In dieser Blogreihe zum Thema DSGVO fasse ich für dich die wichtigsten Infos zusammen, die Du vor allem als Websitebetreiber brauchst um deine Seite rechtskonform zu gestalten. In dem ersten Artikel habe ich dir schon erzählt, was die DSGVO ist und bin darauf eingegangen, was es mit dem Auftragsdatenverarbeitungsvertrag auf sich hat. In diesem Artikel möchte ich dir kurz das Verarbeitungsverzeichnis erklären.
Verarbeitungsverzeichnis
Datenschutzbeauftragter
SSL-Verschlüsselung
Einwilligung zur Datenspeicherung/-verarbeitung
Datenschutzerklärung
Bitte beachte: Dieser sowie alle weiteren Blogposts aus dieser Reihe stellen keineswegs eine Rechtsberatung dar. Diese kann und darf ich nicht durchführen. Für eine solche Beratung wende Dich bitte an einen Rechtsanwalt. Weiterführende Informationen sowie die Möglichkeit einen Anwalt zu befragen bekommst du zudem auch als eRecht24 Premiummitglied*.
Was ist ein Verarbeitungsverzeichnis?
In dem Verarbeitungsverzeichnis werden alle Verarbeitungstätigkeiten aufgeführt. Dieses Verzeichnis braucht nicht veröffentlicht werden, muss aber auf Anfrage der Aufsichtsbehörde zur Verfügung gestellt werden (Art. 30 DSGVO).
Die Verzeichnispflicht gilt sowohl für den Verantwortlichen als auch für den Verarbeitenden. Das Verzeichnis sollte unter anderem die vollständigen Kontaktdaten des Verantwortlichen/Verarbeitenden sowie seines Vertreters, die Art und Zweck der Verarbeitung, Beschreibung der Betroffenen Personen (Kunde, Websitebesucher etc.) und Dritter, die von dem Verantwortlichen mit der Weiterverarbeitung beauftragt wurden. Zudem sollten, wenn möglich Löschungsfristen definiert sowie technische und organisatorische Maßnahmen (Art. 32 Abs. 1) beschrieben werden.
Form des Verarbeitungsverzeichnisses
In dem bereits genannten Artikel der Datenschutzgrundverordnung wird die Form für das Verzeichnis nicht weiter definiert. Da aber für den Auftragsdatenverarbeitungsvertrag keine Pflicht zur schriftlichen Form besteht, denke ich, dass auch das Verzeichnis in elektronischer Form hinterlegt werden kann.
Bezüglich der inhaltlichen Gestaltung lässt sich ebenfalls nur schwer eine eindeutige Empfehlung abgeben. Klar, die in dem Artikel 30 der DSGVO genannten Punkte müssen enthalten sein, aber bei allem was darüber hinaus geht ist es unklar. Du wirst feststellen, dass auch die Musterverträge, die du weiter unten findest, sich deutlich unterscheiden. Ich weiß allerdings, dass die Vorlagen aus 2016 nicht mehr ausreichend sind. Im Zweifelsfall wende dich daher lieber an einen Anwalt.
Wer ist verpflichtet ein Verarbeitungsverzeichnis zu führen?
Ein Verarbeitungsverzeichnis muss laut DSGVO nur von Unternehmen, die mehr als 250 Mitarbeitern haben geführt werden (Art. 30 Abs. 5 DSGVO). Diese Beschränkung gilt nicht, wenn bei der Verarbeitung ein hohes Risiko für die Betroffenen beinhaltet oder besondere (Art. 9 DSGVO) bzw. strafrechtliche Daten darstellen (Art. 10 DSGVO).
Und schon jetzt fängt die Verwirrung an und es stellt sich die Frage: „Muss ich oder muss ich nicht?“. Denn schätzt Du das Risiko der Datenverarbeitung als zu gering ein und führst kein Verzeichnis, handelst Du rechtswidrig.
Davonabgesehen steht in dem Artikel 30 Absatz 5, dass die Führung eines Verarbeitungsverzeichnisses nur dann nicht notwendig ist, wenn die Daten nur gelegentlich verarbeitet werden. Das ist in den meisten Fällen nicht zutreffend. Versendest du einen z.B. einen Newsletter, speicherst Du die E-Mail-Adressen dauerhaft und verwendest sie natürlich regelmäßig um deinen Newsletter rauszuschicken. Damit wäre das „gelegentlich“ schon hinfällig. Daher interpretiere ich dies so, dass so gut wie jeder Webseitenbetreiber bzw. auch Unternehmer ein Verarbeitungsverzeichnis führen muss.
Kostenlose Vorlagen für das Verarbeitungsverzeichnis findest Du z.B. bei
Gesellschaft für Datenschutz und Datensicherheit e.V. https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_5.pdf
Berufsverband der Datenschutzbeauftragten Deutschlands
https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungst%C3%A4tigkeiten_Verantwortlicher.pdf
Als Premiummitglied bei eRecht24* bekommst du ebenfalls eine kostenlose Verzeichnisvorlage.
Melde Dich jetzt zu meinem Newsletter an und Du bekommst neben vielen hilfreichen Blogbeiträgen meine persönlichen TOP 5 WordPress Plugins als kleines Willkommensgeschenk.
Mit * gekennzeichnete Links sind Affiliatelinks. Wenn Du über einen Dieser Links das Produkt bzw. die Leistung buchst, bekomme ich eine kleine Provision. Für dich entsteht dabei kein Nachteil.
Dieses Formular speichert Name, E-Mail und Inhalt, damit wir den Überblick über auf dieser Webseite veröffentlichte Kommentare behalten. Bitte beachte, dass dein Kommentar und alle darin enthaltenen Informationen öffentlich zugänglich sind. Für detaillierte Informationen, wo, wie und warum ich deine Daten speichere, findest du in meiner Datenschutzerklärung.