sogar, weil es einen Vertrag gibt. Ein Interviewpartner kann z.B. die Zustimmung geben, indem er vor der Veröffentlichung den Beitrag noch mal gegenliest und mit OK bestätigt. Für Fotos empfehle ich zur eigenen Absicherung eine schriftliche Freigabe des Betroffenen. |
| Affiliate Marketing | Monetarisierung der Webseite, um durch Produktempfehlungen oder Produktverlinkungen eine Provision durch Käufe von Webseitenbesuchern zu erhalten. Käufe werden durch Gesetze Cookies bei Käufern dienen dazu, die tatsächliche Provision dem Affiliate Partner zuzuordnen. | Art. 6 (1) f - Berechtigtes Interesse | Bei mehreren Affiliate Partnern macht es evtl. Sinn diese aufzuschlüsseln in einzelne Verfahren, wenn die erfassten Daten unterschiedlich sind. Der Affiliate Partner z.B. Amazon ist in der Regel kein Auftragsverarbeiter. |
| Newsletterversand | Regelmäßige Information und aktuelle Angebote und Angebote von Drittanbietern an Interessenten und Kunden. | Art. 6 (1) a - Freiwillige Zustimmung | Newsletterpartner ist Auftragsverarbeiter. |
| Onlineshop | Verkauf von Waren und Dienstleistungen über einen eigenen / oder über einen Dritten Onlineshop. | Art. 6 (1) f - Vertrag | Ob eine AVV mit dem Shopbetreiber notwendig ist, hängt vom Einzelfall ab. |
Beschäftigt das Unternehmen Mitarbeiter oder Zeitarbeiter, müssen ein paar grundsätzliche Tätigkeiten abgedeckt werden. Auch hier können im Einzelfall noch einzelne Verfahren hinzukommen, wenn z.B. die Mitarbeiter Firmenwägen nutzen oder andere personenbezogene Geräte ausgehändigt bekommen.
| Verfahren | Beschreibung | Rechtmäßigkeit | Anmerkung |
|---|---|---|---|
| Bewerbungen | Bewerber bewirbt sich initiativ oder konkret auf eine ausgeschriebene Stelle per E-mail oder per Post. Bewerbungen werden bei nicht eingestellten Personen zurück geschickt. | Art. 6 (1) b - Vertrag oder vorvertraglicher Maßnahmen Art. 6 (1) c - Rechtliche Verpflichtung / gesetzliche Vorgabe (E-mail Archivierung) | Bewerbungen müssen gelöscht oder zurück geschickt werden. Alternativ kann der Bewerber AKTIV zustimmen, dass seine Unterlagen einbehalten werden dürfen, falls ähnliche Stellen später wieder besetzt werden müssen. |
| Lohnabrechnung | Überweisung von Löhnen und Gehältern. Abgabe von Steuern und Gebühren | Art. 6 (1) b - Vertrag | Externer Dienstleister zur Lohnabrechnung ist in der Regel kein Auftragsverarbeiter, sondern Funktionsübertragung. |
| Zeitwirtschaft | Zeitwirtschaft zur Erfassung der Arbeitszeiten, Urlaubszeiten, Fehlzeiten der Beschäftigten, sowie Abwesenheitsplanung, | Art. 6 (1) b - Vertrag |
| Verfahren | Beschreibung | Rechtmäßigkeit | Anmerkung |
|---|---|---|---|
| Firewalladministration | Zum sicheren Betrieb des Unternehmensnetzwerks wird als Gateway zum Internet eine Firewall betrieben. Es werden regelmäßig Logfiles protokolliert und ausgewertet, um sicherheitskritische Events zu identifizieren. | Art. 6 (1) f - Berechtigtes Interesse oder Art. 6 (1) b - Vertrag | Bei externen Kunden wird es in der Regel ein Vertrag seien der die rechtliche Grundlage bildet. Bei einer internen IT-Abteilung ist es wahrscheinlich das berechtigte Interesse. |
| IT Serviceprozesse | Es werden IT-Vorfälle und Änderungswünsche im Incident- und Changemanagement-Tool von Kunden / Mitarbeitern erfasst. Die IT-Mitarbeiter können anhand der Tickets die Fälle klassifizieren und bearbeiten. | Art. 6 (1) f - Berechtigtes Interesse oder Art. 6 (1) b - Vertrag | |
| PC-User Management | Jeder PC-User im Unternehmen / beim Kunden erhält einen eigenen PC / Laptop und eine eigene Benutzerkennung mit Passwort, sowie eine E-mail Adresse. Die Verwaltung der User wird auf Anweisung des Kunden umgesetzt | Art. 6 (1) f - Berechtigtes Interesse oder Art. 6 (1) b - Vertrag | |
| Administration von Applikationen mit personenbezogenen Inhalten | Zur Konfiguration, Wartung und Durchführung von Updates an zentralen IT-Systemen mit personenbezogenen Daten (z.B. HR-Software, CRM-Software...) müssen die Administratoren Zugriff auf das System erhalten. | Art. 6 (1) f - Berechtigtes Interesse oder Art. 6 (1) b - Vertrag |
Da auch Vereine der DSGVO unterliegen, sollte ebenfalls eine Übersicht der Verfahren erstellt werden. Je nach Vereinszweck unterscheiden sich die Verfahren natürlich. Trotzdem sollte mit diesen Verfahren ein Anfang gemacht sein.
