Wei­ter geht es mit der klei­nen Arti­kel­rei­he zur DSGVO-kon­for­men Web­site. Nach­dem ich den ers­ten Schritt, die Ana­ly­se der per­so­nen­be­zo­ge­nen Daten, bei mei­nen Inter­net­auf­trit­ten durch­ge­führt habe, steht Schritt Nr. 2 an, die Erstel­lung des Ver­zeich­nis­ses der Ver­ar­bei­tungs­tä­tig­kei­ten.


Als ich mich über die DSGVO, deren Neue­run­gen und Pflich­ten infor­miert habe, habe ich die­sen Pas­sus über das Ver­zeich­nis über­haupt nicht ver­stan­den. Glück­li­cher­wei­se fan­den sich in den dar­auf­fol­gen­den Wochen im Inter­net Pra­xis­bei­spie­le auch für klei­ne Unter­neh­men, wie sie die­ses Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten am bes­ten erstel­len.

Hin­weis: Ich bin kei­ne Anwäl­tin, daher gebe ich in die­sem Bei­trag nur mei­ne per­sön­li­che Mei­nung wider. Es han­delt sich NICHT um eine Rechts­be­ra­tung. Falls du kon­kre­te Hil­fe bei der Umset­zung der DSGVO auf dei­ner Web­site benö­tigst, soll­test du einen Rechts­an­walt her­an­zie­hen.

Was ist unter dem Ver­zeich­nis für Ver­ar­bei­tungs­tä­tig­kei­ten zu ver­ste­hen?

Das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten ist ein For­mu­lar, das man für jede Tätig­keit, bei der man per­so­nen­be­zo­ge­ne Daten ande­rer erfasst und ver­ar­bei­tet, aus­fül­len soll.

Zu sol­chen Tätig­kei­ten, die per­so­nen­be­zo­ge­ne Daten erfas­sen, gehö­ren u. a.:

  • Spei­chern von Blog­kom­men­ta­ren
  • Spei­chern von Log­files
  • Ver­sen­den von News­let­tern
  • Emp­fan­ge­ne E‑Mails
  • Erfas­sung von Kun­den­da­ten im Rech­nungs­pro­gramm
  • Inter­ner Mit­glieds­be­reich
  • Ein­bin­den von Zah­lungs­schnitt­stel­len wie z. B. PayPal oder Sofort­über­wei­sung

Da so gut wie jeder Web­site- und Blog­be­trei­ber E‑Mails von Drit­ten emp­fängt und Blog­kom­men­ta­re zulässt, wird es für ihn Pflicht, ein sol­ches Ver­zeich­nis zu erstel­len. Und IP-Adres­sen, die auch zu den per­so­nen­be­zo­ge­nen Daten gehö­ren, erfasst so gut wie jede Web­site bzw. jeder Blog.

Wer sich die DVGO genau durch­liest, wird fest­stel­len, dass das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten erst bei Fir­men mit min­des­tens 250 Mit­ar­bei­tern zwin­gend not­wen­dig wird. Doch wer hier schon erleich­tert durch­ge­at­met hat, wird bald ent­täuscht sein, denn in einem ande­ren Text­ab­schnitt steht, dass das Ver­zeich­nis auch von Unter­neh­men, die weni­ger als 250 Mit­ar­bei­ter beschäf­ti­gen, zu füh­ren ist, wenn die Daten­ver­ar­bei­tung nicht nur gele­gent­lich erfolgt.

Wahr­schein­lich ist die­ser Pas­sus zu all­ge­mein und schwam­mig for­mu­liert wor­den, sodass eigent­lich jeder Selb­stän­di­ge durch sei­ne Tätig­kei­ten regel­mä­ßig mit per­so­nen­be­zo­ge­nen Daten zu tun hat. Hät­te man nur Fir­men dazu ver­pflich­ten sol­len, die gewerb­lich mit sol­chen Daten han­deln, müss­te die For­mu­lie­rung kon­kre­ter aus­fal­len.

Um das Ver­zeich­nis erstel­len zu kön­nen, ist zuerst eine Ana­ly­se not­wen­dig, wel­che per­so­nen­be­zo­ge­nen Daten man über­haupt erfasst und spei­chert. Daher war der ers­te DSGVO-Arti­kel die­sem The­ma gewid­met.

Wie ist das Verzeichnis der Verarbeitungstätigkeiten inhaltlich aufgebaut?

Im Inter­net sind eini­ge Ver­zeich­nis­mus­ter zu fin­den, man­che sind umfang­rei­cher, man­che knapp gefasst, es gibt kei­nen vor­ge­schrie­be­nen Stan­dard­in­halt, schließ­lich müs­sen nur bestimm­te Infor­ma­tio­nen in das Ver­zeich­nis.

