Controlling 21
Dr. J. Schuhmacher
Hier erfahren Sie alles Wichtige über das zu erstellende VVT = das Verzeichnis von Verarbeitungstätigkeiten gemäß Artikel 30 der DS-GVO, resp. § 70 des deutschen Bundesdatenschutzgesetzes.
Selbständige, Handwerker, Kleinunternehmer und mittelständische Unternehmer (KMU) erfahren hier ganz konkret und verständlich, was Sie bezüglich der DS-GVO und des neuen Bundesdatenschutzgesetzes in das VVT (das Verzeichnis von Verarbeitungstätigkeiten) eintragen müssen - mit einfacher Einbauanleitung zum sofortigen kostenlosen Umsetzen.
Ein Inhaltsverzeichnis mit direkten Sprungmarken und Überblick über alle bei VVT - Verzeichnis von Verarbeitungstätigkeiten gemäß DS-GVO, Datenschutz-Grundverordnung und dem deutschen Bundesdatenschutzgesetz - behandelten Themenbereiche finden Sie als Pop-Up.
Bitte beachten Sie, dass die beiden anderen Anforderungen an Sie und Ihre Firma in zwei separaten Artikeln behandelt werden: Die Pflichten zur Veröffentlichung der allgemeinen Datenschutzhinweise z.B. im Internet - inklusive Hintergründe und Theorie. Das Wissen sollten Sie unbedingt bereits besitzen, da es hier aus Platzgründen nicht mehr wiederholt und erklärt wird. Hinzu kommt die schriftliche Auskunftserteilung an jeden einzeln anfragenden Auskunftssuchenden. Siehe den hierzu eigenständigen Artikel Auskunftspflicht.
Selbstverständlich steht es Ihnen frei, zahlreiche externe Helfer für das Erstellen des VVT (des Verzeichnisses von Verarbeitungstätigkeiten) zu beschäftigen. Rechtsanwälte, Beratungsfirmen, selbsternannte Datenschutzbeauftragte und Abzocker diversester Art bieten Ihnen für drei- bis vierstellige Summen gerne ein bereits ausgefülltes VVT an. Die Haftung dieser oberflächlichen und fast immer falschen Formulare bleibt jedoch komplett bei Ihnen.
Derzeit besteht für jeden - und sei die Firma oder Verein etc. noch so klein - die Pflicht, ein VVT zu führen. Alle geplanten und vorgesehenen Regelungen der DS-GVO für kleine Firmen laufen ins Leere.
Ist der Aufwand zur Erfüllung der Informationspflichten im Internet (öffentliche Datenschutzerklärung) bereits hoch, so werden Sie über die Aufwände für das eigene Verzeichnis von Verarbeitungstätigkeiten (VVT) für Ihre Firma staunen. Vergessen Sie alle beschwichtigenden Beteuerungen über die angeblich schnell auszufüllende einseitige Tabelle. Das ist blanker Unsinn. Denn in den Mustervorlagen wird immer auf weitere Unterlagen hingewiesen, die außerhalb der Tabelle zu führen sind. Und diese sind umfangreich sowie kompliziert. Wobei es sowieso nie einfach war, die vorgeschlagenen einseitigen Tabellen mit ihrer winzigen Schrift und zu schmalen Spalten wirklich sinnvoll zu nutzen. Letztendlich wird alles leichter in einem Fließ-Text-Dokument verwaltet, da es über die Jahre auch ausbaufähig sein muss.
Eigentlich sollte die DS-GVO Kosten einsparen. Aber bisher hat sie allein ein Deutschland bereits Milliarden gekostet. So errechnen Anwaltskanzleien den Aufwand für die Umsetzung der DS-GVO auf 7.500 Euro je Jahr. Bei rund 3,5 Mio. Firmen in der BRD sind dies über 26 Mrd. Euro allein für 2018. Aufgrund eigener Erfahrung mit der Materie halte ich diese Kosten für durchaus zutreffend.