| Verfahren | Beschreibung | Rechtmäßigkeit | Anmerkung |
|---|---|---|---|
| Mitgliederverwaltung | Übersicht und Verwaltung der Mitglieder mit ihren persönlichen Daten in einer Excel Liste, Access Datenbank, externen Anwendung... | Art. 6 (1) b - Vertrag | Bei einem Onlineportal ist eine Auftragsverarbeitung mit dem Dienstleister nötig. |
| Terminanmeldung | Anmeldung einzelner Mitglieder für vereinsinterne Veranstaltungen. Eigenständige Anmeldung der Teilnehmer per Telefon / Mail über ein Onlineportal. | Art. 6 (1) b - Vertrag | |
| Jubiläum | Ehrung langjähriger Mitglieder nach 10, 20, .... jähriger Mitgliedschaft oder bei runden Geburtstagen. Auswertung der Jubiläen jährlich in Excel Tabellen. | Art. 6 (1) f - Berechtigtes Interesse | |
| Übermittlung der Mitgliedsdaten an den übergeordneten Verband | Meldung der persönlichen Daten der Mitglieder beim Eintritt in den Verein an den übergeordneten Verein. | Art. 6 (1) f - Vertrag | Je nachdem, wenn der Verein einem übergeordneten Verband angehört und die Mitglieder dort gemeldet werden müssen, muss das auch Teil des Mitgliedsvertrags sein. Damit ist sichergestellt, dass ein Mitglied dagegen nicht im einzelnen widersprechen kann, falls der Verein zur Meldung verpflichtet ist. |
Da es trotzdem viele Fragen und Fragezeichen gibt, wie nun ein solches Verfahrensverzeichnis ausgefüllt wird, helfe ich hier gerne. Ich biete regelmäßig kostenlose Webinare an, in denen ich an mehreren Beispielen zeige, wie man vorgeht, ein Verfahrensverzeichnis auszufüllen. Hier finden Sie die nächsten Webinar-Termine.
Eine bereits ausgefüllte Verfahrensübersicht als Excel-Datei mit 25+ Verfahren gibt es in meinem Onlinekurs.
Ich hab diese Liste mal begonnen, um möchte sie gerne mit weiterem Input von Ihnen ergänzen. Welche Verfahren haben Sie und wissen nicht recht, wie Sie diese formulieren sollen? Gerne ergänze ich die Punkte in dieser Übersicht.
Bildquelle: @pixabay
Ist Ihr Dienstleister tatsächlich ein Auftragsverarbeiter im Sinne der EU Datenschutzgrundverordnung? Sehr schnell tendiert man dazu jedem den Titel Auftragsverarbeiter anzuhängen, der auch nur annähernd in die Nähe von personenbezogenen Daten kommt.
Es gibt viele Diskussionen zum Thema. Ist zum Beispiel Google schon ein Auftragsverarbeiter, wenn dort die IP-Adresse erfasst wird? Um die Frage fachlich fundiert zu beantworten, bin ich auf eine sehr gute Dokumentation der Bitkom gestoßen. Es wird dort auf 43 Seiten sehr detailliert über die Auftragsverarbeiter bzw. Auftragsdatenverarbeiter (wie sie vorher hießen) informiert.
[Update am 01.06.2018 – Aufgrund ständig neuer Veröffentlichungen und Stellungnahmen, wurde dieser Artikel nun noch mal angepasst!]
Neben dem sehr wertvollen Papier der Bitkom gehe ich nun auch noch auf die Stellungnahme der Datenschutzkonferenz ein, die auch eine Aussage über die Auftragsverarbeitung getroffen haben.
