DSGVO – Verschaffe Dir einen Überblick & erstelle ein Verarbeitungsverzeichnis

Wenn Du gerade schon unruhig bist, weil so viel Text folgt: Du kannst Dich auch einfach direkt per eMail an mich wenden.

***

Hinweis: Dieser Artikel stellt keine Rechtsberatung dar! Ich nehme gern sachdienliche Hinweise, um den Artikel auch für das in Deutschland geltende Recht zu optimieren, sollte es durch Eröffnungsklauseln der DSGVO abweichen.

Achtung: geballte Info! Hier geht es darum, konkret an Deinem Setup zu arbeiten und herauszufinden, wo überall personenbezogene Daten anfallen und daraus dann das gesetzlich verlangte, sogenannte „Verarbeitungsverzeichnis“ zu erstellen. Wenn Du noch null Plan hast, was die DSGVO überhaupt ist, schau lieber erst einmal in den groben Überblick im Artikel “DSGVO – an sich ganz easy”!

***

Überall im Netz liest man momentan von den extrem hohen Strafen für Datenschutzverstöße, die ab dem 25. Mai drohen. Die „Angebote“ von Juristen und Datenschutzbeauftragten, die um teils deutlich mehr als € 500,- eine Datenschutzerklärung für Kleinunternehmer anpreisen haben auch nicht lange auf sich warten lassen. Falls Du Dich schon von der allgemeinen Panik hast anstecken lassen, atme tief durch. In den meisten Fällen ist es gar nicht so schlimm, wie man vermuten würde. Bevor Du für viel Geld Dein Gewissen erleichterst, schau erst einmal, ob das überhaupt notwendig ist. Spoiler: Ein Anwalt oder Datenschutzbeauftragter kann zwar die Dokumente für Dich abnicken, aber was Du alles an Software laufen hast, kann er oder sie nicht wissen. Und die Verantwortung trägst Du am Ende auch selber. Du musst also in jedem Fall selbst tätig werden.

Wenn Du ein Unternehmen hast, einen Blog oder Podcast, wirst Du ziemlich sicher mit personenbezogenen Daten anderer Menschen in Berührung kommen. Allerdings ist es, wie gesagt, in den meisten Fällen weniger dramatisch, als gedacht.

Verschaffe Dir also erst einmal einen Überblick, mit welchen Daten Du es überhaupt zu tun hast und welche Software Du benutzt, die mit diesen Daten in Berührung kommt, oder wo sie offline bei Dir verfügbar sind.

Am besten legst Du Dir ein Blatt Papier bereit, auf dem Du alles notierst, was Du beim Kundenprojekt, dem Veröffentlichen einer Podcastepisode, etc. tust und welche personenbezogenen Daten dort ggf. anfallen und zu welchem Zweck Du sie brauchst. Zwecke können schnöde betriebliche sein, wie beispielsweise Buchhaltung, oder weil Du vielleicht Deinen Kunden einmal im Monat einen Newsletter zusenden möchtest.

Was personenbezogene Daten im Detail sind, findest Du im Artikel „Was sind personenbezogene Daten“. Was voraussichtlich am ehesten auftauchen könnte:

  • Name
  • Online-Kennung (Nickname / Twitter Handle / Spielername / …)
  • Geburtsdatum
  • Adresse – zum Beispiel auf Rechnungen oder für Gewinnspiele
  • eMailadresse
  • IP Adresse
  • Telefonnummer
  • Fotos von Personen
  • Standortdaten
  • Ton- oder Videoaufnahme
  • Diese Liste ist keinesfalls vollständig! Bitte schau in den Artikel „Was sind personenbezogene Daten“, wenn Du Dir nicht sicher bist, was noch alles unter personenbezogene Daten zu zählen ist.

    Das Blatt Papier ist Dein Arbeitspapier und es ist völlig normal, dass Dir später noch Sachen einfallen oder dass im Laufe der Zeit etwas hinzukommt oder wegfällt.

    Ein paar Tipps, wo personenbezogene Daten üblicherweise anfallen:

  • eMails (Gmail, GMX, eigener Server, Dein Mailprogramm am Rechner und am Telefon)
  • Chatprogramme (z.B. WhatsApp, Skype)
  • Datentransfer (z.B. WeTransfer)
  • Cloudlösungen (z.B. Dropbox, machst Du Backups in der Cloud, wie z.B. iCloudbackup Deines Telefons, Adressbuchs, etc.?)
  • Buchhaltung (Cloudlösung? auch: Buchhalter, Steuerberater, Finanzamt)
  • CRM System (Cloudlösung?)
  • Zeitaufzeichnung (App? Gerät?)
  • Kalender (App? Oder z.B. Google Calendar und Sync mit Deinem Computer?)
  • Stimmaufzeichnung
  • Fotos von Menschen
  • Website / Blog (z.B. Analytics, Webfonts, externe Inhalte / Werbung, IP Adressen, die bei Deinem Hoster geloggt werden)
  • Suchfunktion auf der Website
  • Blogkommentare
  • Doodle
  • Social Media (z.B. Gewinnspiele auf FB?)
  • Nutzerdaten (z.B. Hast Du einen Login-Bereich auf Deiner Website?)
  • Visitenkarten (Lädst Du die z.B. auch noch als Scans in z.B. Evernote hoch?)
  • Adressbuch (z.B. in der Cloud bei Google oder Apple? Benutz Du z.B. WhatsApp, das zwingend Zugriff auf Dein Adressbuch hat und all Deine Kontakte an FB weitergibt?)
  • Chatbot (z.B. auf welche Plattform sammelt der Bot welche Daten für Dich?)
  • Es kann sein, dass Du Deinen ersten Entwurf in einer halben Stunde erledigt hast, es kann aber auch einige Stunden oder ein paar Tage dauern. Alles ist ok, Hauptsache ist, Du hast am Ende einen guten Überblick! Denn den kann Dir niemand abnehmen, auch nicht für viel Geld. Du musst selbst wissen, welche Software Du benutzt und welche Daten bei Dir ankommen, erzeugt werden oder von Dir weitergegeben / hochgeladen werden.

    Ein/e Datenschutzbeauftragte/r oder Anwältin kann Dich dabei unterstützen, die richtigen Dokumente zu haben. Du musst selbst wissen, was darin stehen muss. Hier geht es darum, Dein Verfahrensverzeichnis aufzubauen. Der Anwalt kennt Dein Business nicht und wird nicht jede Software kennen, die Du benutzt. Das ist ok, das ist auch nicht sein Job, sondern Deiner.

    Wenn Du Dein Arbeitspapier zusammen hast, kannst Du jetzt ein Verarbeitungsverzeichnis daraus machen. „Verarbeitung“ bezieht sich dabei darauf, was Du mit den personenbezogenen Daten anderer natürlicher Personen machst. Und wir gehen jetzt im ersten Anlauf davon aus, dass Du der/die Verantwortliche bis, dass es sich also um Dein Business, Deinen Blog oder Podcast handelt.

    Es gibt eine Vorlage der österreichischen Wirtschaftskammer, die grundsätzlich nicht schlecht ist, die ich persönlich allerdings erschlagend finde. Aber vielleicht hilft sie Dir ja, wenn Du sie dir ansehen magst. Ich finde, das geht auch etwas einfacher, wobei die Tabelle in der Vorlage grundsätzlich eine gute Idee ist. Daher habe ich – ausgehend von der WKO Vorlage – eine eigene Vorlage für Dich erstellt. Hinweis: Ich bin keine Juristin. Die Vorlage habe ich nach bestem Wissen und Gewissen erstellt, die Verwendung erfolgt auf eigene Verantwortung.

    -> Vorlage Verarbeitungsverzeichnis für Verantwortliche
    Vorlage Verarbeitungsverzeichnis (.doc)
    Vorlage Verarbeitungsverzeichnis (.pages)

    Beispiele:
    Datenverarbeitung = eMail
    Zweck = Geschäftskommunikation
    Rechtsgrundlage = Einwilligung der betroffenen Person
    Daten, die anfallen = Name, eMailadresse und was inhaltlich geschickt wird (z.B. Footer Informationen wie Firmensitz, etc. Deiner Kontakte)
    Gibt es schon einen Auftragsverarbeitungsvertrag mit dem Mailprovider (Google, GMX, Dein eigener Hoster, etc.)? ja/nein

    Datenverarbeitung = Kalender / Zeitaufzeichnung
    Zweck = Geschäftsabwicklung, Dokumentation
    Rechtsgrundlage = Einwilligung der betroffenen Person
    Daten, die anfallen = Namen, Adressen, Telefonnummern
    Gibt es schon einen Auftragsverarbeitungsvertrag mit dem Kalenderprovider (Google, Apple, …)? ja/nein

    Datenverarbeitung = Messenger (z.B. Signal, WhatsApp)
    Zweck = Geschäftskommunikation
    Rechtsgrundlage = Einwilligung der betroffenen Person
    Daten, die anfallen = Telefonnummer, Name der betroffenen Person, ggf. Dokumente, die über den Messenger geschickt werden
    Daten, die an den Dienst weitergegeben werden = HIER GUT INFORMIEREN, WAS AUCH BEIM HERSTELLER WEITERGEGEBEN WIRD! z.B. Name, Telefonnummer, Dein ganzes Adressbuch, …
    Gibt es schon einen Auftragsverarbeitungsvertrag mit dem Messenger Provider (WhatsApp, Signal, Telegram, etc.)? ja/nein

