Verzeichnis zur Datenverarbeitung
Statt per Meldung an die Datenschutzbehörde und durch DVR-Nummer gekennzeichnet Daten zu verarbeiten sollen die Unternehmen künftig einen Katalog aller Daten erstellen.Dieses Verzeichnis zur Verarbeitung ('Verfahrensverzeichnis') muss im Unternehmen aufliegen (es kann durch die Behörden jederzeit eingesehen werden!) und laufend gewartet werden. Es ist in der Regel umfangreich und braucht Zeit für Aufbau und Pflege, auch wenn es keine besonderen Formvorschriften gibt. Sich rechtzeitig mit gerade siesem Thema zu befassen, ist daher wichtig.
Wer muss ein Datenverarbeitungs-Verzeichnis führen?
In der Regel müssen das alle Unternehmen tun. Denn die Ausnahme für KMU mit weniger als 250 Mitarbeitern gilt nur für solche, die nur gelegentlich Daten verarbeiten (also welche, die eher auf Papier arbeiten und selten Kundendaten haben), und wo ein Risiko durch die Daten ausgeschlossen ist. Kurz: Es werden wohl in der Praxis keine Ausnahmen für das Datenverarbeitungs-Register gemacht. Alleine schon zur Klärung, ob ein Register erforderlich ist, müsste man es ja anlegen...
Das Datenverarbeitungsverzeichnis ist gleichzeitig aber auch die Basis für die Informationspflicht gegenüber dem, dessen Daten gespeichert werden. Laut DSGVO muss die Person nämlich über den Zweck und die Rechtsgrundlage (Erlaubnistatbestand, siehe Einleitung) der Datenverarbeitung aufgeklärt werden. Diese vermutlich schöner formulierte Information kann man aus dem Verzeichnis leicht entnehmen, wo man sie ja ebenfalls erfassen muss.
Das Datenverarbeitungsverzeichnis beinhaltet keine Einzeldaten, sondern die Beschreibung einer Art von Daten. Es werden also keine einzelnen Kunden oder Rechnungsdaten beschrieben, sondern beispielsweise die Sorte 'Rechnungen' allgemein.
Einträge im Datenverarbeitungs-Verzeichnis (das in deutscher Sprache zu führen ist!) für die DSGVO beinhalten zumindest
- Den Vorgang (zB. 'Rechnungsdaten')
- Wo wird was gespeichert ('Name', 'Adresse', ...)
- Zweck (zB. 'Erfüllung Verrechnung, Buchhaltung, Steuer')
- Sparsamkeit und Löschung ('nur erforderliche Daten', 'werden nach 7 Jahren Aufbewahrungspflicht gelöscht').
Sinnvollerweise wird hier auch erfasst:
- Zuständigkeit bei Anfragen ('Verrechnungsabteilung')
- Rechtsgrundlage ('Gesetzliche Erfordernisse für Steuer', bei 'Einwilligung' unbedingt auch die Nachprüfbarkeit feststellen)
- Risiko, Folgeabschätzung, Sicherungsmaßnahmen
Das Datenschutzregister ist im Endeffekt ähnlich zur früheren Meldung für die DVR-Nummer, beinhaltet aber zumindest auch noch die Informationen zur Speicherdauer. Bitte beachten Sie unsere Word-Mustervorlage im Downloadbereich, die das Anlegen eines Datenschutz-Verzeichnisses der Datenverarbeitungen im Unternehmen sehr erleichtern wird.
Folgeabschätzung
Die Dokumentation und Erhebung der datenschutzrelevanten Datenverarbeitungen im Unternehmen hat auch eine Abschätzung der Folgen im Anlassfall zu beinhalten. Man muss sich also Gedanken dazu machen, was mit gespeicherten Daten im schlimmsten Fall passieren könnte. Das Risiko, das man hier annimmt, hat dann auch Bedeutung für Meldepflichten im Missbrauchsfall. Trifft man keine Maßnahmen, wenn ein hohes Risiko erkannt wird, muss man das auch den Behörden bekannt geben.
Verpflichtend ist die Folgeabschätzung und die entsprechende Dokumentation in jedem Fall, wenn neue Technologie eingesetzt wird, hohes Risiko in den Freiheiten der Personen besteht, sensible Daten eingesetzt werden, systematisches Profiling (zB. Bonitätscheck) vorliegt, Überwachtung (Kameras) vorgenommen wird, die Datenschutzbehörde Vorgaben macht.
Risiken können direkte Schaden aller Art sein, Verlust der Kontrolle über Daten oder Privatsphäre, Diskriminierung, Betrug, Identitätsdiebstahl, Offenlegung der Identität, Rufschädigung, sonstige Nachteile.
An Sicherheitsmaßnahmen sollte dann gearbeitet werden, diese gehören auch dokumentiert. Dabei sind Möglichkeiten vielfältig: Mitarbeiter können geschult werden, entsprechende Erklärungen abgeben, Nutzungsregeln definiert werden. Regeln, die das Abarbeiten von Rechten der Personen ermöglichen, können den Workflow sicherstellen. Übliche Regelungen hinsichtlich Datenschutz (Passwörter, Zugriffsrechte etc.) sind zu definieren. Firewalls, Datensicherungen, Verschlüsselungen etc. sind zu nutzen. Zutrittskontrollen und Sicherungen gegen Entwendungen.
Auskunftspflichten, Mitwirkungspflichten
Wie in einem anderen Abschnitt dieses Specials beschrieben, haben Menschen auch das Recht, gespeicherte Inhalte einsehen zu können, diese zu korrigieren oder löschen zu lassen. Um hier ausreichend schnell (Fristen!) reagieren zu können, berechtigte Wünsche von unberechtigten unterscheiden zu können - oder alleine schon, um Zuständigkeiten im Unternehmen zu dokumentieren, empfielt es sich, diese Informationen in die Dokumentation der Datenverarbeitung mit auf zu nehmen.
Ihre Meinung dazu? Schreiben Sie hier!
#DSGVO #Datenschutz #DSG #Register #Verzeichnis
Newsticker per eMail oder RSS/Feed!
Auch interessant!
Google Analytics und die DSGVO
Mai 2018 bedeutet auch, sich Gedanken zu Google Analytics zu machen, wenn damit die statistische Auswertu...
Kontaktformulare nach der DSGVO 2018
Die Datenschutzgrundverordnung stellt im Web einige Dinge um, die bisher noch möglich waren. Zuletzt habe...
Newsletter und die DSGVO
Mit dem neuen DSG 2018 und der Datenschutz Grundverordnung der EU wird auch beim Newsletter nachgeschärft...
Auskunfts- und Informationspflichten - und mehr!
Wenn eine Person, deren Daten erfasst wurden, deren Löschung beantragt oder Einsicht in die gespeicherten...
Die Unternehmensgründung
...