Die wesentlichen Informationen, extrahiert und zusammengefasst, möchte ich hier anbieten. Ich bin mir sicher, dass diese Informationen viel viele Leser genauso hilfreich sind, wie sie für mich waren.
Wie schon oben erwähnt, ist es nicht immer eine Auftragsverarbeitung, wenn Daten nicht allein von der verantwortlichen Stelle verarbeitet werden. Es gibt hier drei Möglichkeiten:
Jede dieser Optionen hat rechtlich andere Parameter, die berücksichtigt werden müssen.
Diese Fälle richtig auseinander zu halten, ist die Kunst. Ich finde es auch nicht ganz trivial, aber mit den Hinweisen der Bitkom und der DSK ist es etwas einfacher.
Allerdings muss man erwähnen, dass im Leitfaden der Bitkom noch die Funktionsübertragung erwähnt wird, dich ich vorher in diesem Artikel auch mehr heraus gehoben habe. Nach der DSGVO gibt es diese nun scheinbar nicht mehr. Ob sich die Urteile später wieder in die Richtung anlehnen, also das Prinzip der Funktionsübertragung in Betracht ziehen? Wie an so vielen Stellen, ist dies ein Fragezeichen, momentan sieht es aber nicht danach aus.
Ich empfehle daher, sich nicht mehr auf die Funktionsübertragung zu berufen – was es im allgemeinen aber auch einfacher macht, wie ich finde. Dann hat man noch die Optionen:
Wenn Sie einen Auftragsverarbeiter beauftragen legen Sie die Zwecke und Mittel der Datenverarbeitung fest. Sie sind verantwortlich für die Daten dem Betroffenen gegenüber.
Auch der Auftragsverarbeiter hat eine Unterstützungsfunktion, wenn der Verantwortliche seinen Verpflichtungen nicht alleine nachkommen kann oder will. Der Auftragsverarbeiter muss dann den Verantwortlichen bei der Erfüllung der Anfragen und Ansprüche des Betroffenen unterstützen.
Es deutet auf eine Auftragsverarbeitung hin, wenn der Auftragnehmer:
Ergänzen muss man aber noch, dass zwar der Auftraggeber die Zwecke und Mittel der Verarbeitung festlegt, das aber nicht bedeutet, dass auch jede technische Schutzmaßnahme durch den Auftraggeber entschieden werden muss. Hier hat der Auftragnehmer durchaus das Recht, eigene Entscheidungen zu treffen.
Laut Bitkom bezog sich die Grenze vor allem bei den IT-Dienstleistern darauf, dass ein Dienstleister, der nur Support Tätigkeit übernimmt und keine aktive Verarbeitung der Daten dabei übernimmt, kein Auftragsverarbeiter ist. Nach der Stellungnahme der DSK wird das nun etwas globaler gesehen.
Kein Auftragsverarbeiter ist daher ein Dienstleister, der z.B. die Wartung an der Stromzufuhr und an der Kühlung übernimmt. Jeglicher IT-Dienstleister, der sich z.B. auf den Rechner per Fernwartung aufschalten kann und dabei Zugriff auf personenbezogene Daten HABEN KÖNNTE, ist demnach ein Auftragsverarbeiter.
Die Beispiele der BitKom, wer kein Auftragsverarbeiter ist, sind nun noch ergänzt mit dem Einfluss des DSK Papiers:
Zudem handelt es sich nicht um einen Auftragsverarbeiter, wenn
Hier spricht sich nun die Datenschutzkonferenz aus, dass die fremden Fachleistungen sich folgendermaßen auszeichnen:
[Update am 05.08.2018]
Bisher war mir der Punkt „es muss eine Rechtsgrundlage nach Art. 6 DSGVO vorliegen“ absolut nicht klar. Es muss doch immer eine Rechtsgrundlage nach Art. 6 vorliegen, oder?
Beim Auftragsverarbeiter aber nur INDIREKT. Der Verantwortliche muss eine Rechtsgrundlage nach Art. 6 DSGVO haben. Der Auftragsverarbeiter hat diese in der Regel nicht. Liest man sich nämlich den Gesetzestext in Art. 6 genau durch, dann heißt es, es muss z.B. bei Art. 6 (1) lit. b ein Vertrag zwischen dem Betroffenen und dem Verantwortlichen existieren. Das heißt aber auch, dass diese Rechtsgrundlage für den Auftragsverarbeiter nicht gilt, da er ja nicht der Verantwortliche ist, sondern „nur“ der Dienstleister. Es gibt also keine Rechtsgrundlage beim Auftragsverarbeiter. Diese braucht er dementsprechend auch nicht dokumentieren (es ist nämlich keine Pflichtanforderung in Verfahrensverzeichnis!).