    Datenverarbeitung = Fileshare Dienst (z.B. WeTransfer)
    Zweck = Filetransfer von/an Geschäftspartner & Kunden
    Rechtsgrundlage = Einwilligung der betroffenen Person
    Daten, die anfallen = eMailadressen der Kontakte, was auch immer man in das Nachrichtenfeld noch einträgt (Passwörter??? (Tu’s nicht.))
    Gibt es schon einen Auftragsverarbeitungsvertrag mit dem Fileshare Anbieter? ja/nein

    Datenverarbeitung = Facebook Fanseite
    Zweck = Contentmarketing
    Rechtsgrundlage = Einwilligung der betroffenen Person
    Daten, die anfallen = Fotos von Personen, Eventfotos, Umfrageergebnisse, Namen & Geburtsdaten von Fans & deren Freunden, etc.
    Liegt eine nachweisbare, ausdrückliche Einwilligung der betroffenen Personen vor? ja/nein
    Gibt es schon einen Auftragsverarbeitungsvertrag mit Facebook? ja/nein

    ACHTUNG bei Fotos auf Facebook, Instagram & Co.: Betroffene Personen können jederzeit ihre Einwilligung widerrufen. In dem Fall musst Du die Fotos dieser Person auf Deiner Seite löschen und auch die Seitenbetreiber darüber informieren, dass eine weitere Verarbeitung dieser Bilder nicht mehr zulässig ist.

    Dein Verarbeitungsverzeichnis ist ein lebendes Dokument, das Du zumindest alle halbe Jahr wieder aus der Schublade holen solltest, um durchzugehen, ob alles so noch stimmt, ob neue Software oder z.B. eine neue Social Media Plattform dazugekommen ist, etwas anderes nicht mehr benutzt wird, etc.

    Hinweis: Es gibt gute Alternativen für die schlimmsten Datenkraken!

  • WhatsApp – Signal (für Einzelchats und Gruppen bis max. 10 Leute), Threema (uneingeschränkt zu empfehlen), Riot (für große Gruppen)
  • Doodle – Dudle
  • Dropbox – NextCloud (kann auch als Ersatz für WeTransfer genutzt werden, wenn Du die Dateien direkt aus der NextCloud heraus freigibst)
  • Gmail / GMX / Yahoo Mail / Web.de / … (alle gratis Mailanbieter) – Posteo, mailbox.org, Fastmail oder einen eigenen Mailserver nutzen, der vllt ohnehin schon bei Deinem Hostingvertrag dabei ist, wenn Du eine Website oder einen Blog hast
  • Google Docs – Pads (z.B. vom C3W gehostet)
  • Nimm Dir die Vorlage und überlege Dir, wo Daten nicht bei Dir „stranden“, sondern auch noch an weitere Stellen weitergegeben werden, dafür ist dann die Tabelle da. Ändere die einfach für Dich ab. Es kann sein, dass die Taballe noch größer wird.

    -> Vorlage Verarbeitungsverzeichnis für Verantwortliche
    Vorlage Verarbeitungsverzeichnis (.doc)
    Vorlage Verarbeitungsverzeichnis (.pages)
    Hinweis: Ich bin keine Juristin. Die Vorlage habe ich nach bestem Wissen und Gewissen erstellt, die Verwendung erfolgt auf eigene Verantwortung.

    Wenn Du Auftragsverarbeiter bist, also personenbezogene Daten für andere (z.B. Kunden) verarbeitest, brauchst Du so ein Verzeichnis für jeden Deiner Kunden, bzw. für jeden, in dessen Namen Du Daten verarbeitest.
    -> Vorlage Verarbeitungsverzeichnis für Auftragsverarbeiter (in Arbeit)

    ***
    Artikel aus dem Bereich Datenschutz:
    Übersichtsartikel „DSGVO – An sich ganz easy“
    „Was sind personenbezogene Daten?“
    Verschaffe Dir einen Überblick & erstelle ein Verarbeitungsverzeichnis
    Die Datenschutzerklärung – Aufzucht und Hege
    Auftragsverarbeitungsverträge – sichere Dich rechtlich ab

    DSGVO <-> GDPR – ein Wörterbuch
    DSGVO für Vereine

    Die Podcast Miniserie „DSGVO – an sich ganz easy“

    Ähnliche Beiträge

    8 Kommentare

    1. Hallo Klaudia,
      erst einmal vielen Dank für deine tolle Artikelserie zur DSGVO.
      Ich habe eine Frage: In der Vorlage für das Verarbeitungsverzeichnis kommt die Frage nach einer „Datenschutz-Folgenabschätzung“. Diesen Begriff finde ich bisher in deinen Artikeln nicht weiter behandelt. Kannst du beim Verständnis was eine Datenschutz-Folgenabschätzung ist weiter helfen? Kennst du Laien-taugliche Artikel?

      Beste Grüße und nochmal vielen Dank!

    Schreibe einen Kommentar zu Patrick Antworten abbrechen

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert