Vom Überblick zum Verarbeitungsverzeichnis
avatar
Klaudia
Klaudias Website Icon Klaudia auf Mastodon Icon Supportseite Icon Auphonic Stunden spenden Icon Patreon Icon

DISCLAIMER: Dieser Podcast stellt keine Rechtsberatung dar.

Links zu dieser Episode:
Vienna Writer’s Blog & Podcast
DSGVO auf EUR-Lex

Vorlage für Dein Verarbeitungsverzeichnis
Hinweis: Ich bin keine Juristin. Die Vorlage habe ich nach bestem Wissen und Gewissen anhand der Vorlage der WKO für Dich erstellt, die Verwendung erfolgt auf eigene Verantwortung.
Vorlage Verarbeitungsverzeichnis (.doc)
Vorlage Verarbeitungsverzeichnis (.pages)

Notizen:
In dieser Episode geht’s um das Verarbeitungsverzeichnis.
Möglicherweise die längste Episode der ganzen Miniserie – zumindest der längste Arbeitsschritt. 😉

Warum solltest Du Dich mit dem Thema beschäftigen?
Zumindest das Überblick verschaffen – Deine Dateninventur – kann Dir keiner abnehmen. Nur Du kennst Deine Prozesse, Deine Tools/Software, die Du verwendest. Ein Anwalt kann zwar die Dokumente für Dich abnicken, aber was Du alles an Software laufen hast, kann er oder sie nicht wissen. Und die Verantwortung trägst Du am Ende auch selber. Du musst also in jedem Fall selbst tätig werden.

Wenn Du ein Unternehmen hast, einen Blog oder Podcast, wirst Du ziemlich sicher mit personenbezogenen Daten anderer Menschen in Berührung kommen. Allerdings ist es, wie gesagt, in den meisten Fällen weniger dramatisch, als gedacht.

Was ist die Grundlage?
Artikel 30 DSGVO „Verzeichnis von Verarbeitungstätigkeiten“

Wie kannst Du das umsetzen?
Verschaffe Dir erst einmal einen Überblick.
Mit welchen Daten hast Du es überhaupt zu tun? Welche Software benutzt Du, die mit diesen Daten in Berührung kommt? Wo hast Du offline noch Daten liegen?

Vorschlag: Leg Dir ein Blatt Papier bereit, auf dem Du alles notierst, was Du beim Kundenprojekt, dem Veröffentlichen einer Podcastepisode, etc. tust und welche personenbezogenen Daten dort ggf. anfallen und zu welchem Zweck Du sie brauchst.

Was personenbezogene Daten im Detail sind, kannst Du in Folge 02 »Was sind personenbezogene Daten?« noch einmal nachhören.

Was voraussichtlich am ehesten auftauchen könnte:

  • Name
  • Online-Kennung (Nickname / Twitter Handle / Spielername / …)
  • Geburtsdatum
  • Adresse – zum Beispiel auf Rechnungen oder für Gewinnspiele
  • eMailadresse
  • IP Adresse
  • Telefonnummer
  • Fotos von Personen
  • Standortdaten
  • Ton- oder Videoaufnahme

    • Diese Liste ist keinesfalls vollständig.

    Das oben genannte Blatt Papier ist Dein Arbeitspapier und es ist völlig normal, dass Dir später noch Sachen einfallen oder dass im Laufe der Zeit etwas hinzukommt oder wegfällt.

    Wo personenbezogene Daten üblicherweise anfallen:

  • eMails (Gmail, GMX, eigener Server, Dein Mailprogramm am Rechner und am Telefon)
  • Chatprogramme (z.B. WhatsApp, Skype)
  • Datentransfer (z.B. WeTransfer)
  • Cloudlösungen (z.B. Dropbox, machst Du Backups in der Cloud, wie z.B. iCloudbackup Deines Telefons, Adressbuchs, etc.?)
  • Buchhaltung (Cloudlösung? auch: Buchhalter, Steuerberater, Finanzamt)
  • CRM System (Cloudlösung?)
  • Zeitaufzeichnung (App? Gerät?)
  • Kalender (App? Oder z.B. Google Calendar und Sync mit Deinem Computer?)
  • Stimmaufzeichnung
  • Fotos von Menschen
  • Website / Blog (z.B. Analytics, Webfonts, externe Inhalte / Werbung, IP Adressen, die bei Deinem Hoster geloggt werden)
  • Suchfunktion auf der Website
  • Blogkommentare
  • Doodle
  • Social Media (z.B. Gewinnspiele auf FB?)
  • Nutzerdaten (z.B. Hast Du einen Login-Bereich auf Deiner Website?)
  • Visitenkarten (Lädst Du die z.B. auch noch als Scans in z.B. Evernote hoch?)
  • Adressbuch (z.B. in der Cloud bei Google oder Apple? Benutz Du z.B. WhatsApp, das zwingend Zugriff auf Dein Adressbuch hat und all Deine Kontakte an FB weitergibt?)
  • Chatbot (z.B. auf welche Plattform sammelt der Bot welche Daten für Dich?)

    • Vielleicht hast Du Deinen ersten Entwurf in einer halben Stunde erledigt. Es kann aber auch einige Stunden oder ein paar Tage dauern. Alles ist ok, Hauptsache ist, Du hast am Ende einen guten Überblick! Denn den kann Dir niemand abnehmen, auch nicht für viel Geld.

    Vom Überblick zum Verarbeitungsverzeichnis
    Wenn Du Dein Arbeitspapier zusammen hast, kannst Du jetzt ein Verarbeitungsverzeichnis daraus machen. “Verarbeitung” bezieht sich dabei darauf, was Du mit den personenbezogenen Daten anderer natürlicher Personen machst. Und wir gehen jetzt im ersten Anlauf davon aus, dass Du der/die Verantwortliche bis, dass es sich also um Dein Business, Deinen Blog oder Podcast handelt.

    Eine Vorlage für Dein Verarbeitungsverzeichnis
    Es gibt eine Vorlage der österreichischen Wirtschaftskammer, die grundsätzlich nicht schlecht ist – für kleine Unternehmen und Selbständige finde ich sie allerdings sehr erschlagend. Das geht m.E. etwas einfacher, wobei die Tabelle in der Vorlage eine gute Idee ist.
    Daher habe ich – ausgehend von der WKO Vorlage – eine eigene Vorlage für Dich erstellt. Hinweis: Ich bin keine Juristin. Die Vorlage habe ich nach bestem Wissen und Gewissen erstellt, die Verwendung erfolgt auf eigene Verantwortung.
    -> Vorlage Verarbeitungsverzeichnis für Verantwortliche
    
Vorlage Verarbeitungsverzeichnis (.doc)
    
Vorlage Verarbeitungsverzeichnis (.pages)

    Beispiel
    
Datenverarbeitung = eMail

    Zweck = Geschäftskommunikation

    Rechtsgrundlage = Vertragserfüllung
    Daten, die anfallen = Name, eMailadresse und was inhaltlich geschickt wird (z.B. Footer Informationen wie Firmensitz, etc. Deiner Kontakte)
    
Gibt es schon einen Auftragsverarbeitungsvertrag mit dem Mailprovider (Google, GMX, Dein eigener Hoster, etc.)? ja/nein

    Die Liste musst Du mal machen – da fallen dann alle anderen Dinge, die Du brauchst, automatisch hinten raus.

    Wenn Du die einmal hast, ist das Schlimmste geschafft!

    ***
    Ich bin für individuelle Beratungen buchbar, kontaktier mich einfach.
    eMail: klaudia [at] zotzmann-koch.com
    PGP Key: F773 1363 1BCF BA36 646D 6996 6E45 F677 E1EA 1663

    Trag Dich unten in meinen Datenschutz-Newsletter ein, wenn ich Dich auf dem Laufenden halten soll, wie es mit der DSGVO weitergeht, was sich durch Rechtsprechungen im Laufe der kommenden Monate ändert und was es mit der kommenden ePrivacy-Verordnung auf sich hat.

    Unterstützt den Datenschutz Podcast

    Unterstützen

    Wenn Du mich und den Datenschutz Podcast unterstützen möchtest, findest Du alle Möglichkeiten auf der Supportseite. 🙂