Aber zurück zu den fremden Fachleistungen. Wenn beim Dienstleister, der als „fremde Fachleistung“ gilt, eine Rechtsgrundlage vorliegen muss, sieht das ganz anders aus. Das heißt, es muss z.B. ein direkter Vertrag zwischen dem Betroffenen und dem Dienstleister existieren, was z.B. bei nachfolgenden Beispielen exakt der Fall ist.
Die DSK kategorisiert in Ihrer Stellungnahme folgende Gruppen
[Update am 02.02.2019]
Weitere Beispiele hat das Bayerische Landesamt für Datenschutz in einer Übersicht zusammen gestellt. Hier können Sie das Dokument einsehen.
Die DSGVO ermöglicht neben der alleinigen Verantwortung für ein Verfahren ein arbeitsteiliges Zusammenwirken. Dabei können „zwei oder mehr Verantwortlich“ gemeinsam die Verantwortung für die Verarbeitung personenbezogener Daten übernehmen.
Damit haben also alle verantwortlichen Stellen die Entscheidung über Zwecke und Mittel der Verarbeitung. Im Gegensatz zum Auftragsverarbeiter, bei dem keine Entscheidungsbefugnis über die Zwecke und Mittel der Verarbeitung vorliegt.
Bei der Entscheidungsbefugnis geht es nicht um untergeordnete Entscheidungen, welche Verschlüsselung eingesetzt wird oder wie die Akten entsorgt werden. Die Schutzmöglichkeiten nach dem aktuellen Stand der Technik wählt natürlich der Auftragsverarbeiter frei. Die erwähnte Entscheidungsbefugnis bezieht sich auf die Zwecke und Mittel der Verarbeitung allgemein.
Interessant fand ich den Hinweis, dass maßgeblich ein faktisches Verhalten entscheidend ist, ob es sich um gemeinsame Verantwortliche handelt. Nicht der gemeinsame Wille regelt die Joint Controllership, sondern eben das Verhalten, also wie es tatsächlich gelebt wird.
Es ist zwar kein Vertrag zur Auftragsverarbeitung nötig, trotzdem müssen ein paar Punkte dokumentiert werden.
Die aktuellen Beispiele der DSK sind etwas anders als die der Bitkom. Hier also die aktuellen der DSK:
Wie schon oben erwähnt stammt die Information dieses Beitrags aus einem Leitfaden der Biktom. Ich habe hier die Inhalte kompakt zusammen gefasst. Der gesamte Leitfaden ist hier zu finden: Quelle: Bitkom
Neu dazu kam nun die Quelle der Datenschutzkonferenz unter diesem Link.
Ich freue mich über einen Kommentar!
Jetzt muss ich mal eine Lanze brechen für alle, die sich so viele Gedanken um die bevorstehende DSGVO machen. In vielen digitalen Foren und bei Präsenzveranstaltungen führt das Thema Datenschutzgrundverordnung immer wieder zum selben Ergebnis. PANIK! Jeder Unternehmer, vom Solopreneur bis zum Großunternehmer, jeder IT- und HR-Verantwortliche stellt sich die Frage, ob er der neuen Datenschutzgrundverordnung am 25.5.2018 gewachsen ist.
Seit Monaten dreht sich mein Arbeitsalltag um kaum ein anderes Thema als die DSGVO. Ich bereite meine Kunden auf das neue Gesetz vor und helfe bei Online Unternehmern und in Foren mit Praxistipps rund um die DSGVO und das neue Bundesdatenschutzgesetz (welches übrigens mit dem ganzen DSGVO Hype meistens vergessen wird).
Was fällt mir dabei auf und warum ich der Meinung bin, dass Sie die DSGVO problemlos meistern werden?
Die Fragen zum Verfahrensverzeichnis überraschen mich sehr oft. Sie gehen fachlich sehr, sehr tief. Das allein spricht für Sie, dass Sie sich unglaublich viel Gedanken machen. Aus meiner Sicht manchmal vielleicht sogar zu viel. Klar soll das Verfahrensverzeichnis eine Übersicht über alle Verfahren in Ihrem (kleinen oder größeren) Unternehmen listen. An welchen Stellen verarbeiten Sie personenbezogene Daten? Aber was soll es nicht werden? Es soll keine zusätzliche Dokumentation von IT-Systemen werden.
