Weiter geht es mit der kleinen Artikelreihe zur DSGVO-konformen Website. Nachdem ich den ersten Schritt, die Analyse der personenbezogenen Daten, bei meinen Internetauftritten durchgeführt habe, steht Schritt Nr. 2 an, die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten.
Als ich mich über die DSGVO, deren Neuerungen und Pflichten informiert habe, habe ich diesen Passus über das Verzeichnis überhaupt nicht verstanden. Glücklicherweise fanden sich in den darauffolgenden Wochen im Internet Praxisbeispiele auch für kleine Unternehmen, wie sie dieses Verzeichnis der Verarbeitungstätigkeiten am besten erstellen.
Hinweis: Ich bin keine Anwältin, daher gebe ich in diesem Beitrag nur meine persönliche Meinung wider. Es handelt sich NICHT um eine Rechtsberatung. Falls du konkrete Hilfe bei der Umsetzung der DSGVO auf deiner Website benötigst, solltest du einen Rechtsanwalt heranziehen.
Was ist unter dem Verzeichnis für Verarbeitungstätigkeiten zu verstehen?
Das Verzeichnis der Verarbeitungstätigkeiten ist ein Formular, das man für jede Tätigkeit, bei der man personenbezogene Daten anderer erfasst und verarbeitet, ausfüllen soll.
Zu solchen Tätigkeiten, die personenbezogene Daten erfassen, gehören u. a.:
- Speichern von Blogkommentaren
- Speichern von Logfiles
- Versenden von Newslettern
- Empfangene E‑Mails
- Erfassung von Kundendaten im Rechnungsprogramm
- Interner Mitgliedsbereich
- Einbinden von Zahlungsschnittstellen wie z. B. PayPal oder Sofortüberweisung
Da so gut wie jeder Website- und Blogbetreiber E‑Mails von Dritten empfängt und Blogkommentare zulässt, wird es für ihn Pflicht, ein solches Verzeichnis zu erstellen. Und IP-Adressen, die auch zu den personenbezogenen Daten gehören, erfasst so gut wie jede Website bzw. jeder Blog.
Wer sich die DVGO genau durchliest, wird feststellen, dass das Verzeichnis der Verarbeitungstätigkeiten erst bei Firmen mit mindestens 250 Mitarbeitern zwingend notwendig wird. Doch wer hier schon erleichtert durchgeatmet hat, wird bald enttäuscht sein, denn in einem anderen Textabschnitt steht, dass das Verzeichnis auch von Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, zu führen ist, wenn die Datenverarbeitung nicht nur gelegentlich erfolgt.
Wahrscheinlich ist dieser Passus zu allgemein und schwammig formuliert worden, sodass eigentlich jeder Selbständige durch seine Tätigkeiten regelmäßig mit personenbezogenen Daten zu tun hat. Hätte man nur Firmen dazu verpflichten sollen, die gewerblich mit solchen Daten handeln, müsste die Formulierung konkreter ausfallen.
Um das Verzeichnis erstellen zu können, ist zuerst eine Analyse notwendig, welche personenbezogenen Daten man überhaupt erfasst und speichert. Daher war der erste DSGVO-Artikel diesem Thema gewidmet.
Wie ist das Verzeichnis der Verarbeitungstätigkeiten inhaltlich aufgebaut?
Im Internet sind einige Verzeichnismuster zu finden, manche sind umfangreicher, manche knapp gefasst, es gibt keinen vorgeschriebenen Standardinhalt, schließlich müssen nur bestimmte Informationen in das Verzeichnis.
Ich habe mich bei meinem Verzeichnis der Verarbeitungstätigkeiten an dem Muster vom Bayerischen Landesamt für Datenschutzaufsicht orientiert. Auf deren Website sind gerade für kleine Unternehmen nützliche Vorlagen und Muster aufgeführt, u. a. für solche Branchen wie
- KFZ-Werkstatt
- Handwerksbetrieb
- Arztpraxis
- Steuerberater
- Bäckerei und
- Online-Shop.
Quelle: Muster vom Bayerischen Landesamt für Datenschutzaufsicht
Das Muster für den Online-Shop habe ich mir als Grundlage genommen, und zwar habe ich die Spaltenüberschriften in der Tabelle in ein Word-Dokument übertragen.
Folgende Angaben sind in dem Verzeichnis notwendig:
- Datum der Verzeichnisanlegung bzw. der ‑abänderung
- Name und Kontaktdaten des Verantwortlichen und seines Vertreters, und falls ein Datenschutzbeauftragter existiert, auch dessen Name und Kontaktdaten
- Verarbeitungszweck der personenbezogenen Daten
- Kategorien der personenbezogenen Daten
- Kategorien der betroffenen Personen
- Kategorien von Empfängern
- Erfolgt eine Datenübermittlung in ein Drittland oder an eine internationale Organisation
- Löschfristen der Daten
- Technische und organisatorische Maßnahmen (TOM) — weitere Informationen dazu weiter unten im Artikel
Zusätzlich habe ich noch das Feld Verzeichnis-Nummer und Risikobewertung in das Verzeichnis aufgenommen.
