Ein Verfahrensverzeichnis zu erstellen hört sich kompliziert an. Wer braucht es? Wie muss es erstellt werden? Was gehört alles hinein?
Fragen über Fragen. Mit diesem Beitrag möchte ich Ihnen eine einfache Anleitung geben, wie Sie dieses vermeintliche komplexe Gebilde doch relativ einfach umsetzen können.
Was ist überhaupt ein Verfahrensverzeichnis?
Der Name im Gesetz lautet „Verzeichnis von Verarbeitungstätigkeiten“. Unter den Verarbeitungstätigkeiten im Sinne des Datenschutzes versteht man alle Vorgänge im Unternehmen, die personenbezogene Daten verarbeiten. Also einfach gesagt, wo überall kommen Sie, Ihre Kollegen oder Ihre Mitarbeiter mit Informationen in Kontakt, bei denen reale Personen dahinter stehen? Das ist auf jeden Fall die Lohnabrechnung, die Mitarbeiterverwaltung, aber auch zum Beispiel ein Einzelverbindungsnachweis der Telefonie. Sind Ihre Kunden Endverbraucher, dann haben Sie wahrscheinlich deren Adressen, E-mail Kontakte, Zahlungsdaten, Einkaufsverhalten und noch vieles mehr.
Im Verfahrensverzeichnis listen Sie nun alle „Verfahren“ auf, bei denen Sie diese Daten erfassen oder verarbeiten.
Je nach Unternehmen ist diese Liste unterschiedlich lang. Es macht einen Unterschied, ob Sie Solopreneur sind oder das Verfahrensverzeichnis für ein Großunternehmen erstellen. Sind Ihre Kunden Businesskunden oder Endverbraucher? Bei Businesskunden fallen einige Verfahren weg, da ein Geschäftskunde ja nur teilweise personenbezogene Daten im Geschäftsverkehr preisgibt.
Wer braucht ein Verfahrensverzeichnis?
Da gibt’s (fast) keine Ausnahme. Jedes Unternehmen, bzw. jeder Unternehmer und Selbständige ist dafür verantwortlich eine Verfahrensübersicht zu führen. Es gibt zwar theoretisch die Ausnahme im Artikel 30 der DSGVO. Nur ab 250 Mitarbeitern im Unternehmen muss ein Verfahrensverzeichnis erstellt werden, so Absatz 5. Liest man ihn aber zu Ende, hebt er sich selber wieder auf. Wenn nämlich eine Verarbeitung nicht nur gelegentlich durchgeführt wird, muss sie ins Verfahrensverzeichnis.
Unabhängig davon, ob Sie einen Datenschutzbeauftragten haben / brauchen oder nicht. Das Verzeichnis benötigen Sie immer. Außer wie gerade erwähnt, sie verarbeiten nur „gelegentlich“.
Wobei nebenbei gesagt, diese Forderung an ein Verfahrensverzeichnis ist nicht neu. Die besteht auch bisher schon. Das ist nichts, was mit der DSGVO kam. Wenn Sie auch bisher ein funktionierendes Datenschutz System in Ihrem Unternehmen etabliert haben, wird Sie diese Forderung nicht überraschen.
Wer erstellt das Verfahrensverzeichnis?
Auf Anregung im Kommentar füge ich gerne noch den Punkt hinzu. Wer ist denn verantwortlich für die Erstellung des Verfahrensverzeichnisses? Das ist wie so oft der Verantwortliche für die Datenverarbeitung und das ist der Unternehmer bzw. Geschäftsführer. Also wie das Gesetz es nennt „die verantwortliche Stelle“.
Wer die Arbeit in der Praxis macht, ist dann wieder eine andere Sache. Als Datenschutzbeauftragter übernehme ich für „meine“ Unternehmen die Koordination der Erstellung und leiste Hilfe bei der Erstellung. Anschließend gibt es aber auf jeden Fall ein Review mit der Geschäftsführung, da die ja die verantwortliche Stelle ist und letztendlich dafür auch Rechenschaft übernehmen muss. Natürlich sprechen wir nicht alle Verfahren im Detail durch. Wichtig ist es mir, die Risiken zu diskutieren, die am Ende der Erfassung übrig bleiben. Aber dazu später mehr.
Ja nach Ihrer Unternehmensgröße sollten Sie überlegen, was die effizienteste und beste Lösung ist, das Verfahrensverzeichnis für Sie zu erstellen und zu pflegen. Bei kleineren Unternehmen oder Einzelunternehmen spreche ich direkt mit dem Geschäftsführer bzw. Inhaber und wir erstellen in einem kleinen Frage-Antwort Interview das Verfahrensverzeichnis. Anschließend übergebe ich die Dokumentation dann in die Hände der verantwortlichen Stelle.
Welche Personengruppen sind betroffen und welche Daten von ihnen
Wem werden diese Daten zur Verfügung gestellt (intern, extern, auch Drittländer)
Beschreibung der Übermittlung an das Drittland (ist dies rechtlich abgesichert)?
