Über die DSGVO
und Ihre Pflichten

Was ist die DSGVO?

Mit der europäischen Datenschutz-Grundverordnung (DSGVO oder EU-DSGVO) ist am 24. Mai 2016 eine Verordnung der Europäischen Union in Kraft getreten, die die Regeln zur Verarbeitung personenbezogener Daten EU-weit vereinheitlicht, aber zum Teil auch deutlich verschärft. Primäres Ziel der DSGVO ist es, den Schutz der persönlichen Daten sicherzustellen. Das war vor allem auch in Hinblick auf die Digitalisierung ein längst überfälliges Unterfangen.

Die DSGVO ist nach Ende der zweijährigen Übergangszeit ab dem 25. Mai 2018 für alle Unternehmen, Institutionen, Behörden, Vereine und sonstige Organisationseinheiten in der Europäischen Union verpflichtend. Mit dem europäischen Datenschutzgesetz kommen auf jede Organisation zum Teil recht komplexe Neuerungen zu. Dazu zählen beispielsweise Dokumentations-, Auskunfts- und Nachweispflichten, die von den Aufsichtsbehörden jederzeit kontrolliert werden können. Bei Verstößen werden empfindliche Strafen verhängt, die im Maximum 20 Millionen Euro bzw. vier Prozent des weltweiten Jahresumsatzes betragen können.

Die DSGVO wird Pflicht in:

0Wochen0Tage0Stunden0Minuten

Was ist die DSGVO?

Mit der europäischen Datenschutz-Grundverordnung (DSGVO oder EU-DSGVO) ist am 24. Mai 2016 eine Verordnung der Europäischen Union in Kraft getreten, die die Regeln zur Verarbeitung personenbezogener Daten EU-weit vereinheitlicht, aber zum Teil auch deutlich verschärft. Primäres Ziel der DSGVO ist es, den Schutz der persönlichen Daten sicherzustellen. Das war vor allem auch in Hinblick auf die Digitalisierung ein längst überfälliges Unterfangen.

Die DSGVO ist nach Ende der zweijährigen Übergangszeit ab dem 25. Mai 2018 für alle Unternehmen, Institutionen, Behörden, Vereine und sonstige Organisationseinheiten in der Europäischen Union verpflichtend. Mit dem europäischen Datenschutzgesetz kommen auf jede Organisation zum Teil recht komplexe Neuerungen zu. Dazu zählen beispielsweise Dokumentations-, Auskunfts- und Nachweispflichten, die von den Aufsichtsbehörden jederzeit kontrolliert werden können. Bei Verstößen werden empfindliche Strafen verhängt, die im Maximum 20 Millionen Euro bzw. vier Prozent des weltweiten Jahresumsatzes betragen können.

Warum haben wir dsmsPro entwickelt?

Zu den ausdrücklichen Verpflichtungen für Unternehmen und alle anderen Organisationsformen gehört gemäß Artikel 30 der DSGVO ein schriftliches Verzeichnis von Verarbeitungstätigkeiten, das auch elektronisch geführt werden kann. In diesem Verzeichnis müssen sämtliche Verarbeitungstätigkeiten mit personenbezogenen Daten dokumentiert werden, die in einer Organisation oder von externen Dienstleistern durchgeführt werden. Ganz gleich, ob die Datenverarbeitung manuell oder automatisiert, auf Papier oder digital erfolgt. Das beginnt bereits bei der Besuchererfassung am Empfang, führt über die Kunden, Lieferanten und Mitarbeiter bis hin zur profanen Aktenvernichtung. Somit ist beinahe jede Abteilung von der DSGVO betroffen.

Mit dsmsPro haben wir eine Software entwickelt, mit der Sie Ihrer Pflicht zur Führung eines Verarbeitungsverzeichnisses rechtskonform nachkommen können. Neben der Verwaltung von Prozessen, Verfahrensweisen und IT-Systemen ermöglicht die Datenschutz-Management-Software auch die Erstellung von datenschutzrelevanten Dokumenten wie ADVs und NDAs.

Unabhängig von den gesetzlichen Vorschriften bietet dsmsPro Ihnen weitere nützliche Funktionen, die auf der ohnehin notwendigen Erfassung von Daten und Prozessen beruhen. Darunter ein Modul zum Business Process Modeling, mit dem einmal erfasste Geschäftsprozesse auf Knopfdruck grafisch dargestellt werden können.

