DSGVO: Verfahrensverzeichnis leicht gemacht

920x3405af95331cd1a8

Die DSGVO schreibt dem Online-Händler zahlreiche Pflichten gegenüber seinen Kunden vor, deren Daten er erhebt und verarbeitet/verarbeiten lässt. Damit die Einhaltung dieser Pflichten für den Händler nachweisbar und für die zuständigen Aufsichtsbehörden überprüfbar ist, wird in der DSGVO die Führung eines Verzeichnisses der Verarbeitungstätigkeiten vorgesehen (Art. 30 DSGVO).

Was ist das Verzeichnis genau?

Die DSGVO stellt keine konkrete Anforderung an die Form und die Struktur des Verzeichnisses. Dieses muss lediglich gem. Art. 30 Abs. 3 DSGVO schriftlich oder in elektronischer Form geführt werden.

Auf jeden Fall soll dem Verzeichnis unmissverständlich zu entnehmen sein, welche Verarbeitungstätigkeiten der Händler in Bezug auf die personenbezogenen Daten seiner Kunden selbst oder mittels eines weisungsgebundenen Auftragsverarbeiters ausführt. Diese Verarbeitungstätigkeiten können z.B. in der Erhebung und (Übertragung zur) Bearbeitung der Daten zu Werbungszwecken, deren Auswertung zur Webanalyse, der Übertragung an Newsletter-Dienstleister usw. bestehen. Im Verzeichnis muss also ab der Erhebung jeder Umgang mit personenbezogenen Daten vermerkt und verfolgbar sein.

Es dient letztendlich der Überprüfbarkeit der Einhaltung der Datenschutzgrundsätze gemäß DSGVO im eigenen Unternehmen (für die datenschutzrechtlichen Grundsätze, siehe https://shop.trustedshops.com/de/blog/detail/sCategory/17/blogArticle/266).

Wer muss ein solches Verzeichnis führen?

Die DSGVO bezweckt eine ausnahmslose Durchsetzbarkeit der Auskunftsrechte und versucht deswegen, alle möglichen Lücken, die das verhindern können, zu schließen. So wird die Pflicht zur Verzeichnisführung laut Art. 30 DSGVO nicht nur dem Online-Händler (dem Verantwortlichen) und ggf. dessen Vertreter, sondern auch dem Auftragsverarbeiter und ggf. dessen Vertreter auferlegt. Jeder hat also eigenverantwortlich ein Verzeichnis zu führen.

Das Verzeichnis ist nicht nur für einen Online-Shop zu erstellen. Betreiben Sie mehrere Online-Shops bzw. verkaufen Sie zusätzlich noch auf weiteren Verkaufsplattformen? Dann ist auch nicht für jeden einzelnen Online-Shop oder Verkaufsplattform ein Verzeichnis anzulegen. Es ist ein Verzeichnis für die Gesamtheit aller Verarbeitungstätigkeiten im Unternehmen zu führen (z.B. Für Verarbeitungsprozesse in der Buchhaltung, Personalabteilung, usw.)

Was muss das Verzeichnis enthalten?

Die Angaben, die das Verzeichnis enthalten muss, unterscheiden sich leicht zwischen Verantwortlichem und Auftragsverarbeiter. Im vorliegenden Beitrag behandeln wir das ausführlichere und für Sie als Online-Händler relevantere Verzeichnis des Verantwortlichen.

Art. 30 Abs. 1 DSGVO bestimmt, dass das durch den Verantwortlichen oder dessen Vertreter geführte Verzeichnis folgende Angaben enthalten muss:

  • Namen und Kontaktdaten des/der Verantwortlichen, seines/ihres Vertreters und ggf. eines etwaigen Datenschutzbeauftragten: Dies dient der Identifizierung des Verantwortlichen bzw. seines Ansprechpartners.
  • den Verarbeitungszweck: Wofür werden personenbezogene Daten erhoben und verarbeitet? Die Auflistung ermöglicht eine Überprüfung, ob der jeweilige Verarbeitungsvorgang auch rechtmäßig, d.h. auf einer Rechtsgrundlage beruht (z.B. Einwilligung). Beispielsweise zählt dazu die Verarbeitung von personenbezogenen Daten zum Zwecke der Werbung, Statistik, Webanalyse etc.
  • eine Beschreibung der Kategorien betroffener Personen und personenbezogener Daten: Betroffene Personen sind z.B. Kunden oder Mitarbeiter. Personenbezogene Daten sind im Unternehmen z.B. die Kontaktdaten der Kunden). Eine abstrakte Beschreibung der Kategorien ist dabei ausreichend.
  • die Kategorien von Empfängern der Daten im In- und Ausland sowie in internationalen Organisationen: Für wen sind die erhobenen Daten bestimmt und wo befindet sich diese Person? Darunter fallen z.B. Dienstleister im Rahmen einer Auftragsverarbeitung.
  • ggf. Datenübermittlungen an ein Drittland oder eine internationale Organisation unter Angabe des Landes/der Organisation sowie Dokumentierung geeigneter Garantien bei Datenübermittlungen gem. Art. 49 Abs. 1 Unterabsatz. 2 DSGVO:
    Wird das Drittland benannt, in das personenbezogene Daten übermittelt werden? Werden etwaige Garantien angegeben, die ein angemessenes Datenschutzniveau gewährleisten, sofern kein Angemessenheitsbeschlusses der Europäischen Kommission vorliegt? Weitere Einzelheiten dazu finden Sie hier.
  • die vorgesehenen Löschungsfristen der Datenkategorien und eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Verarbeitungssicherheit gem. Art. 32 Abs. 1 DSGVO:
    Werden Löschfristen genannt? Als Löschfristen zählen z.B. „Nach Widerruf der Einwilligung“ oder „Nach Ende der Nutzung und Zweckfortfall“. Werden für die jeweiligen Verarbeitungstätigkeiten die technisch organisatorischen Maßnahmen (TOM) aufgelistet? Darunter fallen u.a. die verwendete Verschlüsselungssoftware, die Verarbeitung von pseudonymisierten und/oder anonymisierten Daten sowie Verträge zur Auftragsdatenverarbeitung.

Der Begriff der Verarbeitungstätigkeit ist in der DSGVO nicht näher bestimmt. Lediglich in Art. 4 Nr. 2 DSGVO wird der Begriff Verarbeitung definiert. Danach versteht man unter […]

„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“.

Die Verarbeitungstätigkeit kann daher als eine Bündelung von einzelnen Verarbeitungsschritten verstanden werden, die den gleichen Zweck verfolgen.

Die einzelnen Verarbeitungsprozesse sollten bei der Erstellung eines Verzeichnisses nicht wahllos ohne Zusammenhang aufgeführt werden. Es empfiehlt sich, die Verarbeitungsschritte transparent und übersichtlich für die einzelnen Abteilungen/Bereiche des Unternehmens zusammenzufassen.

Halten Sie das Verzeichnis außerdem "Up to Date": Kommen neue Verarbeitungsprozesse im Unternehmen hinzu, ist das Verzeichnis zu aktualisieren. Dabei sollte bei Änderungen immer eine Sicherungskopie des vorherigen Verzeichnisstands vorgenommen werden.

Wem muss das Verzeichnis vorgelegt werden?

Die DSGVO sieht nicht vor, dass das Verzeichnis selbst dem Betroffenen vorgelegt wird.
Eine Verpflichtung zur Darstellung im Online-Shop (z.B. innerhalb der Datenschutzerklärung) oder der Gewährung von Einsicht gegenüber Dritten (z.B. Kunden, Mitbewerber) besteht nicht.

Art. 30 Abs. 4 DSGVO verpflichtet den Verantwortlichen allerdings, das Verzeichnis der Aufsichtsbehörde auf ihre Anfrage hin zur Verfügung zu stellen, also genau wie es geführt wird. Dies dient der einfacheren und schnelleren Kontrolle der Verarbeitungstätigkeiten durch die Aufsichtsbehörde und somit schließlich der effektiven Durchsetzbarkeit der DSGVO.

