DSGVO #4

MUST HAVE: Verarbeitungsverzeichnis

Mag sein, dass du keine Lust auf die DSGVO hast. Verstehe ich sogar.
Aber wie bei jedem Gesetz ist es sinnvoll, es zumindest nicht komplett zu ignorieren.
Das tut nämlich üblicherweise mehr weh, als es in Ansätzen zu erfüllen.

Deshalb geb ich dir in diesem Artikel ein paar Insiderinformationen und verrate dir, warum du um das Verarbeitungsverzeichnis nicht herumkommst.
Selbst wenn du sonst nichts machst: Mach zumindest ein Verarbeitungsverzeichnis!

Ich bin ausgebildete Datenschutzexpertin, aber keine Juristin.
Ich möchte mit dir meine Erfahrungen und Informationen zu diesem Thema teilen – vor allem, weil auf deiner Website schnell festzustellen ist, ob du dich mit der DSGVO beschäftigt hast oder nicht.
Ich möchte festhalten, dass ich auf eine juristisch korrekte Ausdrucksweise zugunsten der Verständlichkeit verzichte.

Wie könnte die Datenschutz-Welt ab 25. Mai 2018 aussehen?

Horrorszenarien zur DSGVO geistern durch das Netz:

  • Hilfe, ich darf wegen der DSGVO keine Newsletter mehr versenden!
  • Wenn ich von der Datenschutzbehörde (DSB) gestraft werde, kann ich gleich mein Unternehmen zusperren! (Stichwort: 20 Mio. € Strafe)
  • Am 26. Mai steht die Datenschutzbehörde vor meiner Tür!

Lassen wir doch mal die Kirche im Dorf. Weder fällt die DSB ab 26. Mai wie eine Horde Heuschrecken in allen Unternehmen ein, noch ist deren Ziel, die Unternehmerlandschaft in Österreich auszurotten.
Ganz im Gegenteil: Gerade kleinen und mittleren Unternehmen wird zunächst mal gar nichts passieren.
Das einzige momentan unberechenbare Risiko ist das der Querulanten.

Die DSGVO öffnet nämlich – formulieren wir es mal positiv – auskunftswilligen Menschen Tür und Tor, ihre Betroffenenrechte auf Auskunft, etc. einzufordern.
Und wenn du diesen nicht nachkommst, könntest du recht schnell mal bei der DSB angezeigt werden.

Ich wurde bei der Datenschutzbehörde angezeigt – was jetzt?

Bleiben wir realistisch: Die DSB hat nicht die Zeit, sich mit kleineren Anzeigen und Vergehen zu beschäftigen.

Sie wird dann aber von dir dennoch einen Nachweis verlangen, dass du die DSGVO umgesetzt hast, das heißt übersetzt:

Du musst der Datenschutzbehörde dein Verarbeitungsverzeichnis zuschicken.
Wenn dieses halbwegs ordentlich und nachvollziehbar geführt ist, wird genau gar nichts passieren, außer vielleicht ein paar Nachbesserungsvorschläge seitens der DSB.
In diesem Fall wirst du sicher nicht gestraft – maximal verwarnt.

Der Aufwand für kleine Unternehmen hält sich absolut in Grenzen!

Ich hoffe, es wird klar, was ich meine:
Selbst wenn du sonst nichts machst: Mach zumindest ein Verarbeitungsverzeichnis!

Gute Vorlagen für das Verzeichnis bekommst du bei der Wirtschaftskammer!

Ich zeig dir hier die wichtigsten Schritte.

1) Nachdenken und Aufräumen

Zunächst musst du ALLE deine Datenverarbeitungen (aber nur jene, die personenbezogene Daten betreffen!!) durchsehen, aufschreiben, aufräumen, finden, usw.

Mir hat dabei mein Passwort-Verzeichnis (siehe DSGVO Tipp #2) geholfen und ein Blick auf meine Kontobewegungen in den letzten 12 Monaten.
Überleg dir folgende Bereiche:

  • Wo speicherst du deine Kontaktdaten (von Kunden, Lieferanten, sonstigen Geschäftspartnern, Interessenten, etc.)
  • Wie kommunizierst du? Stichwort: Mailaccounts
  • Wo speicherst du die Daten, die du für die Erstellung von Angeboten und Rechnungen brauchst?
  • Wo speicherst du Verträge?
  • Welche Cloud-Services benutzt du und was speicherst du dort?
  • Wo speicherst du Bestellungen deiner Kunden?
  • Thema IT-Sicherheit: Wer hat Zugriff auf diese Daten?
  • Wer bekommt von dir Daten? z.B. dein Steuerberater
  • Was speicherst du offline, also auf Papier?
  • usw.

Du wirst spätestens jetzt draufkommen, dass du eine ganze Menge Daten an sehr unterschiedlichen Orten speicherst.
Leider ist das der anstrengende Teil der Übung, den dir niemand abnehmen kann.
Aber sieh es positiv: Danach hast du nicht nur den ultimativen Überblick, sondern auch aufgeräumte Daten!

2) Verarbeitungsverzeichnis erstellen

Gute Vorlagen für das Verzeichnis bekommst du bei der Wirtschaftskammer!

Was muss alles drin stehen?

  • Name & Kontaktdaten des Verantwortlichen: das bist DU!
  • Zweck der Datenverarbeitung: Achtung, hier sind mehrere Zwecke anzuführen, also z.B. Rechnungslegung, Marketing, Kommunikation, etc.
  • Welche Personen und welche Daten sind betroffen: Das musst du pro Zweck angeben
  • Wer bekommt Daten von dir: Auch das solltest du pro Zweck angeben
  • Löschfristen
  • Datensicherheitsmaßnahmen: Das betrifft den technischen Teil, z.B. Passwortschutz, Backups, etc.
  • Wer informiert die Betroffenen?
  • Wer informiert bei Data Breach, also bei Datenmissbrauch
  • Wie oft wird das Dokument überarbeitet

Einige Ideen, welche Verarbeitungszwecke du aufnehmen solltest

Sehr kleine Unternehmen werden im Schnitt 10-20 Datenverarbeitungen haben.

Hier ein paar Ideen:

  • Deine Kommunikation via E-Mail
  • Deine Datenablage (Fileserver) im allgemeinen
  • Telefonie
  • Homepage
  • Videoüberwachung
  • Lohnabrechnung (wenn du Mitarbeiter hast)
  • Kundendatenverwaltung (CRM)
  • Mitarbeiterdatenverwaltung
  • sonstige unternehmensspezifische Systeme

Hi, ich bin Astrid.

Ich bin spezialisiert auf WordPress und Divi und helfe dir, die DSGVO mit Hausverstand umzusetzen.

Melde dich zum Newsletter an!

Melde dich zu meinem Newsletter an, wenn du in puncto WordPress, Content, Technik und Datenschutz informiert bleiben möchtest.