Ich habe mich bei mei­nem Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten an dem Mus­ter vom Baye­ri­schen Lan­des­amt für Daten­schutz­auf­sicht ori­en­tiert. Auf deren Web­site sind gera­de für klei­ne Unter­neh­men nütz­li­che Vor­la­gen und Mus­ter auf­ge­führt, u. a. für sol­che Bran­chen wie

  • KFZ-Werk­statt
  • Hand­werks­be­trieb
  • Arzt­pra­xis
  • Steu­er­be­ra­ter
  • Bäcke­rei und
  • Online-Shop.

Quel­le: Mus­ter vom Baye­ri­schen Lan­des­amt für Daten­schutz­auf­sicht

Das Mus­ter für den Online-Shop habe ich mir als Grund­la­ge genom­men, und zwar habe ich die Spal­ten­über­schrif­ten in der Tabel­le in ein Word-Doku­ment über­tra­gen.

Fol­gen­de Anga­ben sind in dem Ver­zeich­nis not­wen­dig:

  • Datum der Ver­zeich­nis­an­le­gung bzw. der ‑abän­de­rung
  • Name und Kon­takt­da­ten des Ver­ant­wort­li­chen und sei­nes Ver­tre­ters, und falls ein Daten­schutz­be­auf­trag­ter exis­tiert, auch des­sen Name und Kon­takt­da­ten
  • Ver­ar­bei­tungs­zweck der per­so­nen­be­zo­ge­nen Daten
  • Kate­go­rien der per­so­nen­be­zo­ge­nen Daten
  • Kate­go­rien der betrof­fe­nen Per­so­nen
  • Kate­go­rien von Emp­fän­gern
  • Erfolgt eine Daten­über­mitt­lung in ein Dritt­land oder an eine inter­na­tio­na­le Orga­ni­sa­ti­on
  • Lösch­fris­ten der Daten
  • Tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM) — wei­te­re Infor­ma­tio­nen dazu wei­ter unten im Arti­kel

Zusätz­lich habe ich noch das Feld Ver­zeich­nis-Num­mer und Risi­ko­be­wer­tung in das Ver­zeich­nis auf­ge­nom­men.

Außer­dem muss bei der Daten­wei­ter­ga­be an exter­ne Dienst­leis­ter wie z. B. News­let­ter-Anbie­ter, Hos­ter, Goog­le Ana­ly­tics usw. mit die­sen Anbie­tern ein Ver­trag zur Auf­trags­ver­ar­bei­tung abge­schlos­sen wer­den, der den neu­en Rege­lun­gen ent­spricht. Die­ser Hin­weis (dass ein Ver­trag vor­liegt) soll­te in dem Ver­zeich­nis auch erwähnt wer­den.

Unter­halb der Tabel­le füge ich noch das Datum, den Namen des Ver­ant­wort­li­chen (also mich ;-)) und mei­ne Unter­schrift ein, wenn ich das Ver­zeich­nis aus­ge­druckt habe. Mit­samt den Ver­trä­gen zur Auf­trags­ver­ar­bei­tung wer­de ich die­se Doku­men­te in einem Ord­ner griff­be­reit able­gen.

Ich habe bis­her fol­gen­de Ver­zeich­nis­se erstellt:

  • Ver­zeich­nis für News­let­ter­ver­sand
  • Ver­zeich­nis für Goog­le Ana­ly­tics
  • Ver­zeich­nis für Kon­takt­for­mu­la­re
  • Ver­zeich­nis für Log­files
  • Ver­zeich­nis für Lexof­fice
  • Ver­zeich­nis für Blog­kom­men­ta­re

Ich müss­te noch ein Ver­zeich­nis für den Ein­satz von Goog­le AdSen­se erstel­len. Wie ich das genau machen soll, weiß ich nicht.

Du brauchst nicht für meh­re­re News­let­ter, die du über den glei­chen News­let­ter-Dienst­leis­ter ver­sen­dest, ein Ver­zeich­nis anzu­le­gen, da reicht eins. Soll­test du meh­re­re News­let­ter-Dienst­leis­ter ver­wen­den, dann ist für jeden Anbie­ter ein Ver­zeich­nis zu erstel­len.

Das glei­che gilt auch für Blog­kom­men­ta­re sowie Kon­takt­for­mu­la­re meh­re­rer Blogs, die kön­nen auch in jeweils einem Ver­zeich­nis auf­ge­führt wer­den, es sei denn, du hast dei­ne Blogs bzw. Web­sites bei ver­schie­de­nen Pro­vi­dern.

Auch der Ein­satz von Goog­le Ana­ly­tics braucht nur ein­mal aus­ge­ar­bei­tet zu wer­den, auch wenn das Tool auf meh­re­ren Web­sites ver­wen­det wird.