Gibt es Ausnahmen von der Verzeichnispflicht?

Art. 30 Abs. 5  DSGVO befreit kleinere Unternehmen und Einrichtungen (mit weniger als 250 Mitarbeitern) grundsätzlich von der Verzeichnisführungspflicht bei der Datenerhebung- und Verarbeitung. Dies gilt jedoch nicht, wenn die Verarbeitung ein Risiko für die Rechte und Freiheiten der Betroffenen birgt, die Verarbeitung nicht nur gelegentlich (sondern regelmäßig) erfolgt oder es sich um eine Verarbeitung besonderer Datenkategorien (Art. 9 Abs. 1 DSGVO) oder personenbezogener Daten über Verurteilungen und Straftaten (Art. 10 DSGVO) handelt. In einem Online-Shop dürften letztere zwei Fälle seltener vorkommen (wenn auch nicht komplett auszuschließen). Stattdessen wird üblicherweise eine regelmäßige Datenverarbeitung von Kundendaten stattfinden, die zudem häufig ein starkes Eingriffspotenzial in Bezug auf Rechte und Freiheiten der Betroffenen birgt (Offenlegung von Namen, Anschriften, Telefonnummern usw.). Im Endeffekt trifft die Verzeichnispflicht also auch die kleinen Online-Händler, die Kundendaten verarbeiten (lassen).

Unser Tipp

Überprüfen Sie bereits im Vorfeld, welche (oder ob alle) der vorgeschriebenen Angaben in ihrem Verzeichnis enthalten sein müssen und sammeln Sie die entsprechenden Informationen. Anhand dieser können Sie sodann ein Verzeichnis erstellen. Unser DSGVO Manager bietet Ihnen den technischen Rahmen, in übersichtlicher und transparenter Weise das Verzeichnis anzulegen. Bereits vorausgefüllte Muster für Verarbeitungstätigkeiten (z.B. Newsletterversand, Tracking-Tools) runden das Ganze ab. Anhand dieser können Sie bereits jetzt ein Verzeichnis erstellen und schon im Voraus anfangen zu führen. So ersparen Sie sich den Stress, dies in aller Eile erst nach dem Inkrafttreten der DSGVO tun zu müssen.

Über den Autor


20170713_Portraets_Konstatin_ANE

Konstantin Schröter ist Master of Laws (LL.M.) und als Legal Consultant bei der Trusted Shops GmbH tätig. Bachelorstudium des Wirtschaftsrechts an der Technischen Universität Dresden sowie Masterstudium an der Technischen Hochschule Köln. Im Rahmen seiner Tätigkeit betreute er den Audit-Prozess DACH und war für die Vorabprüfung kritischer Geschäftsmodelle bezüglich der Einhaltung der Trusted Shops Qualitätskriterien zuständig. Konstantin Schröter betreut die Trusted Shops Abmahnschutzpakete und setzt sich intensiv mit rechtlichen Fragestellungen des E-Commerce auseinander.

Kommentar schreiben

Bitte geben Sie die Zahlenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.
Kommentare

Insgesamt bringt der Artikel ein wenig mehr Transparenz in die Verzeichnispflicht. Noch schöner wäre es, wenn es ein Muster gäbe für eine Musterfirma. Das dies individuell und nicht 1:1 auf ein anderes Unternehmen umsetzbar ist, ist offenkundig. Dennoch wäre ein Beispiel sehr praktisch.

Von Claus Mühr | 14.05.2018 13:38

Sehr geehrter Her Mühr, vielen Dank für Ihren Kommentar. In unserem DSGVO-Manager stehen Ihnen für die gängigen Tools und Verarbeitungsprozesse Muster zur Verfügung. Weitere Informationen zum DSGVO-Manager finden Sie unter dem folgenden Link: https://shop.trustedshops.com/de/dsgvo Viele Grüße Konstantin Schröter

Von Konstantin Schröter | 22.08.2018 12:39

Der Artikel war sehr interessant und so leicht wie möglich geschrieben. Ich konnte schon mal einen Verzeichnis anfangen. Jetzt suche ich verzweifelt nach dem DSGVO Manager. Wo finde ich ihm?

