Auf­grund der gro­ßen Nach­fra­ge unser Kun­den und Inter­es­sen­ten zum The­ma DSGVO und Ver­zeich­nis der Ver­fah­ren hat SEC4YOU im Novem­ber 2017 einen DSGVO Work­shop ange­bo­ten, der spe­zi­ell die Umset­zung von DSGVO Maß­nah­men beleuch­tet und betrof­fe­nen Unter­neh­men die Chan­ce bie­tet direkt am Work­shop mit den Maß­nah­men zu begin­nen bzw. das eige­ne Vor­ha­ben mit Vor­la­gen und Ent­schei­dungs­grund­la­gen zu unterstützen.

Der Work­shop rich­te­te sich an öffent­li­che und pri­va­te Unter­neh­men aller Bran­chen die per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten bzw. spei­chern. Ent­ge­gen der weit ver­brei­te­ten Mei­nung, dass die DSGVO nur für gro­ße Unter­neh­men gilt, wur­de die­se Fra­ge sowohl von Work­shop Lei­ter Man­fred Scholz, als auch von zwei anwe­sen­den Rechts­an­wäl­tin­nen abschlie­ßend beantwortet:

Die DSGVO betrifft alle Unter­neh­men die per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten — unab­hän­gig von der Unter­neh­mens­grö­ße und Rechts­form — ab dem 25.5.2018!

Nach der Erklä­rung der His­to­rie der Daten­schutz-Grund­ver­ord­nung und der Posi­ti­on von Öster­reich bei der euro­päi­schen Abstim­mung, einig­ten sich die Teil­neh­mer auf die wesent­li­chen Bestand­tei­le der DSGVO Umset­zung. Als wich­ti­ge Auf­ga­be inner­halb der DSGVO Maß­nah­men wur­de die in Öster­reich neue Anfor­de­rung der Füh­rung eines Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten thematisiert.

Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten mit­tels Software?

Ent­ge­gen der Mei­nung ein­zel­ner Anbie­ter soll­te ein Soft­ware-Tool zur Füh­rung des Ver­zeich­nis­ses der Ver­ar­bei­tungs­tä­tig­kei­ten nicht im Vor­der­grund eines DSGVO Pro­jek­tes ste­hen, da die initia­le Erstel­lung bei klei­nen und mit­tel­gro­ßen Unter­neh­men in der Regel in Excel oder Word erfol­gen kann. In gro­ßen Unter­neh­men, oder wenn die Pfle­ge­auf­wän­de für die Füh­rung und regel­mä­ßi­ge Kon­trol­le bzw. Über­ar­bei­tung des Ver­zeich­nis­ses durch meh­re­re Mit­ar­bei­ter oder in ver­teil­ten Unter­neh­mens erfol­gen soll, kann die Ein­füh­rung eines spe­zi­el­len Tools auch Kos­ten sparen.

Das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten — DSGVO VV

Wie im deut­schen Daten­schutz als “Ver­fah­rens­ver­zeich­nis” oder “Ver­fah­rens­über­sicht” seit über 10 Jah­ren üblich, for­dert nun die DSGVO eben­falls die Füh­rung eines Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten von Unter­neh­men. Exper­ten sehen hier einen Unter­schied zum DSG 2000 bei dem in Öster­reich eine grund­sätz­li­che Mel­de­pflicht bestimm­ter Daten­an­wen­dun­gen im Daten­schutz­re­gis­ter erfor­der­lich ist (bis Mai 2018) bzw. war (ab Mai 2018).

Wich­ti­ges Merk­mal eines Ver­fah­rens­ver­zeich­nis­ses ist, dass die daten­ver­ar­bei­ten­den Unter­neh­mens­pro­zes­se erfasst wer­den und nicht die Anwen­dun­gen selbst.

=> Was gehört daher nicht in ein Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten? z.B. MS CRM, Excel oder Exchange

Die wich­ti­gen Inhal­te des Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten wur­den zusammengefasst.

In der Rol­le des Ver­ant­wort­li­chen ist zu erfassen:

  • Name und Kon­takt­da­ten des Ver­ant­wort­li­chen, ggfls. gemein­sam Ver­ant­wort­li­chen oder eines Ver­tre­ters (EU)
  • Name und Kon­takt­da­ten des Datenschutzbeauftragten
  • Zweck der Verarbeitung
  • Kate­go­rien betrof­fe­ner Personen
  • Kate­go­rien per­so­nen­be­zo­ge­ner Daten
  • Kate­go­rien von Empfängern
  • Über­mitt­lung in Dritt­län­der (ggfls. Garantien)
  • Lösch­fris­ten
  • All­ge­mei­ne Beschrei­bung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM gemäß Art 32 Abs.1)

Hin­ge­gen haben Auf­trags­ver­ar­bei­ter fol­gen­de Erfassungspflichten:

  • Name und Kon­takt­da­ten des Ver­ant­wort­li­chen, ggfls. gemein­sam Ver­ant­wort­li­chen oder eines Ver­tre­ters (EU)
  • Name und Kon­takt­da­ten des Datenschutzbeauftragten
  • Kate­go­rien von Verarbeitungen
  • Über­mitt­lung in Dritt­län­der (ggfls. Garantien)
  • All­ge­mei­ne Beschrei­bung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM gemäß Art 32 Abs.1)

Im letz­te Teil des Work­shops wur­den exem­pla­ri­sche Bei­spie­le prä­sen­tiert, wie ein Ver­fah­rens­ver­zeich­nis aus­sieht und das SEC4YOU Tem­p­la­te V1.1 des Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten vorgestellt.

Inhal­te des Workshops

Dies ist die Auf­zeich­nung der Work­shop­in­hal­te ohne Ton.

Wei­te­re Bei­trä­ge zum The­ma Daten­schutz / DSGVO