Vorgesehene Löschfristen der Daten (wenn möglich)
allg. Beschreibung der technisch Sicherheit der Daten (wenn möglich)
Diese Informationen müssen Sie für Ihre eigenen Verarbeitungen dokumentieren. Ebenso müssen Sie aber dieselben Informationen zur Verfügung stellen, wenn Sie für Ihre Kunden zum Beispiel Daten verarbeiten. Beispiel: Sie machen intern die Lohnabrechnung für Ihre Mitarbeiter, dann ist dies ein zu dokumentierendes Verfahren. Machen Sie die Lohnbuchhaltung aber auch als Dienstleister für Ihre Kunden, dann müssen Sie das ebenfalls dokumentieren. Dann sind Sie in der Fachsprache als Auftragsverarbeiter tätig. Im Verfahrensverzeichnis würde ich Ihnen empfehlen, dieses Verfahren zwei mal zu beschreiben.
Pin it!
Gibt es „Standardverfahren“?
Standardverfahren würde ich es nicht unbedingt nennen, aber auf jeden Fall gibt es Verfahren, die regelmäßig und so gut wie in jedem Unternehmen vorkommen. Was fällt darunter?
Haben Sie Mitarbeiter? Dann haben Sie natürlich immer alle Prozesse rund um die Mitarbeiterverwaltung: Bewerbungen, Lohnabrechnung, PC-Zugänge und so weiter. Aber auch ohne Mitarbeiter gibt es immer wiederkehrende Verfahren. Denken Sie nur an die Internetpräsenz. E-Mail Marketing über Newsletter, Analyse des Besucherverhaltens Ihrer Webseite um nur zwei Verfahren zu nennen.
Weitere Beispiele stelle ich Ihnen gerne in einem separaten Artikel zusammen. Hier geht’s zum Artikel.
Wie sieht ein Muster eines Verfahrensverzeichnisses aus?
Natürlich können Sie sich auch dafür eine spezielle Software kaufen. Aber in vielen Fällen wäre damit mit Kanonen auf Spatzen geschossen. Ich empfehle Ihnen eine einfach Excel Liste die folgende Spalten enthält:
Name des Verfahren
Als Auftragsverarbeiter (j / n)
Datum der Erfassung
Name des Verantwortlichen
E-mail des Verantwortlichen
Telefonnummer des Verantwortlichen
Beschreibung der Verarbeitung / Zweck
Betroffene Personengruppen
Betroffene Daten
Empfänger der Daten
Empfänger der Daten in einem Drittland
Beschreibung der Absicherung der Datenübermittlung in das Drittland
Löschfrist
Beschreibung der IT-Sicherheit der Daten
Beschreibung der physikalischen Sicherheit der Daten
Natürlich können Sie diese Excel Liste um beliebige Spalten ergänzen. Das ist meine Empfehlung nach Artikel 30 ein Verfahrensverzeichnis einfach und kompakt zu erstellen. Mit diesen Feldern haben Sie auch relativ wenig Aufwand, die Verfahren zu beschreiben.
Hier finden Sie eine Vorlage als Excel, die Sie gerne übernehmen können.
Je nach Unternehmensgröße befüllen Sie das Verfahrensverzeichnis entweder allein oder gemeinsam mit Kollegen. In größeren Unternehmen ist es die Aufgabe des Datenschutzbeauftragten, sich darum zu kümmern. Für meine Kunden bevorzuge ich die Erstellung des Verfahrensverzeichnisses im Rahmen von Interviews. In Gesprächen mit den Abteilungsleitern der Unternehmen hinterfrage ich ihre Prozesse auf die Verarbeitung personenbezogener Daten. Relativ oft kommt man an die Stelle, dass im Verfahren eine dritte Partei als externer Auftragsverarbeiter eingebunden ist. Diese Information ist wertvoll für die Erstellung der Verträge zur Auftragsdatenverarbeitung. Ergänzen Sie diese Notiz in Ihrer Dokumentation an geeigneter Stelle.
Grundsätzlich kann ich Ihnen als Vorgehensweise empfehlen, sich an den Prozessen des Unternehmens „durchzuhangeln“. Auch wenn Sie kein dokumentiertes QM-System haben, haben Sie doch Abläufe, die Sie regelmäßig ausführen. Gehen Sie diese gedanklich durch und erfassen Sie im Verfahrensverzeichnis die Verarbeitungen personenbezogener Daten.
Eine Anleitung mit Beispielen finden Sie auf meinem YouTube Kanal unter DSGVO Webinar: YouTube Kanal Regina Stoiber
Wie sind Ihre Erfahrungen?
Arbeiten Sie schon an einem Verfahrensverzeichnis? Wie haben Sie es bisher gelöst? Wo sind Ihre größten Hürden in der Praxis?
Schreiben Sie mir einen Kommentar!
Brauchen Sie Unterstützung?
Wir begleiten Sie gerne bei der Umsetzung der DSGVO Anforderungen in Ihrem Unternehmen. Lassen Sie mich und mein Team Ihre Mentoren sein!