In der DS-GVO finden sich einige sich scheinbar widersprechende Artikel, die jedoch im Detail etwas Unterschiedliches meinen. Dazu gehört auch Artikel 30. Das hier genannte interne Verzeichnis von Verarbeitungstätigkeiten (kurz VVT) müssen Sie als Firma intern führen. Es entspricht jedoch in vielen Punkten der im einleitenden Artikel erklärten öffentlich (z.B. im Internet) zu publizierenden Liste.
Artikel 30 legt fest, dass Firmen ein Verzeichnis aller Verarbeitungstätigkeiten anzulegen haben. - Nehmen Sie das nicht zu leicht. Die Ausnahmen scheinen auch für Kleinstfirmen und Selbständige nicht zu greifen.
Es entspricht inhaltlich auf den ersten Blick weitgehend den Angaben zu Ihrer Datenschutz-Bekanntmachung in Internet, ist jedoch bezüglich der Adressdaten der jeweiligen datenverarbeitenden Stellen genauer. - D.h. hier müssen Sie dann die Dritten / externen Dienstleister angeben und können sich nicht pauschal und vage hinter Geschäftsgeheimnissen verstecken.
Ferner müssen Sie alle datenschutzrelevanten Vorgänge prozessorientiert auflisten.
Das klingt jedoch komplizierter, als es ist. Eine Gruppe könnte z.B. Allgemeine Kundenverwaltung
lauten. Darunter fielen dann Prozesse wie: Auftragsbearbeitung, Buchhaltung, Inkasso
.
Die Obergruppe Customer-Relationship-Management
(früher nannte man so etwas verständlich Kundenpflege oder Kundenbetreuung) enthielte dann z.B.: Dokumentation und Verwaltung von Kundenbeziehungen, Marketing, Neukundenakquise, Kundenbindungsmaßnahmen, Kundenberatung, Beschwerdemanagement, Kündigungsprozess etc.
Auch die Details zur Datenerhebung müssen hier sehr genau sein.
So muss man u.a. bei Kunden wirklich alle erfassten personenbezogenen Daten angeben. Z.B.: Adressdaten, Kontaktkoordinaten (ggf. einschließlich. Telefon-, Fax- und E-Mail-Daten), Geburtsdatum, Vertragsdaten, Bonitätsdaten, Betreuungsinformationen, Kundenentwicklung, Produkt- bzw. Vertragsinteresse, Statistikdaten, Abrechnungs- und Leistungsdaten, Bankverbindung etc.
Falls Sie eigene Mitarbeiter beschäftigen kommen weitere Angaben hinzu, wie z.B.:
Beschäftigtendaten (z.B. Lohn und / oder Gehalt), Kontaktdaten der Angestellten, deren Bankverbindung, Sozialversicherungsdaten usw. Das Recht dazu besitzen Sie als Arbeitgeber gemäß § 26 BDSG (NEU) Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses.
Es ist bisher umstritten, ob Sie letztere Angaben zu Mitarbeitern sowie deren erhobenen Daten auch im Internet machen müssen. Persönlich halte ich das für überzogen, da Ihre Mitarbeiter mit Ihnen firmenintern kommunizieren und nicht mit oder über Ihrem Internet-Auftritt.
Aber es bleibt der Umstand, dass Sie in diesem internen VVT = Verzeichnis von Verarbeitungstätigkeiten wirklich alles angeben müssen, das im Zusammenhang mit personenbezogenen Daten steht.
Ferner sollten Sie diese datenschutzrechtlichen Dinge im / zusätzlich zum Arbeitsvertrag schriftlich regeln.
Das Verzeichnis von Verarbeitungstätigkeiten umfasst laut DS-GVO Artikel 30 im Detail:
(1) Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:
a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten.
Das sollte in etwa so aussehen: Verantwortliche/r: Herr / Frau, Titel, Vorname, Nachname, Straße, PLZ, Ort.
Derzeit ist noch umstritten, ob weitere Kontaktdaten hinzukommen müssen.
Ich empfehle zur beiderseitigen Arbeitserleichterung die eigene E-Mail-Adresse.
