Die EU-DSGVO kommt – Teil 9 – Das Verarbeitungsverzeichnis
Dieser Artikel ist Bestandteil einer Serie!
Das Verarbeitungsverzeichnis innerhalb der DSGVO wird wohl von den Aufsichtsbehörden immer als Erstes angefordert. Was ist das und was kommt da rein?

Das Verarbeitungsverzeichnis innerhalb der DSGVO wird wohl von den Aufsichtsbehörden immer als Erstes angefordert. Was ist das und was kommt da rein?

Da ich kein Rechtsanwalt bin: Dies ist entsprechend keine Rechtsberatung und ersetzt diese auch in keiner Weise! Ich schließe jede Haftung aus!

Wenn die Aufsichtsbehörde anfragen sollte, will diese ganz sicher euer Verarbeitungsverzeichnis (Artikel 30 DSGVO) sehen. Schaut man in den Gesetzestext muss man bei weniger als 250 Mitarbeitern grundsätzlich kein Verarbeitungsverzeichnis führen (siehe Artikel 30 Absatz 5 DSGVO). Der eine kleine Satz „die Verarbeitung erfolgt nicht nur gelegentlich“ bringt dich meiner Meinung nach damit wieder in die Pflicht.

Was muss nun aufgeführt werden? Der Blick ins Gesetz (Artikel 30 DSGVO Artikel 1) hilft:

Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. 2Dieses Verzeichnis enthält sämtliche folgenden Angaben:

a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
b) die Zwecke der Verarbeitung;
c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Beispiel: Kontaktformular mit E-Mail mit Vor und Nachname, welche per E-Mail und TLS auf einen verschlüsselten Laptop übertragen werden.
a: Du
b: Kontaktaufname mit dem Anbieter
c: Nutzerdaten
d: Betreiber des Blogs
e: Es erfolgt keine weitergabe (Achtung: vorher Spamcheck Plugins!)
f: Löschung 4 Wochen nach letzter Kontaktaufnahme, sofern kein weiterer Kontakt gewünscht wird.
g: Daten werden verschlüsselt (TLS) übertragen und auf verschlüsselten Laptop gespeichert.

Das müsstest Du jetzt für alle Funktionen und Tools erstellen, die dein Blog so nutzt. Meine Empfehlung: So wenig Daten wie möglich speichern & verarbeiten! Facebook und andere Plugins raus bzw. wenigstens mit einer zwei-klick aktivierung bestücken (Shariff Wrapper für WordPress).

Thema TOM. Technisch Organisatorische Maßnahmen. Das sind Maßnahmen, die Sicherstellen, dass die erhobenen Daten nicht zufällig zerstört und/oder verändert oder gar verloren gehen. Du musst also sicherstellen, dass die Daten bei dir Sicher sind. Ein verschlüsselter Laptop / Workstation sollte eigentlich schon heute Standard sein. Gleiches solltest Du z.B. für Backups der Daten deines Servers haben. Frag am besten heute noch bei deinem Hoster nach einem Auftragsverarbeitungsvertrag und schau da rein. Weil nur danach kannst Du die TOM für die Datenbank Deines Blogs erstellen.

Die GDD (Gesellschaft für Datenschutz und Datensicherheit e.V.) hat u.A. auch eine Praxishilfe für das Verzeichnis der Verabeitungstätigkeiten zur Verfügung gestellt. Schaut da generell auf die Seite und informiert euch über das Thema Datenschutz.

Ganz wichtig: Seht das ganze also als Gelegenheit sich mit dem Thema Datenschutz auseinanderzusetzen und um selbst zu begreifen, wo überall Daten landen. Denn nur wenn die eigenen Verarbeitungsprozesse kennt, ist man in der Lage eine rechtmäßige Verarbeitung personenbezogener Daten sicherzustellen. Ich denke da immer an die Facebook-Plugins auf fast jeder Seite. Facebook sammelt auch diese Daten und legt damit Schattenprofile an. Getreu dem Motto: „Was man mir nicht antun soll, will ich auch nicht anderen Menschen zufügen.“ also weg mit diesen Plugins. Wer braucht das schon? Es ist nicht für das überleben notwendig >:-)

Ebefalls wichtig: Dieses Verzeichnis möchte mit leben gefüllt werden. Du solltest das ganze zB. in einem Word Dokument auflisten und die Änderungen im Dokument mitspeichern. Die Aufsichtsbehörden möchten keine IST-Stand… sondern sehen, dass man sich damit beschäftigt und es Änderungen gibt.


Zuletzt bearbeitet am 05.04.2018

Dieser Artikel besteht aus mehreren Teilen.