Vertrag zur Auftragsverarbeitung

Falls du noch kei­nen Ver­trag zur Auf­trags­ver­ar­bei­tung von dei­nen exter­nen Dienst­leis­tern vor­lie­gen hast, kannst du dich ein­fach an dei­nen Hos­ter, E‑Mail-Mar­ke­ting-Soft­ware-Anbie­ter usw. wen­den: Die Unter­neh­men wer­den dir einen sol­chen Ver­trag in den meis­ten Fäl­len als PDF zusen­den.

Der Ver­trag muss hand­schrift­lich von bei­den Sei­ten unter­zeich­net sein, daher muss er zwei­mal aus­ge­druckt und aus­ge­füllt wer­den und jede der Ver­trags­par­tei­en erhält ein Exem­plar. Den Ver­trag von Goog­le Ana­ly­tics fin­dest du hier.

Nach der DSGVO muss der Ver­trag nicht zwin­gend in schrift­li­cher Form abge­schlos­sen wer­den, die Fol­ge dürf­te sein, dass man ihn mög­li­cher­wei­se bald elek­tro­nisch abschlie­ßen kann. Ich muss­te bis jetzt alle mei­ne Ver­trä­ge aus­ge­druckt an die jewei­li­gen Anbie­ter ver­sen­den.

Falls du wis­sen möch­test, für wel­che Dienst­leis­tun­gen bzw. von wel­chen Dienst­leis­tern du einen Ver­trag zur Auf­trags­ver­ar­bei­tung benö­tigst, fin­dest du auf blog​mo​jo​.de eine aus­führ­li­che Dienst­leis­ter-Zusam­men­stel­lung sowie Links zu den jewei­li­gen ADV. Bei­spiels­wei­se braucht man für die Nut­zung von Drop­box oder Lin­kedin eben­falls eine ADV.

Ob nun auch noch ein Daten­schutz-Beauf­trag­ter für dich Pflicht ist, lässt sich unter fol­gen­dem Link prü­fen. In der Regel braucht man als Selb­stän­di­ger kei­nen.

Hin­weis: Ob die Ver­zeich­nis­se zur Auf­trags­ver­ar­bei­tung mit den oben genann­ten Daten als Inhalt aus­rei­chend sind, wird sich wohl noch her­aus­stel­len. Ich kann kei­ne Garan­tie geben, dass sie die­se oder ande­re Daten beinhal­ten müs­sen. Ich weiß also nicht, ob mein kom­plet­tes Ver­zeich­nis über­haupt rich­tig ist, auch wenn ich mich an Vor­la­gen aus dem Inter­net ori­en­tiert habe.

Mit Sicher­heit kom­men im Ver­lauf der prak­ti­schen Anwen­dung der DSGVO eini­ge Ände­run­gen auf uns zu.

Warum braucht man ein solches Verzeichnis?

Das Ver­zeich­nis ist inso­fern nütz­lich, da man schwarz auf weiß sieht, wo man Daten erfasst und zu wel­chem Zweck. Soll­te man irgend­wann eine Anfra­ge von einer Auf­sichts­be­hör­de erhal­ten, kann man es zur Ein­sicht bereit­stel­len.

Daher soll­te man dar­auf ach­ten, dass es immer auf dem aktu­ells­ten Stand ist. Wech­selt man z. B. den Pro­vi­der, müs­sen die Ver­zeich­nis­se dem­entspre­chend ange­passt und ein neu­er Ver­trag zur Auf­trags­ver­ar­bei­tung muss abge­schlos­sen wer­den. Genau­so müs­sen neue Daten oder neue Dienst­leis­ter in das Ver­zeich­nis auf­ge­nom­men wer­den.

Links zu Muster und Beispielen

Mus­ter und Anfor­de­run­gen für klei­ne Unter­neh­men und Ver­ei­ne fin­den sich auf der Sei­te des Baye­ri­schen Lan­des­amts für Daten­schutz­auf­sicht (sie­he schon wei­ter oben): Link

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht hat eine Bro­schü­re erstellt, die auf 63 Sei­ten umfas­sen­de Infor­ma­tio­nen zur DSGVO, zum Ver­zeich­nis für Ver­ar­bei­tungs­tä­tig­kei­ten, zur Not­wen­dig­keit eines Daten­schutz­be­auf­trag­ten und wei­te­re wich­ti­ge Fra­gen hin­sicht­lich der Daten­schutz­neu­re­ge­lun­gen beant­wor­tet. Die Bro­schü­re rich­tet sich in ers­ter Linie an Selb­stän­di­ge, klei­ne Unter­neh­men und an Ver­eins­vor­sit­zen­de.