Wer? Was? Wann? Wo – und bei welcher Gelegenheit? Das klingt zunächst wie ein beliebiger Artikels aus einer Klatschzeitschrift. Setzt man diese Frage jedoch in Bezug auf die DSGVO, steckt mehr dahinter: Mit der EU Grundverordnung zum Datenschutz vervielfältigen sich die Pflichten, denen Sie als Verantwortlicher nachkommen müssen. Dazu gehört auch die Information der Personen, deren Daten Sie verarbeiten.
Wie Sie praxisorientiert Ihre Informationspflichten erstellen und worauf Sie achten müssen, zeigen wir Ihnen in diesem Artikel.
Beachten Sie allerdings, dass es sich um keine Rechtsberatung handelt. Wenn Sie unsicher sind mit der Erstellung Ihrer Informationspflichten, holen Sie sich professionelle Unterstützung eines Datenschutzbeauftragten oder spezialisierten Anwalts.
Warum die DSGVO Informationspflicht?
Vereinfacht gesagt: Jeder, dessen Daten erhoben, verarbeitet bzw. gespeichert werden, hat ein Recht darauf, dies zu erfahren. Oder wie es das Bundesverfassungsgericht ausdrückt, muss es Transparenz darüber geben, „wer was wann und bei welcher Gelegenheit über Sie weiß.“
Ohne dieses Wissen ist es den betroffenen Personen nicht möglich, die ihnen zustehenden Rechte, wie zum Beispiel das Recht auf Vergessenwerden oder das Recht auf Berichtigung ihrer Daten, überhaupt wahrzunehmen.
Was ist neu bei der Informationspflicht nach Art. 13 DSGVO?
Die Informationspflichten derer, die Daten erheben, waren bisher im Bundesdatenschutzgesetz (BSDG) und weiteren Gesetzen geregelt. Das geschieht jetzt in den Artikeln 13 und 14 der Datenschutzgrundverordnung, kurz DSGVO und dem BSDG (neu). Insgesamt sind diese Regelungen weitreichender sind als bisher.
Artikel 13 regelt die Informationspflichten bei Erhebung von personenbezogenen Daten direkt bei der betroffenen Person. Ergänzend bezieht sich Artikel 14 auf die Informationspflichten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden. Dies trifft zu, wenn die Daten durch Dritte erhoben wurden. Ergänzend zu den Artikeln gibt es Erwägungsgründe, die als Grundlage für den Erlass der Verordnung gesehen werden können. Passend sind hierbei die Erwägungsgründe 60, 61 und 62.
Informationspflicht vs. Datenschutzerklärung
Frage: Was ist eigentlich der Unterschied zwischen der Informationspflicht und der Datenschutzerklärung auf der Webseite? Antwort: Keine!
Hätten Sie’s gewusst? Die Datenschutzerklärung dient demselben Zweck wie die Informationspflicht. Sie informiert den Webseitenbesucher darüber, welche Daten von ihm verarbeitet werden. Damit die Richtigkeit gewährleistet ist, muss die Datenschutzerklärung dieselben Inhalte aufweisen, wie in Art. 13 und Art. 14 DSGVO beschrieben.
Manchmal verwenden unsere Gesprächspartner den Begriff Datenschutzerklärung auch dann, wenn sie z.B. die Informationspflicht beim Arzt oder in einem Verein meinen. Die Wortwahl ist zwar etwas ungewöhnlich, aber durchaus richtig.
Nun aber konkret zu den Inhalten: Welche Informationen über die Verarbeitung der Daten müssen Sie bereit stellen?
Ihre Pflichten nach Artikel 13 und Artikel 14 DSGVO
Artikel 13 – Erläuterung
Wenn Sie oder Ihr Unternehmen personenbezogene Daten direkt bei der betroffenen Person erheben, die Daten verarbeiten oder auch speichern, müssen Sie die Person bereits zum Zeitpunkt der Erhebung davon in Kenntnis setzen. Der Inhalt ist verbindlich und muss präzise, transparent, leicht verständlich und in leicht zugänglicher Form zur Verfügung stehen.
Artikel 14 – Erläuterung
Auch wenn Sie oder Ihr Unternehmen personenbezogene Daten verarbeiten oder auch speichern, die Sie nicht direkt bei der betroffenen Person erhoben haben, unterliegen Sie der Informationspflicht. Die mitzuteilenden Informationen sind nahezu gleich wie bei Artikel 13. Darüber hinaus müssen Sie jedoch Angaben zu den Quellen der Daten machen und darüber, ob diese öffentlich zugänglich sind.
Die Informationspflicht nach Artikel 14 muss in diesem Falle nicht sofort erfolgen. Der Betroffene muss innerhalb einer angemessenen Frist, spätestens aber nach einem Monat in Kenntnis gesetzt werden. Alternativ ist der Zeitpunkt der ersten Kontaktaufnahme oder der Zeitpunkt der Weitergabe ausschlaggebend.