Beim Datenschutz handelt es sich um ein Verbot mit Erlaubnisvorbehalt. Das heißt, alles ist erst mal verboten, bis es explizit erlaubt ist. An dieser Stelle greift nun das Verfahrensverzeichnis.
Hier beschreiben Sie, warum Ihre Verfahren legal sind und unter welchen Aspekten der Betrieb des Verfahrens statt findet. Daher ist es so wichtig, dass Sie den Zweck gut beschreiben. Warum führen Sie ein bestimmtes Verfahren durch? Schreiben Sie zum Beispiel beim Newsletterversand nicht einfach „Newsletterversand“. Begründen Sie indes den Zweck Ihrer Mailings. WARUM machen Sie das? Weil Sie über aktuelle Angebote informieren und damit die Konversion erhöhen möchten oder weil Sie die Zugriffe auf Ihre Webseite / Ihren Blog erhöhen möchten? Dieser Grund muss gut beschrieben und schlüssig sein. Zudem beschreiben Sie im Verzeichnis noch, welche Daten von welcher Personengruppe erhoben bzw. verarbeitet werden.
Nutzen Sie, wie beim Newsletterversand, einen externen Dienst? Dann ist es Aufgabe des Dienstleisters, im Vertrag die technischen Maßnahmen zu beschreiben.
Artikel 30 der DSGVO fordert für das Verfahrensverzeichnis eine „wenn möglich, allgemeine Beschreibung der techn. und organisatorischen Schutzmaßnahmen (TOMs)“.
Weniger ist manchmal – und speziell in diesem Fall – mehr!
Im Rahmen Ihrer Erstellung des Verfahrensverzeichnisses haben Sie verschiedene Dienstleister identifiziert. Sie nutzen deren Services. Die Dienstleister verarbeiten also Daten für Sie im Auftrag. Daher sind es sogenannte Auftragsverarbeiter oder Auftragsdatenverarbeiter.
Sie müssen mit den Dienstleistern eine ADV (oder AV) abschließen – das wissen Sie bereits. Aber auch hier ist der Hauptaufwand auf Seiten des Dienstleisters. Er muss in diesem Vertrag beschreiben, wie das System geschützt ist. In der Regel haben die großen Dienstleister dafür Standardverträge, die Sie Ihnen zukommen lassen.
Ihre Aufgabe ist es, den Auftragsverarbeiter zu kontaktieren und nach einer ADV zu fragen. Behalten Sie die Übersicht, dass Sie von jedem Dienstleister einen unterzeichneten Vertrag erhalten haben!
Ihr Aushängeschild in die ganze Welt und für viele die Plattform für das eigentliche Business. Egal ob Blog, Onlineshop oder Portal, es ist die zentrale Stelle, mit der Sie Geld verdienen. Funktionalität, Usability und aber natürlich auch die Anforderungen des Datenschutzes müssen passen.
Viele Fragen über den konformen Einsatz von Plugins und Widgets werden diskutiert. Achten Sie darauf, dass Sie Plugins von Anbietern verwenden, die transparent darstellen, was mit den Daten passiert. Prüfen Sie, ob sich der Software Hersteller dazu äußert, dass die Funktionen DSGVO bzw. GDPR konform sind.
Betreiben Sie Ihre Webseite nur mit einem SSL-Zertifikat. Aber natürlich ist es auch wichtig, dass Sie Ihre Datenschutzerklärung der Webseite aktualisieren und den neuen Anforderungen anpassen.
Sie sind sensibilisiert und achten darauf, welche Software Sie verwenden und welche Dienste Sie heranziehen. Im Zweifelsfall nachfragen und auch direkt den Anbieter kontaktieren. Damit decken Sie schon einen Großteil der Anforderungen ab.
… und sind damit definitiv weiter als immer noch viele andere Unternehmen. Ob Sie’s glauben oder nicht. Es gibt immer noch Unternehmer, die noch nicht mal mitbekommen haben, dass sich am 25.05.18 ein paar gravierende Änderungen durchsetzen werden.
Denken Sie an sich! Was haben Sie schon alles gemacht, welche Vorbereitungen haben Sie getroffen. Vergleichen Sie einen Großkonzern nicht mit einem Kleinunternehmen. Machen Sie das, was für Ihre Unternehmensgröße angemessen ist. Machen Sie es gut, hohlen Sie sich Input, aber lassen Sie auch die Kirche im Dorf.
