Datenschutz in der Praxis
Beiträge und Tipps für die Praxis von Datenschutzbeauftragten
25.10.2021: Seit Einführung der Datenschutzschutzgrundverordnung (DS-GVO) im Mai 2018 sind die Anforderungen an Unternehmen im Datenschutz deutlich gestiegen. So sind Unternehmen nun zu verschiedenen Dokumentationen im Bereich des Datenschutzes verpflichtet.
Dazu zählen beispielsweise Datenschutzerklärungen, Dokumentationen zur Behandlung von Auskunftsrechten sowie die Erstellung und Führung eines Verzeichnisses von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis). Für Letzteres ergibt sich das direkt aus Art. 30 DS-GVO. Das Verzeichnis dient dem Unternehmen – als auch evtl. dem Datenschutzbeauftragten – einen Überblick über die Verarbeitungsvorgänge von personenbezogenen Daten zu erhalten, so dass die Rechtmäßigkeit von Verarbeitungsvorgängen überprüft werden kann. Ferner dient das Verzeichnis über die Verarbeitungstätigkeiten als Hilfestellung für die Beantwortung von Auskunftsanfragen von Betroffenen. Grund hierfür ist, dass Sie durch diese Form der Dokumentation recht zügig eine Übersicht zu den in Ihrem Unternehmen verarbeiteten Datenkategorien erhalten.
Zudem muss das Verarbeitungsverzeichnis auf Verlangen der Aufsichtsbehörde vorgelegt werden. Ein fehlendes Verzeichnis über die Verarbeitungstätigkeiten kann von der Aufsichtsbehörde mit einem Bußgeld von bis zu 10.000,00 EUR oder bis zu 2% des gesamten weltweit erzielten Vorjahresumsatz des Unternehmens geahndet werden.
Nach Art. 30 DS-GVO müssen Verantwortliche ein Verzeichnis über ihre Verarbeitungstätigkeiten von personenbezogenen Daten führen. Gemäß Art. 30 Abs. 5 DS-GVO sind Unternehmen mit weniger als 250 Mitarbeitern von dieser Pflicht befreit. Gerade für kleine und mittelständige Unternehmen (KMU) mit wenige als 250 Mitarbeitern hört sich das zunächst gut an.
Doch Vorsicht!
Die vorgenannte Befreiung greift jedoch nach Art. 30 Abs. 5 DS-GVO nur, wenn personenbezogene Daten „nur gelegentlich“ verarbeitet werden und mit der Verarbeitung keinerlei Risiken für die Rechte und Freiheiten der Betroffenen verbunden sind. Sofern Sie in Ihrem Unternehmen bereits eine Kundendatei führen, dürfte das in der Praxis fast nie der Fall sein. Demnach sind auch schon kleinere Unternehmen, Arztpraxen und Agenturen etc. zur Führung eines Verarbeitungsverzeichnisses verpflichtet, mithin sehr wahrscheinlich auch Ihr Unternehmen.
Für die Erstellung eines Verarbeitungsverzeichnisses müssen Sie vorab die einzelnen Datenverarbeitungsprozesse bzgl. der Verarbeitung von personenbezogenen Daten für die Dokumentation identifizieren. Im Sinne des Datenschutzes ist eine Verarbeitungstätigkeit ein abgrenzbarer Prozess, in dem personenbezogene Daten verarbeitet werden und auf die Erreichung eines Zwecks (ggf. auch mehreren Zwecken) verfolgt. Beispielsweise sind das Betreiben einer Webseite, die Emailarchivierung als auch die Lohnabrechnung solche Verarbeitungstätigkeiten, so dass diese in ein Verarbeitungsverzeichnis aufzunehmen sind.
Sinnvoll erscheint es daher, sich mit Hilfe eines Organigramms die Struktur des Unternehmens genauer anzuschauen. So können z.B. einzelne Bereiche, wie etwa die Buchhaltung, das Marketing und die IT etc., abgegrenzt werden und so die dortigen Verarbeitungstätigkeiten herauszufinden.
Der konkrete Aufbau eines Verarbeitungsverzeichnisses richtet sich nach Art. 30 DS-GVO. Danach muss das Verarbeitungsverzeichnis mindestens bestimmte Informationen enthalten. Vereinfacht dargestellt, handelt es sich hierbei um folgende Mindestangaben:
Die Erstellung eines Verfahrensverzeichnis ist vor allem dann mit Schwierigkeiten und einem sehr hohen Arbeitsaufwand verbunden, wenn der Überblick über die Datenverarbeitung im Unternehmen fehlt oder nicht bekannt ist, welche Rechtsgrundlagen und Speicherfristen anzuwenden sind.
Aus unserer täglichen Beratungspraxis als Rechtsanwälte und externe Datenschutzbeauftragte sind wir mit dieser Herausforderung bestens vertraut. Aus diesem Grund haben wir für alle Datenschutzbeauftragte und Datenschutzumsetzer eine Software entwickelt, mit dem einfach und zeitsparend, eine lückenlose, DS-GVO-konforme Dokumentation über alle Verfahren erstellt werden kann.
Anhand eines integrierten Assistenten können Sie DSGVO-konforme Verfahrensverzeichnisse mit nur wenigen Klicks erstellen und verwalten. Wählen Sie dazu einfach aus über 100 vorausgefüllten Vorlagen zu typischen Verarbeitungstätigkeiten im Unternehmen/Praxis/Verein - vorausgefüllt mit allen erforderlichen Angaben, wie z.B. Zweckbeschreibungen, Datenkategorien und insbesondere der jeweils einschlägigen Rechtsgrundlagen und Löschfristen. Zudem werden die Hintergründe und Zusammenhänge jeder Vorlage in einem Video von einem Rechtsanwalt erklärt.
Je nach Unternehmensbereich oder Branche können Sie dazu aus vorformulierten Verfahrensdokumentationen wählen. Für die schnelle Umsetzung finden Sie außerdem eine Vorauswahl an allgemeinen Vorlagen, die mehrere Verarbeitungstätigkeiten nach einem Zweck bündelt. Zur Erfüllung der Mindestanforderungen decken Sie damit die wichtigsten Datenverarbeitungen ab, die nahezu in jedem Unternehmen vorkommen und sparen wertvolle Zeit.
Alle Vorlagen sind vom Rechtsanwalt erstellt und geprüft. Dabei wurden Verfahrensabläufe zu Grunde gelegt, wie sie oft und typischerweise in der Praxis vorkommen. Wie bei allen Vorlagen und Arbeitshilfen obliegt es dem Anwender zu überprüfen, ob die Vorlagen zu den eigenen Verarbeitungen passen oder ob im konkreten Einzelfall Anpassungen vorzunehmen sind. Dieses Angebot beinhaltet keine Rechtsberatung.
Kontaktieren Sie mich direkt telefonisch unter 0201 85796979 oder schreiben mir eine E-Mail an [email protected] Auf Wunsch stellen wir gerne eine kostenfrei Demoversion zur Verfügung.
WEITERE BLOGARTIKEL
ÜBER UNS
Das LUTOP Datenschutz Institut hat sich auf hochwertige Beratungsangebote, Praxislösungen und Ausbildungen im Bereich Datenschutz spezialisiert. Zum Team gehören neben externen Datenschutzbeauftragten und spezialisierten Rechtsanwälten z.B. auch Marketing- und IT-Experten, die das Thema Datenschutz in allen Facetten abdecken.
Mit unserer Erfahrung helfen wir Ihnen dabei, den Datenschutz kostengünstig und effizient mit eigenen Mitarbeitern zu organisieren oder als externer Datenschutzbeauftragter ein lukratives Business zu betreiben. Unsere Datenschutzkanzlei beantwortet hierzu auch komplexe Fragen und unterstützt Sie, Prozesse so sicher und einfach wie möglich zu gestalten.
Besuchen Sie uns auf www.lutop-akademie.de
Über den Autor
Christian Kohl
MBA Business Consulting
Experte für Datenschutz
Christian Kohl berät Unternehmen zum richtigen Umgang mit personenbezogenen Daten und der Umsetzung der DSGVO. Als freier Mitarbeiter ist er Experte für Datenschutz & IT-Sicherheit bei der LUTOP Datenschutz Akademie.
Sie haben Fragen?
Mo. - Fr. | 08:00 bis 18:00 Uhr |
Sa. & So. | 11:00 bis 14:00 Uhr |
LUTOP
Datenschutz-Pakete
aus der Praxis für die Praxis von spezialisierten Rechtsanwälten, IT- und Marketing-Experten
Ⓒ 2022 LUTOP Datenschutz Akademie GmbH