Finden bei Ihnen beide Artikel Anwendung, ist es üblich, den betroffenen eine kombinierte Information über die Verarbeitung und Verwendung ihrer Daten zur Verfügung zu stellen.
Übersicht und Vergleich der Pflichtangaben für die Informationspflicht nach Artikel 13 und Artikel 14 DSGVO
Wie erstellen Sie die Dokumente zur Informationspflicht?
Viele Wege führen bekanntlich nach Rom. Wir bevorzugen den kürzeren und pragmatischen Ansatz. Daher ist das folgende Vorgehen unsere Empfehlung aus der Praxis.
Mit einem fertigen Verfahrensverzeichnis haben Sie bereits eine Basis, die Sie zur Erstellung der Informationspflichten heranziehen können. Denn alle benötigten Informationen können Sie daraus ermitteln. Nun brauchen Sie diese Daten nur noch in ein Dokument übertragen und Ihrer Zielgruppe zur Verfügung stellen.
Da Sie im Verfahrensverzeichnis auch die Personengruppen nennen müssen, ist es relativ einfach, nach diesen zu selektieren. Eine Personengruppe können die eigenen Mitarbeiter sein, während die Kunden, Interessenten, Mandanten (…) weitere Gruppen bilden können. Die Personengruppen sind Ihre Zielgruppen, denen Sie die Informationspflichten zur Verfügung stellen müssen. Am besten erstellen Sie ein Dokument pro Zielgruppe. Wenn es sich anbietet, können Sie natürlich auch mehrere Zielgruppen ein einem Dokument zusammen fassen.
Planen Sie, wie Sie die Unterlagen den Betroffenen vor Erfassung und Verarbeitung ihrer Daten am besten anbieten können. Dies sollte für alle Beteiligten ein Vorgehen sein, das so wenig Aufwand wie möglich verursacht.
Aufbau der Informationspflicht
Wenn die Informationspflichten ordentlich beschrieben sind, umfassen diese meist mehrere Seiten. Damit Sie jedoch nicht immer die oben genannten Inhalte einzeln wiedergeben müssen, bietet es sich aus unserer Sicht an, die Informationspflichten in „zwei Abschnitte“ zu teilen.
Einmalig vorkommende Informationen in der Informationspflicht
In Abschnitt 1 können die „einmalig vorkommenden Informationen“ (siehe auch Grafik oben) beschrieben werden. Der Vorteil dabei ist, dass Sie diese Informationen dann in Abschnitt 2 nicht mehr erwähnen müssen. Folgende Gliederung und Musterformulierungen können Sie für den Abschnitt 1 heranziehen:
Verantwortlicher im Sinne des Datenschutzes ist: [Name, Vertreter, Anschrift, Telefonnummer, E-Mail] Der Verantwortliche ist in der Regel der Inhaber / Geschäftsführer (…).
Kontaktdaten des Datenschutzbeauftragten: [Name, Telefon, E-Mail]
Aus der Verarbeitung der Daten ergeben sich folgende Rechte für den Betroffenen:
Recht auf Auskunft (Art. 15 DSGVO)
Berichtigung (Art. 16 DSGVO)
Löschung (Art. 17 DSGVO)
Einschränkung der Daten (Art. 18 DSGVO)
Widerspruchsrecht (Art. 21 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO)
Widerrufsrecht. Wenn die Verarbeitung aufgrund Ihrer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO beruht, haben Sie das Recht diese jederzeit zu widerrufen. Bisher verarbeitete Daten bleiben unberührt.
Es besteht für Sie das Beschwerderecht gegenüber der zuständigen Aufsichtsbehörde: [Name, Anschrift, Telefonnummer, E-Mail]
Angaben pro Verfahren in der Informationspflicht
Nachdem Sie die allgemeinen Informationen im ersten Abschnitt angegeben haben, geht es nun um die Details zu den einzelnen Verfahren. Folgende Angaben müssen Sie individuell pro Verfahren angeben:
Zweck der Verarbeitung [Kurze Beschreibung und Begründung, warum diese Verarbeitung notwendig ist]
Rechtsgrundlage der Verarbeitung nach Art. 6 DSGVO
Speicherdauer der Daten oder alternativ Vorgabe für Löschung
Empfänger der Daten [Name, Anschrift des Empfängers, ggf. Information, ob ein AV-Vertrag vorliegt]- kann weggelassen werden, wenn die Daten nicht weiter gegeben werden.
Übermittlung in ein Drittland – kann ebenfalls weggelassen werden, wenn keine Übermittlung in ein Drittland statt findet.
Hinweis, wenn eine automatisierte Entscheidungsfindung oder Profilen stattfindet – auch dieser Punkt kann entfallen, wenn er nicht zutrifft.
Angabe der Kategorien der personenbezogenen Daten. Dies ist nur zwingend, wenn es sich um die Verarbeitung von Daten handelt, die Sie nicht direkt beim Betroffenen selbst erhoben haben (Art. 14 DSGVO). Wir empfehlen diese Angabe allerdings immer.