Von der Telefonnummer rate ich ab, da damit bereits Missbrauch getrieben wurde. Sie sind nicht in der Lage, einen Anrufer mit Sicherheit zu identifizieren. D.h. jeder kann sich als Mitarbeiter der Aufsichtsbehörde ausgeben. Wenn Sie dann Personendaten am Telefon den Falschen preisgeben, haben Sie bereits eine schwere Datenschutzverletzung begangen.
Einen Datenschutzbeauftragten benötigen Sie in Deutschland gemäß Bundesdatenschutzgesetz NEU § 38 Datenschutzbeauftragte nichtöffentlicher Stellen nur: soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
Damit sind 10 Büroangestellte gemeint, die sich nur um Datenverarbeitung kümmern, keine Außendienstmitarbeiter, Handwerker etc.
Zudem müssen Sie folgende Punkte angeben:
b) Die Zwecke der Verarbeitung;
c) Eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
d) Die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
e) Gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
f) Wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
g) Wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
(2) Fordert in etwa Dasselbe für Auftragsverarbeiter
(3) Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.
(4) Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung. - Gemeint ist eine schriftliche offizielle Anfrage Ihrer Landesbehörde oder des Bundesdatenschutzbeauftragten - kein dubioses Telefonat einer nicht identifizierbaren Person. Bestehen Sie unbedingt auf Schriftform und überprüfen Sie die Forderungen, Adressen, unterzeichnenden Personen.
(5) Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt.
Für viele kleine Firmen (unter 250 Mitarbeiter) ließe sich nun trefflich über die Details (Risiko, gelegentlich) streiten. Aber das wird vermutlich erst vor Gericht ausgefochten.
Fakt ist laut EU-Auskunft derzeit: Jeder muss es ausfüllen.
Das BDSG NEU definiert dies ziemlich ähnlich in § 70 Verzeichnis von Verarbeitungstätigkeiten. (1) Der Verantwortliche hat ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten zu führen, die in seine Zuständigkeit fallen. Dieses Verzeichnis hat die folgenden Angaben zu enthalten: den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen sowie den Namen und die Kontaktdaten der oder des Datenschutzbeauftragten, die Zwecke der Verarbeitung, die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden sollen, eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten, gegebenenfalls die Verwendung von Profiling, gegebenenfalls die Kategorien von Übermittlungen personenbezogener Daten an Stellen in einem Drittstaat oder an eine internationale Organisation, Angaben über die Rechtsgrundlage der Verarbeitung, die vorgesehenen Fristen für die Löschung oder die Überprüfung der Erforderlichkeit der Speicherung der verschiedenen Kategorien personenbezogener Daten und eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 64.
Wer aufmerksam liest, erkennt die Unterschiede. U.a. fordert BDSG NEU auch die Rechtsgrundlagen der Datenerhebung. Vor allem entfällt das in der DS-GVO noch vage wenn möglich
. D.h. alles ist Pflicht.
Wer bei den Punkten der öffentlichen Informationspflichten z.B. im Internet (siehe Artikel DS-GVO) sehr sauber gearbeitet hat, kann diese direkt hier übernehmen.
Wer in der öffentlichen Liste etwas pauschaler argumentiert, um z.B. Geschäftsgeheimnisse zu wahren, muss jedoch in dieser firmeninternen Liste für die Aufsichtsbehörde in die Details gehen und etwas mehr Farbe bekennen.
Auch Firmen, welche Akten, CDs, DVS, Festplatten etc. für Sie vernichten, sind hier als Dritte aufzulisten, an welche Sie Daten weitergeben.
Aber jede Firma muss ihren eigenen Schutzbedarf analysieren. So ist die Lieferliste eines Pizza-Services sicherlich in Punkto Schutzbedarf als gering einzustufen, die medizinischen Daten von HIV-Patienten jedoch als hoch.
Für die Gefahrenermittlung resp. die Schutzbedarfsfeststellung im eigenen Betrieb wird zukünftig vermutlich das Standard-Datenschutzmodell an Bedeutung gewinnen. Die Universität Bielefeld hat ein Dokument zur Schutzbedarfsfeststellung veröffentlicht.
