AchtungBitte beachten Sie, dass alle meine Artikel nur der Information und nicht der Rechtsberatung dienen. Ich übernehme keine Haftung für den Inhalt meiner Artikel. Die Artikel können veraltet sein, die Rechtslage sich geändert haben oder die konkrete Situation in einem Fall anders zu beurteilen sein. Eine verbindliche Beratung kann es nur durch mich direkt im Einzelfall geben. Nutzen Sie meine kostenfreie Kurzberatung!
Bei vielen ist in seit letztem Mai das Bewusstsein dafür geschärft worden, dass man auf einer Webseite, einer App und in zahlreichen anderen Situationen eine Datenschutzerklärung benötigt. Dass jedoch fast jeder auch ein Verarbeitungsverzeichnis braucht, weiß gefühlt keiner.
Aber genau so ist es: Im Verarbeitungsverzeichnis müssen alle Verarbeitungsvorgänge aufgelistet werden, also wo und wie Kundendaten gespeichert werden, welche Kundendaten gespeichert werden, wie lange diese gespeichert werden, wer Zugriff auf diese Daten hat und vieles weiteres. Eine gute Übersicht zum Verarbeitungsverzeichnis findet man hier.
Das Verarbeitungsverzeichnis wird in Art. 30 DSGVO geregelt:
Jeder Verantwortliche und gegebenenfalls sein Vertreter müssen ein Verzeichnis aller Verarbeitungstätigkeiten führen, die ihrer Zuständigkeit unterliegen. Leider betrifft das inzwischen mehr Unternehmen/Verantwortliche als man zuerst denkt.
Die […] genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn […] die Verarbeitung erfolgt nicht nur gelegentlich […].
Was ist gelegentlich?
Auch wenn das “gelegentlich” nicht definiert ist, dürfte dies mit Sicherheit jeden betreffen, der Kundendaten verarbeitet, weil man eingeloggte Nutzer hat, weil man Nutzern Produkte oder Dienstleistungen verkauft, virtuelle Gegenstände anbietet etc.
Da die Datenschutzbehörden bereits sehr aktiv sind, wird bei einer Prüfung mit großer Sicherheit darauf geachtet, ob ein derartiges Verzeichnis angelegt wurde. Erst recht gilt dies natürlich, wenn man einen Datenschutzvorfall zu verantworten hat. Der erste Eindruck dürfte katastrophal sein, wenn man kein Verzeichnis erstellt hat und somit klar ersichtlich darstellt, dass man sich über Datenschutz im Unternehmen/als Anbieter nur sehr bedingt Gedanken gemacht hat.
Ein Verarbeitungsverzeichnis klingt dabei zunächst ähnlich wie eine Datenschutzerklärung, ist aber nichts, was man auf die Homepage etc. öffentlich zur Verfügung stellt. Vielmehr ist es eine Darstellung, welche Datenschutz relevanten Vorgänge stattfinden und betrifft natürlich die eigene Webseite, den Webshop, aber auch die Übergabe von Daten zum Steuerberater, zum Inkasso, den Umgang mit Paymentanbietern und alle weiteren Aspekte. Ebenso sind aber auch eigene Mitarbeiter, Moderatoren etc. betroffen, deren Gehälter man und Sozialversicherungsdaten man beispielsweise speichert. Bei Agenturen etc. wären dies aber auch klassische Daten, die man in ein CRM-System speichert, Pitches, Angebote, Bewerbungen und alle weiteren Aspekte mit persönlichen Daten.
Inhalt des Verarbeitungsverzeichnisses
Was muss rein in das Verarbeitungsverzeichnis? Nun mindestens die Zwecke der Verarbeitung, eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten, die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden. Dabei ist natürlich besonders auf Übertragungen in Drittländer zu achten. Hinzukommen die Rechtsgrundlagen für die Speicherung, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien und wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO, denn die Sicherheit der Daten ist ein weiterer Punkt, der gerne ignoriert wird, der aber für Datenschutzbehörden sehr wichtig ist.
Perfekt werden die wenigsten Verarbeitungsverzeichnisse sein, aber allein die Mühe, eines geführt zu haben, dürften viele Datenschutzbeauftragte bei der möglichen Ermittlung von Bußgeldern honorieren. Es dient natürlich auch sich über die Vorgänge bewusst zu werden und daher kann man damit auch Pflichten wie die Pflicht zur Darlegung der Verarbeitungszwecke nach Art. 5 Abs. 1 lit. b) DSGVO, den Nachweis der Rechtmäßigkeit der Verarbeitung entsprecht Art. 5 Abs. 1 lit. a) DSGVO, den Nachweis der Datenminimierung aus Art. 5 Abs. 1 lit. c) DSGVO, den Nachweis der Richtigkeit und Aktualität der Daten nach Art. 5 Abs. 1 lit. d) DSGVO und zahlreiche weiteren Pflichten nachkommen.
Elektronisch geht natürlich :_)
Übrigens kann das Verarbeitungsverzeichnis natürlich auch in einem elektronischen Format geführt werden. Es muss also niemand Stift und Papier zücken.
Marian Härtel ist Rechtsanwalt und Unternehmer mit den Schwerpunkten Urheberrecht, Wettbewerbsrecht und IT/IP Recht und einen Fokus auf Games, Esport, Medien und Blockchain.