Quelle der Daten [Name, Anschrift], falls Sie die Daten nicht direkt beim Betroffenen erhoben haben (Art. 14 DSGVO)
Beispielsformulierung für die Informationspflicht nach Art. 13 und Art. 14 DSGVO
Nachfolgend finden Sie zwei Beispiele für Verfahren aus unserer allgemeinen Informationspflicht. Zur besseren Erklärung zeigen wir Ihnen in der linken Spalte noch einmal den Bezug zum Art. 13 / Art. 14.
Der Aufbau ist nicht vorgegeben. Auch die Satzformulierung können Sie nach Belieben anpassen. Wichtig ist nur, dass alle Bausteine enthalten sind und der Text am Ende noch leicht verständlich ist.
Manchmal kann auch in einem Textabschnitt der Inhalt von mehreren ähnlichen Verfahren zusammen gefasst werden.
Kommunikation
Zweck
Um mit Ihnen in Kontakt zu treten, schreiben wir Ihnen ggf. eine E-Mail. Sie erhalten weiterführende Informationen zur Bearbeitung Ihrer Anfrage, Ihres Auftrags oder im Rahmen unserer allgemeinen Geschäftsbeziehung.
Kategorien der Daten
Dazu speichern wir Ihre E-Mail Adresse, den Inhalt der Kommunikation sowie die Historie der Kommunikation.
Rechtsgrundlage
Die Verarbeitung der Daten beruht auf der Erfüllung der Vertragsbeziehung bzw. vorvertraglicher Maßnahmen nach Art. 6 (1) lit. b DSGVO.
Empfänger der Daten
Als Kollaboration Tool verwenden wir Office 365 von Microsoft, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland. Wir haben mit Microsoft einen Vertrag zur Auftragsverarbeitung abgeschlossen. Ansonsten werden die Daten nur weitergegeben, soweit dies im Rahmen der vertraglichen oder vorvertraglichen Maßnahme nötig ist.
Speicherdauer
Unsere Daten werden im Rahmen der gesetzlichen Aufbewahrungspflicht gespeichert.
Bewerbungen
Zweck / Kategorien der Daten
Im Rahmen des Bewerbungsverfahrens für neue Mitarbeiter verarbeiten wir die von Ihnen zugesandten Informationen aus dem Lebenslauf, dem Anschreiben sowie aus weiteren Dokumenten und Informationen von Ihnen.
Rechtsgrundlage
Die Verarbeitung der Daten erfolgt aufgrund vorvertraglicher Maßnahmen zum Arbeitsvertrag nach Art. 6 (1) lit. b DSGVO.
Empfänger der Daten
Ihre Bewerbung wird intern an die Personalabteilung, sowie die betreffende Fachabteilung weiter geleitet.
Speicherdauer
Unterlagen zu Ihrer Bewerbung werden nach 6 Monaten gelöscht, sofern Sie uns keine Einwilligung zur Aufbewahrung erteilen.
Gar nicht so kompliziert, das Ganze. Ziehen Sie einfach immer Ihr Verfahrensverzeichnis heran. Wenn dieses bereits ordentlich erstellt ist, dann geht die Erstellung der Informationspflicht leichter von der Hand.
Was heißt das für ein kleines oder mittelständisches Unternehmen?
Was bedeutet die Informationspflicht nun für Sie in der Praxis? Egal ob Sie ein fertigendes Unternehmen, einen Einzelhandel, einen Onlineshop oder Blog betreiben, die Informationspflicht betrifft Sie immer irgendwie.
Mitarbeiter
Sie verarbeiten personenbezogene Daten Ihrer Mitarbeiter zur Abwicklung der Personalführung, zur Lohnabrechnung, bei Schulungen und sicher noch an einigen anderen Stellen. Alle diese Verfahren müssen in Ihrem Verfahrensverzeichnis beschrieben sein. Daraus leiten Sie nun das Informationsschreiben ab. Stellen Sie es neuen Mitarbeitern vor der Anstellung, vielleicht gleich mit dem Arbeitsvertrag zur Verfügung. Den bestehenden Mitarbeitern können Sie es nun einmalig z.B. mit der Lohnabrechnung oder über das Intranet zur Verfügung stellen (falls alle Mitarbeiter darauf Zugriff haben). Alternativ ist auch ein Aushang am schwarzen Brett möglich.
Kunden
Unterscheiden Sie, ob Ihre Kunden Endverbraucher oder Geschäftskunden sind. Bei Endverbrauchern haben Sie in der Regel weit mehr personenbezogene Daten als bei Geschäftskunden. Sie haben wahrscheinlich Informationen über Anschrift, Kontodaten, Geburtstag und Familienstand, Einkaufshistorie und noch vieles mehr. Da Geschäftskunden ein Unternehmen repräsentieren, sind es hier meistens Daten wie E-Mail- Adressen, Telefonnummern und Kommunikationsverläufe, die bei Ihnen vorliegen. Haben Sie bereits AGBs, dann wäre es eine Option, die Informationspflicht in ähnlicher Form anzubieten.