Die Bro­schü­re Ers­te Hil­fe zur Daten­schutz-Grund­ver­ord­nung für Unter­neh­men und Ver­ei­ne: Das Sofort­maß­nah­men-Paket* gibt es auf Ama­zon zu dem güns­ti­gen Preis von 5,50 € (Preis inkl. MWSt. zzgl. Ver­sand­kos­ten)

  • Ver­lag: C. H. Beck
  • Auf­la­ge Nr. 1 (Novem­ber 2017)
  • Taschen­buch: 63 Sei­ten

Zahl­rei­che Daten­schutz-Vor­la­gen und ein Mus­ter-Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten nach der DSGVO ste­hen auf acti­ve­Mind zum Down­load zur Ver­fü­gung: Link

Auf der Web­site der Bit­kom kann man ein umfang­rei­ches PDF über das Ver­ar­bei­tungs­ver­zeich­nis samt Vor­la­gen und Erklä­run­gen her­un­ter­la­den: Link

Schritt-für-Schritt Generator für DSGVO

Sehr hilf­reich bei der Erstel­lung sei­ner Daten­schutz­do­ku­men­ta­ti­on und TOM ist der Schritt-für-Schritt Gene­ra­tor für die Datenschutz­dokumentation nach DSGVO* mit über 40 vor­aus­ge­füll­ten Tätig­kei­ten für das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten, Daten­schutz­kon­zept und Risi­ko­ana­ly­se.

Das Paket erleich­tert die Erstel­lung sei­ner DSGVO-kon­for­men Unter­la­gen sehr deut­lich.

Technische und organisatorische Maßnahmen (TOM)

Dar­un­ter sind die Maß­nah­men zu ver­ste­hen, die zur siche­ren Spei­che­rung und Erfas­sung der per­so­nen­be­zo­ge­nen Daten vor­ge­nom­men wer­den. Ein­mal gehö­ren dazu die Maß­nah­men beim jewei­li­gen Hos­ter bzw. Pro­vi­der, die auch in dem Ver­trag zur Auf­trags­ver­ar­bei­tung ste­hen.

Dann soll­te man noch selbst ein TOM-Doku­ment ver­fas­sen, indem man alle Maß­nah­men bzw. Schrit­te auf­führt, die man zur Sicher­heit sei­ner Daten unter­nimmt.

Dazu gehö­ren u. a.

  • die Sicher­heit des PCs durch einen Viren­scan­ner und Fire­wall
  • regel­mä­ßi­ge Back­ups der Web­sites
  • Updates von Wor­d­Press, The­mes und Plugins
  • Siche­rung des Log­in-Bereichs
  • Pass­wort­si­che­rung
  • auto­ma­ti­sche Updates der Brow­ser-Soft­ware
  • Akten­ver­nich­tung durch Papier­schred­der

Die­se Punk­te habe ich alle in mei­ne TOM auf­ge­nom­men, als Wor­d­do­ku­ment abge­spei­chert und aus­ge­druckt. Eine Check­lis­te für die TOM fin­dest du auf Auda­tis hier.

Fazit

Am Anfang war die Erfas­sung der Ver­ar­bei­tungs­tä­tig­kei­ten ein ech­tes Gräu­el für mich. Dank vie­ler Mus­ter im Inter­net habe ich mich auf­ge­rafft und die ein­zel­nen Ver­zeich­nis­se erstellt.

Ich bin schon froh, dass ich im Ver­gleich zu gro­ßen Unter­neh­men nicht wirk­lich vie­le per­so­nen­be­zo­ge­ne Daten samm­le und ver­ar­bei­te, und schon gar kei­ne sen­si­blen wie z. B. Gesund­heits­da­ten.

In den nächs­ten Wochen wer­de ich mir noch über­le­gen, ob ich irgend­wo Daten “ein­spa­ren” kann bzw. mich von der Nut­zung von bestimm­ten Online-Tools ver­ab­schie­den soll­te. So vie­le sind das nicht.

Die­se Pro­ze­dur der Ver­zeich­nis­er­stel­lung ist schon mit einem recht gro­ßen Zeit­auf­wand ver­bun­den, hat man aller­dings erst den Durch­blick geschafft, geht es zügig und leicht von der Hand.

Auch wenn ich im Ein-Frau-Unter­neh­men eini­ge Nach­tei­le sehe, für die DSGVO dreht sich das Bild ins Gegen­teil um, denn wir Web­site- und Blogbetreiber/​innen dürf­ten vom Umfang und Auf­wand der DSGVO-Umset­zung noch ganz gut weg­kom­men. :-)

Im drit­ten Teil der Arti­kel­rei­he gehe ich auf wei­te­re Infor­ma­ti­ons­pflich­ten für Web­site- und Blog­be­trei­ber ein, wie u. a. auf die Aktua­li­sie­rung der Daten­schutz­er­klä­rung.