Natürlich bin ich kein Anwalt und Richter und weiß nicht, wie die Urteile fallen werden. Trotzdem habe ich schon viele Auditsituationen in über 10 Jahren Berufserfahrung mitgemacht. Wenn der Auditor etwas finden möchte, wird er immer etwas finden. Das Gesetz ist streng, hat aber auch seine weichen Faktoren. Gerade wie schon oben erwähnt im Punkt Verfahrensverzeichnis. „Wenn möglich, eine allg. Beschreibung….“.
Ich möchte Ihnen Mut und Zuversicht geben! Mit Panik und schlaflosen Nächten ist auch niemanden geholfen 🙂
Und übrigens, der 25.05.2018 ist auch nur ein Freitag 😀
So sehr es mich auch ärgert, aber die Realität ist leider so. Sehr viele Unternehmen schüren Ängste und machen Panik mit hohen Strafen der DSGVO.
Ich bin davon überzeugt, dass Sie keine Angst vor der DSGVO haben müssen!
Also, lassen Sie sich nicht verunsichern!
Und natürlich ein unschlagbarer Punkt: Greifen Sie auf meine Erfahrung und Dienstleistung zurück. Schreiben Sie Ihre Fragen als Kommentar zum Artikel oder auf meiner Facebook Seite. Gerne unterstütze ich Sie bei der Umsetzung der DSGVO Anforderungen.
Da ich Ihnen Ihre vielen Fragen und Bedenken soweit wie möglich abnehmen möchte, biete ich für Sie ein exklusives live Webinar zur DSGVO Praxis an. Wenn Sie kompakt und praxisnah die wesentlichen Anforderungen der DSGVO erhalten möchten, melden Sie sich unbedingt an.
Schwerpunkt wird die Erstellung des Verfahrensverzeichnisses sein. Sie erhalten meine Tipps und Hilfen zum Ausfüllen des gesetzlich geforderten Verfahrensverzeichnisses. Natürlich gehe ich noch auf weitere wichtige Punkte der DSGVO ein.
Schreiben Sie Ihre Fragen, die ich im Webinar beantworten soll doch in einen Kommentar. Ich versuche, so viel wie möglich im Webinar zu beantworten.
Wer was wann wo und bei welcher Gelegenheit? Das klingt zunächst wie der Inhalt eines beliebigen Artikels aus einer Illustrierten im Wartezimmer. Setzt man diese Frage jedoch in Bezug zur DSGVO, steckt mehr dahinter: Mit der neuen EU Grundverordnung zum Datenschutz vervielfältigen sich die Plichten, denen Sie als Verantwortlicher gegenüber derer, deren Daten verarbeitet werden, nachkommen müssen.
Ganz einfach kann man sagen, dass jeder dessen Daten erhoben, verarbeitet bzw. gespeichert werden, ein Recht darauf hat, dies zu erfahren. Oder wie es das Bundesverfassungsgericht ausdrückt, Transparenz darüber, „wer was wann und bei welcher Gelegenheit über Sie weiß.“
Darüber hinaus kann man sagen, dass es den betroffenen Personen ohne dieses Wissen nicht möglich ist, die ihnen zustehenden Rechte, wie zum Beispiel das Recht auf Vergessenwerden oder das Recht auf Berichtigung ihrer Daten, wahrzunehmen.
Die Informationspflichten derer, die Daten erheben waren bisher im Bundesdatenschutzgesetz (BSDG) und weiteren Gesetzen geregelt. Das geschieht jetzt in den Artikeln 13 und 14 der Datenschutzgrundverordnung, kurz DSGVO und dem BSDG(neu). Insgesamt sind diese Regelungen weitreichender sind als bisher.
Während Artikel 13 die Informationspflicht bei Erhebung von personenbezogenen Daten direkt bei der betroffenen Person regelt, enthält Artikel 14 die Regelungen zur Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden. Ergänzend zu den Artikeln gibt es Erwägungsgründe, welche als Grundlage für den Erlass der Verordnung gesehen werden können.