Webseitenbesucher
Auf Webseiten können Sie bei vielen Verfahren die Informationspflicht gleich in der Datenschutzerklärung abdecken, so wie Sie es auch in unserer Datenschutzerklärung sehen können. Wir haben unsere DSE mit Hilfe des e-Recht24 Generators erstellt. Da dieser jedoch nur einen Teil abdeckt, haben wir den Rest selbst ergänzt.
Damit Sie die Anforderung leicht verständlich und leicht zugänglich erfüllen, verweisen Sie sicherheitshalber an jeder Stelle, an der Besucher Daten auf der Webseite eingeben, auf Ihre Datenschutzerklärung.
Sind Ausnahmen von der Informationspflicht möglich?
Eine
Ausnahme für Artikel 13 DSGVO ist nur dann zulässig, wenn nachweislich alle
Informationen der betroffenen Person bereits vorliegen. In der Praxis dürfte
das schwer zu prüfen sein.
Für Artikel 14 DSGVO gilt: Ist die Information der betroffenen Person unmöglich oder unverhältnismäßig aufwendig, kann darauf verzichtet werden. Das gleiche gilt für Fälle, in denen die Erhebung oder Übermittlung gesetzlich vorgeschrieben ist oder eine Geheimhaltungspflicht in Form einer Satzung oder eines Berufsgeheimnisses besteht.
Was passiert bei Verstößen gegen die Informationspflicht?
Da der europäische Gesetzgeber den Schutz personenbezogener Daten sowie die Gewährleistung einer fairen und transparenten Datenverarbeitung als absolut elementar ansieht, drohen bei Verstößen hohe Bußgelder.
Diese Zahlen sind erst einmal abschreckend. Wo sich letztlich die Schwelle einpendeln wird, ist noch ungewiss. Sicher ist auf jeden Fall, dass die Bußgelder „wirksam“ sein müssen.
Fazit
Um eine vollständige Informationspflicht erstellen zu können, benötigen Sie ein geführtes Verfahrensverzeichnis. Auf dessen Basis ist es nicht mehr schwer, die Informationspflichten nach Art. 13 und Art. 14 zu erstellen.
Das DSK-Papier Nummer 10 gibt ebenfalls einen Überblick zur Informationspflicht.
Wer muss infolge der Informationspflicht nach Art. 13 und Art. 14 informiert werden?
Grundsätzlich sind nur die betroffenen Personen (Kunden, Mitarbeiter…), die seit dem 25.05.2018 „neu“ dazugekommen sind, zu informieren.
Es ist jedoch sinnvoll, dass Sie auch die Bestandskunden und -mitarbeiter informieren.
Wie ist der Inhalt der Informationspflicht?
Die Informationspflicht nach Art. 13 und Art. 14 kann generell in zwei Abschnitte unterteilt werden. Im allgemeinen Teil müssen folgende Angaben gemacht werden:
Verantwortlicher im Sinne des Datenschutzes
Kontaktdaten des Datenschutzbeauftragten
Hinweis auf die Betroffenenrechte
Hinweis auf das Beschwerderecht bei der Aufsichtsbehörde
Im detaillierten Teil, muss für jedes Verfahren folgendes angegeben werden (soweit zutreffend):
Zweck der Verarbeitung
Rechtsgrundlage der Verarbeitung nach Art. 6 DSGVO
Speicherdauer der Daten
Empfänger der Daten
Übermittlung in ein Drittland
Hinweis, wenn eine automatisierte Entscheidungsfindung oder Profilen stattfindet
Angabe der Kategorien der personenbezogenen Daten. Dies ist nur zwingend, wenn es sich um die Verarbeitung von Daten handelt, die Sie nicht direkt beim Betroffenen selbst erhoben haben (Art. 14 DSGVO). Wir empfehlen diese Angabe allerdings immer.
Quelle der Daten [Name, Anschrift], falls Sie die Daten nicht direkt beim Betroffenen erhoben haben (Art. 14 DSGVO)
Was ist der Unterschied zwischen Informationspflicht und Datenschutzerklärung?
Keiner! Auch die Datenschutzerklärung ist eine Informationspflicht. Für die Webseite hat sich nur der Begriff Datenschutzerklärung eingebürgert.
Wie informiere ich meine Kunden nach der DSGVO?
Sie können
die Informationspflichten in physischer Form z.B. Aushang im
Wartezimmer, Anlage zum Vertrag etc. oder in digitaler Form z.B. auf der
Homepage in der Datenschutzerklärung zur Verfügung stellen.
Verweisen Sie zum Beispiel bei der zweiten Variante in sämtlichen ausgehenden Dokumenten und E-Mails mit einem Satz „Weitere Informationen zum Datenschutz nach Art. 13 und Art. 14 DSGVO finden Sie unter: [Link der Datenschutzerklärung] auf die DSE.
Sind die Informationspflichten von den Kunden bzw. Mitarbeitern zu unterzeichnen?