Wichtig bleibt: Der Verantwortliche stellt diese interne Liste = VVT gemäß europäischer DS-GVO der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.
- Das wäre die/der Landesdatenschutzbeauftrage Ihres Bundeslandes. BDSG NEU § 70 (4) regelt, dass das Verzeichnis von Verarbeitungstätigkeiten auf Aufforderung auch der oder dem Bundesbeauftragten zur Verfügung zu stellen
ist.
Nochmals: Händigen Sie dieses VVT = Verzeichnis von Verarbeitungstätigkeiten niemals an andere = Unbefugte weiter. Das geht niemand etwas an und gefährdet in falschen Händen sowohl Ihre Firma als evtl. auch die bei Ihnen gespeicherten Personendaten.
Kein VVT anzulegen ist zumindest eine Ordnungswidrigkeit. Also müssen Sie tätig werden.
Juristen und IT-Experten sowie Akademiker sollten sich bezüglich der VVT nicht allzu dumm oder unwissend stellen. Aber Handwerker und sonstiger kleine Unternehmer brauchen - zumindest am Anfang - keine Strafen zu befürchten, falls etwas nicht perfekt formuliert oder missverständlich ist.
Bisher wurde von offiziellen Stellen verlautbart, dass man zuerst beratend
zur baldigen Nachbesserung auffordern wird. D.h. ganz konkret: Sie müssen als Handwerker oder Selbständiger ohne IT- und Jura-Kenntnisse keine teuren externen (angeblichen) Fachkräfte dazu beauftragen. Es reicht auch hier einfaches Deutsch.
Höflichkeit und der Wille zu umgehenden Nachbesserung sollten Ihnen auf jeden Fall zu einem konstruktiven Kompromiss weiterhelfen.
Ein leeres Beispiel der GDD: Verzeichnis von Verarbeitungstätigkeiten = VVT (nicht immer verfügbar) - diverse weitere leere Beispiel-Formulare des VVT: Verzeichnis von Verarbeitungstätigkeiten des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit als PDF.
Für Ihre Fragen und Aufträge zum Datenschutz im Internet verwenden Sie bitte das Kontaktformular
Alle oben niedergeschriebenen Fakten können Sie in den folgenden Quellen nachprüfen. Deshalb werden sie als Belege angeführt, nicht nur für diejenigen, welche sich vertieft weiterbilden wollen.
VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES - vom 27. April 2016, zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (Text von Bedeutung für den EWR)
Vorsicht: direkt im Anschluss - unten dran - befindet sich RICHTLINIE (EU) 2016/680 DES EUROPÄISCHEN PARLAMENTS UND DES RATES, vom 27. April 2016, die Behörden betrifft. Letzterer ist für Firmen nicht gemeint.
Neues Bundesdatenschutzgesetzes (BDSG) - gültig ab 25.05.2018 (=Bundesdatenschutzgesetzes V2 - nicht immer funktioniert jeder Link.)
Neues Bundesdatenschutzgesetzes Einzelparagrafen (BDSG) - gültig ab 25.05.2018.
Bundesdatenschutzgesetzes (BDSG) NEU
Neues Bundesdatenschutzgesetzes (BDSG) - gültig ab 25.05.2018.
Neues BDSG § einzeln aufgelistet - Vorsicht: Privatanbieter
Handreichungen für kleine Unternehmen und Vereine - zahlreiche Muster für VVTs und Auskunftspflichten
VVT-Muster des bayerischen Landesdatenschutzbeauftragten
Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO der Datenschutzkonferenz.
Muster-Bogen 1 Verantwortlicher der Datenschutzkonferenz.
Muster-Bogen 2 Auftragsverarbeiter der Datenschutzkonferenz.
Kurzpapier Nr. 1 - Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DS-GVO der Datenschutzkonferenz.
Verzeichnis von Verarbeitungstätigkeiten - Verantwortlicher des Landesbeauftragten für den Datenschutz Niedersachsen.
Controlling21.de - Dr. J. Schuhmacher
Internet und Multimedia in Perfektion