Außerdem muss bei der Datenweitergabe an externe Dienstleister wie z. B. Newsletter-Anbieter, Hoster, Google Analytics usw. mit diesen Anbietern ein Vertrag zur Auftragsverarbeitung abgeschlossen werden, der den neuen Regelungen entspricht. Dieser Hinweis (dass ein Vertrag vorliegt) sollte in dem Verzeichnis auch erwähnt werden.
Unterhalb der Tabelle füge ich noch das Datum, den Namen des Verantwortlichen (also mich ;-)) und meine Unterschrift ein, wenn ich das Verzeichnis ausgedruckt habe. Mitsamt den Verträgen zur Auftragsverarbeitung werde ich diese Dokumente in einem Ordner griffbereit ablegen.
Ich habe bisher folgende Verzeichnisse erstellt:
- Verzeichnis für Newsletterversand
- Verzeichnis für Google Analytics
- Verzeichnis für Kontaktformulare
- Verzeichnis für Logfiles
- Verzeichnis für Lexoffice
- Verzeichnis für Blogkommentare
Ich müsste noch ein Verzeichnis für den Einsatz von Google AdSense erstellen. Wie ich das genau machen soll, weiß ich nicht.
Du brauchst nicht für mehrere Newsletter, die du über den gleichen Newsletter-Dienstleister versendest, ein Verzeichnis anzulegen, da reicht eins. Solltest du mehrere Newsletter-Dienstleister verwenden, dann ist für jeden Anbieter ein Verzeichnis zu erstellen.
Das gleiche gilt auch für Blogkommentare sowie Kontaktformulare mehrerer Blogs, die können auch in jeweils einem Verzeichnis aufgeführt werden, es sei denn, du hast deine Blogs bzw. Websites bei verschiedenen Providern.
Auch der Einsatz von Google Analytics braucht nur einmal ausgearbeitet zu werden, auch wenn das Tool auf mehreren Websites verwendet wird.
Vertrag zur Auftragsverarbeitung
Falls du noch keinen Vertrag zur Auftragsverarbeitung von deinen externen Dienstleistern vorliegen hast, kannst du dich einfach an deinen Hoster, E‑Mail-Marketing-Software-Anbieter usw. wenden: Die Unternehmen werden dir einen solchen Vertrag in den meisten Fällen als PDF zusenden.
Der Vertrag muss handschriftlich von beiden Seiten unterzeichnet sein, daher muss er zweimal ausgedruckt und ausgefüllt werden und jede der Vertragsparteien erhält ein Exemplar. Den Vertrag von Google Analytics findest du hier.
Nach der DSGVO muss der Vertrag nicht zwingend in schriftlicher Form abgeschlossen werden, die Folge dürfte sein, dass man ihn möglicherweise bald elektronisch abschließen kann. Ich musste bis jetzt alle meine Verträge ausgedruckt an die jeweiligen Anbieter versenden.
Falls du wissen möchtest, für welche Dienstleistungen bzw. von welchen Dienstleistern du einen Vertrag zur Auftragsverarbeitung benötigst, findest du auf blogmojo.de eine ausführliche Dienstleister-Zusammenstellung sowie Links zu den jeweiligen ADV. Beispielsweise braucht man für die Nutzung von Dropbox oder Linkedin ebenfalls eine ADV.
Ob nun auch noch ein Datenschutz-Beauftragter für dich Pflicht ist, lässt sich unter folgendem Link prüfen. In der Regel braucht man als Selbständiger keinen.
Hinweis: Ob die Verzeichnisse zur Auftragsverarbeitung mit den oben genannten Daten als Inhalt ausreichend sind, wird sich wohl noch herausstellen. Ich kann keine Garantie geben, dass sie diese oder andere Daten beinhalten müssen. Ich weiß also nicht, ob mein komplettes Verzeichnis überhaupt richtig ist, auch wenn ich mich an Vorlagen aus dem Internet orientiert habe.
Mit Sicherheit kommen im Verlauf der praktischen Anwendung der DSGVO einige Änderungen auf uns zu.
Warum braucht man ein solches Verzeichnis?
Das Verzeichnis ist insofern nützlich, da man schwarz auf weiß sieht, wo man Daten erfasst und zu welchem Zweck. Sollte man irgendwann eine Anfrage von einer Aufsichtsbehörde erhalten, kann man es zur Einsicht bereitstellen.