Wenn Sie oder Ihr Unternehmen personenbezogene Daten direkt bei der betroffenen Person erheben, die Daten verarbeiten oder auch speichern, müssen Sie die Person bereits zum Zeitpunkt der Erhebung davon in Kenntnis setzen. Über welches Medium (schriftlich oder elektronisch) die Information im Online- bzw. Offlinebereich jeweils zur Verfügung gestellt werden muss oder sollte, ist derzeit noch Thema zahlreicher Diskussionen. Der Inhalt jedoch ist verbindlich und muss präzise, transparent leicht verständlich und in leicht zugänglicher Form zur Verfügung stehen. Grob zusammengefasst handelt es sich dabei um folgende Punkte:
Im Detail finden Sie alle notwendigen Informationen hier: https://dsgvo-gesetz.de/art-13-dsgvo/
Auch wenn Sie oder Ihr Unternehmen personenbezogene Daten verarbeiten oder auch speichern, die Sie nicht direkt bei der betroffenen Person erhoben haben, unterliegen Sie der Informationspflicht. Die mitzuteilenden Informationen sind nahezu gleich, jedoch müssen Sie darüber hinaus Angaben zu den Quellen der Daten machen und darüber, ob diese öffentlich zugänglich sind.
Die Information muss in diesem Falle nicht sofort, sondern innerhalb einer angemessenen Frist, spätestens aber nach einem Monat oder zum Zeitpunkt der ersten Kontaktaufnahme oder Weitergabe erfolgen.
Im Detail finden Sie alle notwendigen Informationen hier: https://dsgvo-gesetz.de/art-14-dsgvo/
Finden bei Ihnen beide Artikel Anwendung, ist es üblich, den betroffenen eine kombinierte Information über die Verarbeitung und Verwendung ihrer Daten zur Verfügung zu stellen.
Das Gesetz fordert an anderer Stelle in Artikel 30 der DSGVO eine Übersicht aller Verfahren zur Verarbeitung personenbezogener Daten in Ihrem Unternehmen. Einen Artikel mit Muster Verfahrensverzeichnis finden Sie ebenfalls im Blog.
Mit einem fertigen Verfahrensverzeichnis haben Sie bereits eine Basis, die Sie zur Erstellung der Informationspflichten heranziehen können. Alle oben genannten Informationen können Sie daraus ermitteln. Nun brauchen Sie diese Daten nur noch in ein Dokument übertragen und Ihrer Zielgruppe zur Verfügung stellen. Am besten erstellen Sie ein Dokument pro Zielgruppe. Überlegen Sie sich, wie Sie die Unterlagen den Betroffenen vor Erfassung und Verarbeitung ihrer Daten am besten anbieten können.
Was bedeutet die Informationspflicht nun für Sie in der Praxis? Egal ob Sie ein fertigendes Unternehmen, einen Einzelhandel, einen Onlineshop oder einen Blog betreiben, die Informationspflicht trifft sie immer irgendwo.
Sie verarbeiten personenbezogene Daten Ihrer Mitarbeiter zur Abwicklung der Personalführung, zur Lohnabrechnung bei Schulungen und sicher noch an einigen anderen Stellen. Alle diese Verfahren müssen in Ihrem Verfahrensverzeichnis beschrieben sein. Daraus leiten Sie nun das Informationsschreiben ab. Stellen Sie es neuen Mitarbeitern vor der Anstellung, vielleicht gleich mit dem Arbeitsvertrag zur Verfügung. Den bestehenden Mitarbeitern können Sie es nun einmalig z.B. mit der Lohnabrechnung oder über das Intranet zur Verfügung stellen (falls alle Mitarbeiter darauf Zugriff haben).
Unterscheiden Sie, ob Ihre Kunden Endverbraucher oder Businesskunden sind. Bei Endverbrauchern haben Sie in der Regel weit mehr personenbezogene Daten, als bei Geschäftskunden. Sie haben wahrscheinlich Informationen über Anschrift, Kontodaten, Geburtstag und Familienstand, Einkaufshistorie und noch vieles mehr. Da Geschäftskunden ein Unternehmen repräsentieren sind es meistens Daten wie E-mail Adressen, Telefonnummern und Kommunikationsverläufe, die bei Ihnen trotzdem personenbezogen vorliegen. Haben Sie bereits AGBs, dann wäre es eine Option, die Informationspflicht in ähnlicher Form anzubieten.
Kein Unternehmen ohne Webseite. Hier können Sie bei vielen Verfahren die Informationspflicht gleich in der Datenschutzerklärung abdecken, so wie Sie es auch in unserer Datenschutzerklärung vorfinden. Wir haben unsere mit Hilfe des e-Recht24 Generators erstellt, der hier die Anforderungen für Standardverfahren auf Webseiten sehr gut umsetzt.
Trotzdem sollten Sie selber noch offenen Auges über Ihre Webseite gehen und prüfen, ob tatsächlich alle Verfahren in der Datenschutzerklärung dokumentiert sind.