Nein, die
Informationspflichten müssen nicht unterzeichnet werden. Wenn Sie jedoch einen
Nachweis über die Aushändigung selbst benötigen, dann können Sie sich diese
bestätigen lassen.
Zu welchem Zeitpunkt müssen die Betroffenen informiert werden?
Die DSGVO gibt vor, dass der Betroffene zum Zeitpunkt der Erhebung der Daten zu informieren ist. Das heißt, dass z.B. bei einem Telefonanruf die Informationen vorzulesen sind. Dies ist jedoch alles andere als praxisnah.
Das Bayerische Landesamt für Datenschutzaufsicht behandelt dieses Thema in seinem 8. Tätigkeitsbericht. Die Aufsichtsbehörde erlaubt, die Informationspflicht in abgestufter Form bereit zu stellen.
Das heißt, dass im 1. Schritt (am Telefon) den Betroffenen zumindest die Kontaktinformationen des Verantwortlichen, der Zweck der Verarbeitung (z.B. Kontaktaufnahme) und ggf. die Hinweise auf die Betroffenenrechte zur Verfügung zu stellen sind.
Im zweiten Schritt (z.B. nachgelagerte Kommunikation per Mail nach dem Telefonat) sind dem Betroffenen dann alle übrigen Informationen nach Art. 13 DSGVO bereit zu stellen (Kontaktdaten DSB, Rechtsgrundlage nach Art. 6 DSGVO, Empfänger der Daten, Speicherdauer etc.).
Wie steht es mit der Informationspflicht in Bezug auf Fotos auf öffentlichen Veranstaltungen?
In diesem Fall erlaubt der Datenschutzbeauftragte von Baden-Württemberg, dass die Informationen in abgestufter Form bereit gestellt werden. Vor allem, wenn eine nicht überschaubare Masse die Veranstaltung besucht, kann nicht verlangt werden, dass Jeder diese entgegennimmt.
Weisen Sie bereits beim Eingang daraufhin, dass Fotos von der Veranstaltung angefertigt und z.B. auf der Webseite veröffentlicht werden. Vermerken Sie auf dem Hinweis, wo die weiteren Informationen zum Datenschutz auffindbar sind (z.B. Garderobe, Kasse).
Muss die Informationspflicht immer als Ausdruck ausgehändigt werden?
Nein! Leicht zugänglich muss an dieser Stelle auf den Einzelfall abgestimmt sein. In einer Arztpraxis bietet es sich an, die Informationspflicht für die Patienten als Ausdruck im Wartebereich auszulegen. Im Onlineshop macht die Papierform wenig Sinn. Daher ist die Informationspflicht sehr oft auch in die Datenschutzerklärung der Webseite integriert.
Haben Sie Fragen oder benötigen Sie Hilfe bei der Umsetzung? Dann schreiben Sie einen Kommentar oder melden sich direkt bei uns. Wir freuen uns über Ihr Feedback und stehen Ihnen gerne bei Fragen zur Verfügung.
Wie in vielen anderen Punkten auch, herrscht in Sachen Datenschutzbeauftragter DSGVO in den Unternehmen Unklarheit. Braucht Ihr Unternehmen mit der neuen EU Datenschutzgrundverordnung nun (noch?) einen Datenschutzbeauftragten (DSB)?
Grundsätzlich sind zur Beantwortung dieser Frage zwei Gesetzestexte heranzuziehen. Zum Einen die DSGVO und zum Anderen das neue Bundesdatenschutzgesetz. Die DSGVO bietet beim Datenschutzbeauftragten die Möglichkeit einer nationalen Öffnungsklausel, welche in Deutschland umgesetzt wurde.
Letztendlich kann man sagen, es wird in Deutschland relativ ähnlich bleiben, wie vorher auch. Trotzdem liegt der Unterschied im Detail. Nachfolgend eine detailliertere Ausführung, wann ein DSB benötigt wird.
Übrigens, wenn hier von Datenschutzbeauftragter DSGVO und BDSG (neu) gesprochen wird, dann impliziert das immer die männliche und weibliche Form!
Wann muss ein Datenschutzbeauftragter benannt werden?
Im Folgenden werden die Voraussetzungen nach DSGVO und BDSG (neu) aufgelistet. Für Sie als Unternehmen in Deutschland sind beide relevant. Das heißt, wenn eine der Vorbedingungen auf Sie zutrifft, egal aus welchem Gesetz, benötigen Sie einen DSB.
Datenschutzbeauftragter DSGVO
Artikel 37 GSDVO regelt die Anforderungen, wann ein DSB benannt werden muss. Es wird an dieser Stelle nicht von „Bestellung“ gesprochen, nur von der „Benennung“.