Daher sollte man darauf achten, dass es immer auf dem aktuellsten Stand ist. Wechselt man z. B. den Provider, müssen die Verzeichnisse dementsprechend angepasst und ein neuer Vertrag zur Auftragsverarbeitung muss abgeschlossen werden. Genauso müssen neue Daten oder neue Dienstleister in das Verzeichnis aufgenommen werden.
Links zu Muster und Beispielen
Muster und Anforderungen für kleine Unternehmen und Vereine finden sich auf der Seite des Bayerischen Landesamts für Datenschutzaufsicht (siehe schon weiter oben): Link
Das Bayerische Landesamt für Datenschutzaufsicht hat eine Broschüre erstellt, die auf 63 Seiten umfassende Informationen zur DSGVO, zum Verzeichnis für Verarbeitungstätigkeiten, zur Notwendigkeit eines Datenschutzbeauftragten und weitere wichtige Fragen hinsichtlich der Datenschutzneuregelungen beantwortet. Die Broschüre richtet sich in erster Linie an Selbständige, kleine Unternehmen und an Vereinsvorsitzende.
Die Broschüre Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine: Das Sofortmaßnahmen-Paket* gibt es auf Amazon zu dem günstigen Preis von 5,50 € (Preis inkl. MWSt. zzgl. Versandkosten)
- Verlag: C. H. Beck
- Auflage Nr. 1 (November 2017)
- Taschenbuch: 63 Seiten
Zahlreiche Datenschutz-Vorlagen und ein Muster-Verzeichnis von Verarbeitungstätigkeiten nach der DSGVO stehen auf activeMind zum Download zur Verfügung: Link
Auf der Website der Bitkom kann man ein umfangreiches PDF über das Verarbeitungsverzeichnis samt Vorlagen und Erklärungen herunterladen: Link
Schritt-für-Schritt Generator für DSGVO
Sehr hilfreich bei der Erstellung seiner Datenschutzdokumentation und TOM ist der Schritt-für-Schritt Generator für die Datenschutzdokumentation nach DSGVO* mit über 40 vorausgefüllten Tätigkeiten für das Verzeichnis der Verarbeitungstätigkeiten, Datenschutzkonzept und Risikoanalyse.
Das Paket erleichtert die Erstellung seiner DSGVO-konformen Unterlagen sehr deutlich.
Technische und organisatorische Maßnahmen (TOM)
Darunter sind die Maßnahmen zu verstehen, die zur sicheren Speicherung und Erfassung der personenbezogenen Daten vorgenommen werden. Einmal gehören dazu die Maßnahmen beim jeweiligen Hoster bzw. Provider, die auch in dem Vertrag zur Auftragsverarbeitung stehen.
Dann sollte man noch selbst ein TOM-Dokument verfassen, indem man alle Maßnahmen bzw. Schritte aufführt, die man zur Sicherheit seiner Daten unternimmt.
Dazu gehören u. a.
- die Sicherheit des PCs durch einen Virenscanner und Firewall
- regelmäßige Backups der Websites
- Updates von WordPress, Themes und Plugins
- Sicherung des Login-Bereichs
- Passwortsicherung
- automatische Updates der Browser-Software
- Aktenvernichtung durch Papierschredder
Diese Punkte habe ich alle in meine TOM aufgenommen, als Worddokument abgespeichert und ausgedruckt. Eine Checkliste für die TOM findest du auf Audatis hier.
Fazit
Am Anfang war die Erfassung der Verarbeitungstätigkeiten ein echtes Gräuel für mich. Dank vieler Muster im Internet habe ich mich aufgerafft und die einzelnen Verzeichnisse erstellt.
Ich bin schon froh, dass ich im Vergleich zu großen Unternehmen nicht wirklich viele personenbezogene Daten sammle und verarbeite, und schon gar keine sensiblen wie z. B. Gesundheitsdaten.
In den nächsten Wochen werde ich mir noch überlegen, ob ich irgendwo Daten “einsparen” kann bzw. mich von der Nutzung von bestimmten Online-Tools verabschieden sollte. So viele sind das nicht.
Diese Prozedur der Verzeichniserstellung ist schon mit einem recht großen Zeitaufwand verbunden, hat man allerdings erst den Durchblick geschafft, geht es zügig und leicht von der Hand.
Auch wenn ich im Ein-Frau-Unternehmen einige Nachteile sehe, für die DSGVO dreht sich das Bild ins Gegenteil um, denn wir Website- und Blogbetreiber/innen dürften vom Umfang und Aufwand der DSGVO-Umsetzung noch ganz gut wegkommen. :-)
Im dritten Teil der Artikelreihe gehe ich auf weitere Informationspflichten für Website- und Blogbetreiber ein, wie u. a. auf die Aktualisierung der Datenschutzerklärung.