Damit Sie die Anforderung leicht verständlich und leicht zugänglich erfüllen, verweisen Sie sicherheitshalber an jeder Stelle an der Daten eingegeben werden auf Ihre Datenschutzerklärung.
Eine Ausnahme für Artikel 13 ist nur dann zulässig, wenn nachweislich alle Informationen der betroffenen Person bereits vorliegen. In der Praxis dürfte das schwer zu prüfen sein.
Für Artikel 14 gilt: Ist die Information der betroffenen Person unmöglich oder unverhältnismäßig aufwendig, kann darauf verzichtet werden. Das gleiche gilt für Fälle in denen die Erhebung oder Übermittlung gesetzlich vorgeschrieben ist oder eine Geheimhaltungspflicht in Form einer Satzung oder eines Berufsgeheimnisses besteht.
Da der europäische Gesetzgeber den Schutz personenbezogener Daten sowie die Gewährleistung einer fairen und transparenten Datenverarbeitung als absolut elementar ansieht, drohen bei Verstößen hohe Bußgelder. Der Rahmen dafür liegt bei bis zu 20.000.000 EUR oder 4% des Jahresumsatzes.
Diese Zahlen schrecken erst mal ab. Wo sich die Schwelle einpendeln wird, ist noch ungewiss. Sicher ist auf jeden Fall, dass die Bußgelder „wirksam“ sein müssen.
Die neuen Gesetze sind sehr umfangreich und gehen über das bisher Erforderliche weit hinaus. Beginnen Sie als Verantwortlicher deshalb frühzeitig mit der Umsetzung. Verbindlicher Stichtag für die Gültigkeit der neuen Informationspflichten ist der 25. Mai 2018.
Bildquelle: rawpixel@pixabay
Wie in vielen anderen Punkten auch, herrscht in Sachen Datenschutzbeauftragter GSDVO in den Unternehmen Unklarheit. Braucht ihr Unternehmen mit der neuen EU Datenschutzgrundverordnung nun (noch?) einen Datenschutzbeauftragten (DSB)?
Grundsätzlich sind zur Beantwortung dieser Frage zwei Gesetzestexte heranzuziehen. Zum Einen die DSGVO und zum Anderen das neue Bundesdatenschutzgesetz. Die DSGVO bietet beim Datenschutzbeauftragten die Möglichkeit einer nationalen Öffnungsklausel, welche in Deutschland umgesetzt wurde.
Letztendlich kann man sagen, es wird in Deutschland relativ ähnlich bleiben, wie vorher auch. Trotzdem liegt der Unterschied im Detail. Nachfolgend eine detailliertere Ausführung, wann ein DSB benötigt wird.
Übrigens, wenn hier von Datenschutzbeauftragter DSGVO und BDSG (neu) gesprochen wird, dann impliziert das immer die männliche und weibliche Form!
Im Folgenden werden die Voraussetzungen nach DSGVO und BDSG (neu) aufgelistet. Für Sie als Unternehmen in Deutschland sind beide relevant. Das heißt, wenn eine der Vorbedingungen auf Sie zutrifft, egal aus welchem Gesetz, benötigen Sie einen DSB.
Artikel 37 GSDVO regelt die Anforderungen, wann ein DSB benannt werden muss. Es wird an dieser Stelle nicht von „Bestellung“ gesprochen, nur „Benennung“.
Artikel 37 listet folgende Punkte auf zur Benennung eines Datenschutzbeauftragten:
§38 des BDSG (neu) ergänzt den Artikel 37 – Datenschutzbeauftragter DSGVO, folgendermaßen:
Dieser Punkt ist nach wie vor der Hauptgrund für viele Unternehmen, einen DSB zu beauftragen. Große Unternehmen mit IT Abteilung, Personalabteilung haben relativ schnell diese Grenze erreicht!
Unabhängig von dieser 10 Personen Regelung wird ein DSB benötigt, wenn Ihr Unternehmen personenbezogene Daten:
Wann ist ein interner Datenschutzbeauftragter sinnvoll?
Wann ist ein externer Datenschutz besser geeignet?
Beide Varianten haben Ihren Vor- und Nachteil, das ist natürlich klar. Sind Sie nicht sicher, wie Sie sich entscheiden sollen? Ich freue mich über Ihren Kommentar.
Melden Sie sich zu meinem Newsletter an und erhalten Sie regelmäßig aktuelle und praxisorientierte Informationen zum Datenschutz und zur Informationssicherheit.