Artikel 37 listet folgende Kriterien für die Benennung eines Datenschutzbeauftragten auf:
öffentliche Stellen (Ausnahme Gerichte)
wenn Sie im Rahmen ihres Kerngeschäfts Verarbeitungen durchführen, welche umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht
wenn Ihre Kerntätigkeit in der umfangreichen Verarbeitung von Daten besonderer Kategorien besteht (gemäß Artikel 9 und 10), darunter fallen Daten zu
rassischer und ethnischer Herkunft
politischen Meinungen
religiösen oder weltanschaulichen Überzeugungen
Gewerkschaftszugehörigkeit
und die Verarbeitung von
genetischen und biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person
Gesundheitsdaten
Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person
Treffen diese Punkte bei Ihnen zu, dann lesen Sie unbedingt Artikel 9 in seiner Gesamtheit, da die obige Liste nur eine Zusammenfassung der detaillierten Gesetzestexte darstellt.
Datenschutzbeauftragter BDSG (neu)
§38 des BDSG (neu) ergänzt den Artikel 37 – Datenschutzbeauftragter DSGVO folgendermaßen:
wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten zu tun haben
Dieser Punkt ist nach wie vor der Hauptgrund für viele Unternehmen, einen DSB zu beauftragen. Große Unternehmen mit IT Abteilung und Personalabteilung haben diese Grenze relativ schnell erreicht!
Unabhängig von dieser 20 Personen-Regelung wird ein DSB benötigt, wenn Ihr Unternehmen personenbezogene Daten
verarbeitet, die einer Datenschutz-Folgeabschätzung unterliegen.
für Zwecke der Markt- oder Meinungsforschung übermittelt (personenbezogen oder anonymisiert).
Wer darf die Aufgabe des Datenschutzbeauftragten übernehmen und wie sieht diese aus?
Artikel 37 Absatz 5 regelt, dass der benannte DSB auf Grund seiner beruflichen Qualifikation und des Fachwissens auf diesem Gebiet benannt werden muss. Es muss also das fachliche Know-how gewährleistet werden. Zudem muss er die in Artikel 39 genannten Anforderungen bewerten und erfüllen können. §7 des BDSG (neu) deckt sich weitgehend mit diesen Inhalten.
Aufgaben des DSB nach Artikel 39 DSGVO, §7 BDSG (neu)
Beratung des Unternehmens, welche gesetzlichen Pflichten des Datenschutzes umzusetzen sind
Überwachung der Einhaltung dieser Pflichten, sowie der Strategie zum Schutz der personenbezogenen Daten
Sensibilisieren der Mitarbeiter, die personenbezogene Daten verarbeiten
Beratung bei der Datenschutz-Folgeabschätzung und Überwachung der Durchführung (Artikel 35 DSGVO)
Zusammenarbeit mit der Aufsichtsbehörde, Kontaktperson für die Aufsichtsbehörde
Unterstützung bei der Risikobewertung der Verarbeitungsvorgänge
Interner oder externer Datenschutzbeauftragter DSGVO und BDSG (neu)
Diese Frage stellt sich für ein Unternehmen natürlich immer. Beides hat natürlich seine Berechtigung. Was ich hier zum Thema interner oder externer DSB schreibe, basiert natürlich rein auf meiner persönlichen Meinung und Erfahrung.
Wann ist ein interner Datenschutzbeauftragter sinnvoll?
Wenn Sie bereits eine Person im Haus haben, die das Thema fachlich aufgrund von bestehendem Know-how mit zusätzlichen Schulungen stemmen kann. IT Background sollte vorhanden sein.
Wenn die Person tatsächlich genügend Ressourcen für die Ausübung dieser zusätzlichen Tätigkeit bekommt und das nicht „noch zusätzlich mitmachen“ soll.
Wenn Ihr Unternehmen aufgrund der Anzahl der Mitarbeiter oder Ihrer Prozesse viel Abstimmung und Rückfragen des DSB benötigt.
Wann ist ein externer Datenschutz besser geeignet?
Wenn Sie nicht extra eine Person für den Datenschutz ausbilden, regelmäßig weiterbilden wollen und auch die Ressourcen und Kapazitäten dafür nicht haben.
Wenn Sie im Tagesgeschäft nicht viele Anfragen zum Thema Datenschutz erwarten.
Wenn Sie auf das Know-how eines Externen zugreifen möchten, der aufgrund seiner Tätigkeit als DSB für mehrere Unternehmen viel Praxiserfahrung aufweisen kann.
Wenn Sie nach den gesetzlichen Anforderungen zwar einen DSB benötigen, aber aufgrund der Unternehmensgröße diesen intern nicht abbilden können.
Beide Varianten haben ihren Vor- und Nachteil, das ist natürlich klar. Sind Sie nicht sicher, wie Sie sich entscheiden sollen? Ich freue mich über Ihren Kommentar.
kostenloses Live-Webinar: So setzen Sie TISAX® um!
Von Experten – für Experten im Datenschutz
Tauschen Sie sich mit Gleichgesinnten aus und bleiben Sie up to date!
Whistleblowing-Portal der Datenbeschützerin
Whistleblowing Richtlinie - Bereit für das Hinweisgeberschutzgesetz?
Bleiben wir in Kontakt
Melden Sie sich zu unserem Newsletter an und erhalten Sie alle 14 Tage aktuelle und praxisorientierte Informationen zum Datenschutz und zur Informationssicherheit.