Welche Daten muss ein Verzeichnis der Verarbeitungstätigkeiten umfassen?

Artikel 30 der DSGVO klärt auch darüber auf, welche Pflichtangaben in einem Verarbeitungsverzeichnis enthalten sein müssen. Darunter:

  • Name und Kontaktdaten des bzw. der Verantwortlichen
  • Zweck der Verarbeitung
  • Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
  • Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
  • Gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation
  • Wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
  • Wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten (gemäß Artikel 32 Absatz 1 DSGVO)

Die Angaben im Verarbeitungsverzeichnis müssen allumfassend und aussagekräftig sein. Das bedeutet, dass sie umso detaillierter erfolgen müssen, je größer ein Unternehmen oder eine Organisation ist.

Da das Verzeichnis auch dazu dienen soll, dass Sie selbst sich einen Überblick darüber verschaffen, was in Ihrem Unternehmen oder Verein geschieht und ob es in der Form überhaupt geschehen darf, empfiehlt es sich das Verarbeitungsverzeichnis um zusätzliche Angaben zu erweitern. Darunter zum Beispiel konkrete Verarbeitungstätigkeiten gemäß Artikel 4 Absatz 2 DSGVO und die herangezogenen Rechtsgrundlagen gemäß Artikel 6.

Mit dsmsPro ist es kein Problem neben den Pflichtangaben weitere Daten in das Verarbeitungsverzeichnis aufzunehmen und Dokumente direkt zu verknüpfen.

Warum muss ich ein Verarbeitungsverzeichnis führen und welche Chancen ergeben sich daraus?

Das Führen des Verarbeitungsverzeichnisses ist eine ausgezeichnete Grundlage um notwendige Informationen in Hinblick auf die Dokumentations- und Rechenschaftspflichten zusammenzustellen und bereit zu halten. Darunter beispielsweise auch die Fülle an Einwilligungen zur Datenverarbeitung, die die DSGVO vorschreibt. Wer personenbezogene Daten erhebt und verarbeitet, ist nicht nur verpflichtet die Grundsätze für dessen Verarbeitung einzuhalten (Art. 5 Abs. 1 DSGVO), sondern dessen Einhaltung auch nachweisen zu können (Art. 5 Abs. 2 DSGVO).

Das Verarbeitungsverzeichnis ist für den Datenschutzbeauftragten ein wichtiges Hilfsmittel bei der Erfüllung seiner Aufgaben, er ist jedoch nicht für die Erstellung zuständig. Ohne eine aktuelle Dokumentation, wie sie mit dsmsPro möglich ist, können Sie die Betroffenheitsrechte nicht gewährleisten und auch Ihre datenschutzrechtliche Pflichterfüllung nicht gegenüber den Aufsichtsbehörden nachweisen. Als zentrales Instrument des Datenschutzrechts, macht es deshalb auch dann Sinn ein Verarbeitungsverzeichnis zu führen, wenn Unternehmen gemäß DSGVO dazu gar nicht verpflichtet sind.

Die Erfassung aller datenschutzrelevanten Geschäftsprozesse stellt für Unternehmen natürlich auch eine Chance da, indem sie die Gelegenheit nutzen können um alle Prozesse hinsichtlich ihrer Logik und Produktivität zu analysieren. Dank unseres Moduls zum Business Process Modeling kann das Verarbeitungsverzeichnis gleichzeitig zur unternehmerischen Abbildung der Prozesse genutzt werden, so dass Sie sich doppelte Arbeit ersparen können.

Muss jedes Unternehmen ein Verarbeitungsverzeichnis führen?

Grundsätzlich ist erst einmal jedes Unternehmen und jede andere Einrichtung zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten verpflichtet. Die DSGVO sieht lediglich dann eine Entbindung von dieser Pflicht vor, wenn das Unternehmen weniger als 250 Mitarbeiter beschäftigt. Allerdings wird diese Ausnahme nur dann gewährt, wenn die Datenverarbeitung keinerlei Risiko für die Rechte und Freiheiten der betroffenen Personen birgt. Auch wenn die Verarbeitung nicht nur gelegentlich erfolgt oder eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 der DSGVO erfolgt, muss ein Verzeichnis auch bei weniger als 250 Mitarbeitern geführt werden. Die Ausnahmen von der Ausnahme sorgt dafür, dass in unserer digitalen Welt tatsächlich kaum ein Unternehmen davon entbunden wird, ein Verzeichnis der Verarbeitungstätigkeiten zu führen.