Von Iohana J. | 13.06.2018 12:22

Hallo Iohana J., der DSGVO-Manager steht Ihnen nach entsprechender Paket-Buchung in Ihrem Kundenkonto zur Verfügung. Viele Grüße Konstantin Schröter

Von Konstantin Schröter | 22.08.2018 12:36

Dieser Text ist nicht viel durchsichtiger als das Gesetz selber. Beispielformulierungen für die Datenschutzerklärung fände ich hilfreicher.
Zwei dicke Punkte sind mir unverständlich:
1. Das Datenschutzverzeichnis ist mir völlig unklar (ich brauche als selbstvermarktende One-Woman-Show wahrscheinlich keins anzulegen). Trotzdem wüsste ich aus reiner Neugier gern, ob dieses Verzeichnis fortlaufend für jeden Vorgang mit allen betroffenen Daten geführt werden muss oder ob das eine statische Beschreibung dessen ist, was mit den Daten angefangen wird.

2. Was heißt "Verarbeitung" genau? Ohne die erhobenen Daten für Rechnung, Versand und ggf. juristische Auseinandersetzungen zu nutzen, kann ich ja wohl kaum einen funktionierenden Shop betreiben. Muss ich die Kunden um Erlaubnis dafür bitten? Das wäre doch absurd! Weitere Nutzung dieser Daten betreibe ich nicht, weil ich das schlicht nicht brauche. Wenn meine Kunden den Newsletter wollen, erlauben sie mir das per Email. Muss in Zukunft die Email der Kunden den ganzen gesetzlichen Rattenschwanztext enthalten, damit auch klar ist, dass ihr Begehren eine Erlaubnis ist???

Von Marieluise Ritter | 14.06.2018 18:45

Hallo Frau Ritter, vielen Dank für Ihren Kommentar. Die in diesem Blogbeitrag angesprochenen Punkte betreffen das zu führende Verfahrensverzeichnis der Verarbeitungstätigkeiten im Online-Shop. Das Verzeichnis ist nicht Ihren Kunden vorzulegen, sondern nur auf Nachfrage der Aufsichtsbehörde. Davon zu unterscheiden sind die Informationspflichten (Art. 12 ff. DSGVO), die Sie in Fom einer Datenschutzerklärung in Ihrem Online-Auftritt vorhalten sollten. Beispielsformulierungen für Ihre Datenschutzerklärung, die den gesetzlichen Vorgaben entsprechen, können Sie schnell und leicht mit unserem Rechtstextgenerator formulieren. Dort finden Sie auch weitere Mustertexte für Einwilligungserklärungen. Haben Sie bitte Verständnis dafür, dass wir angesichts der breiten Fülle an diversen Unternehmen, Datenerhebungs- und Verarbeitungsarten nicht eine erschöpfende Liste mit Musterformulierungen in unseren Beiträgen anbieten können. Dies ist auch nicht der Sinn dahinter. Viele Grüße Konstantin Schröter

Von Konstantin Schröter | 22.08.2018 10:58

Beitrag teilen

Blogsuche

Passende Artikel

  • Abmahnschutz PREMIUM
    Der  Trusted Shops Abmahnschutz PREMIUM bietet Ihnen immer aktuelle und abmahnsichere Rechtstexte für bis zu fünf Internetpräsenzen – egal ob eigener Shop, eBay oder Amazon. Zusätzliche...

    49,90 €

    pro Monat

Passende Artikel

  • DSGVO-Schutz
    Die Datenschutzgrundverordnung bringt jede Menge Veränderungen für Ihr Unternehmen mit sich. Der DSGVO-Schutz bietet bewährte Werkzeuge zur einfachen und schnellen Umsetzung der DSGVO zum...

    958,80 €