Anleitung 4: Wie war das jetzt mit diesen Verzeichnissen?
(noch 6 Tage bis zum Inkrafttreten der DSGVO.)
Nun sind es nur noch sechs Tage. Könnt Ihr die Spannung noch ertragen?
Ab jetzt müssen wir leider die liebevoll strenge Hand walten lassen: Wer sich noch immer nicht mit den Anforderungen der Datenschutzgrundverordnung auseinandergesetzt hat, dem sollten jetzt dicke Schweißperlen auf die Stirn treten! Am 25.05. ist es soweit.
Aber natürlich wollen wir bis dahin noch die letzten Fragen klären. Darum wird nicht lang gefackelt, hier die Frage:
Welche Verzeichnisse müssen denn nun angelegt werden und wie?
Es sollte mittlerweile jedem klar sein, dass die Datenschutzerklärung überarbeitet werden sollte und was darin stehen muss. Neben der Datenschutzerklärung, die auf der Website für jeden Nutzer leicht auffindbar sein muss, wird es ab dem 25.05. auch nötig, ein sogenanntes – Achtung Zungenbrecher- Verzeichnis der Verarbeitungstätigkeiten anzulegen.
Dieses Verzeichnis dient der Kontrolle durch Aufsichtsbehörden, aber auch der Selbstkontrolle.
Das Verzeichnis dokumentiert schriftlich, welche Daten, in welcher Form, warum und von wem verarbeitet werden (Hierbei sind auch Daten der Mitarbeiter zu beachten!).
Geht das noch konkreter?
Na klar doch!
In tabellarischer Form werden dokumentiert:
- Name und Kontaktdaten des Verantwortlichen/ des Auftragsverarbeiters
- Kontaktdaten des Datenschutzbeauftragten (wenn vorhanden)
- der konkrete Zweck der Verarbeitung
- eine Beschreibung der Kategorien betroffenen Personen und deren Daten (das können sein Kundenstammdaten [Name, Adresse, Telefonnummer], Bestellungen [Anzahl, Größe, Farbe])
- die Kategorie der Empfänger, denen die verarbeiteten Daten offengelegt werden und/oder wurden (auch Empfänger in Drittländern)
- Übermittlungen an Drittländer
- den Zeitpunkt der Löschung verarbeiteter Daten
- technische und organisatorische Maßnahmen zur Sicherheit der verarbeiteten Daten
Wars das? Nicht ganz:
Auch ein Prozesshandbuch wird ab dem 25.05. notwendig. Das Handbuch garantiert und dokumentiert die Sicherheit der Verarbeitung. Darin müssen folgende Fragen beantwortet werden:
- Wie werden die Daten pseudonymisiert und verschlüsselt?
- Welche Deinste und Systeme werden für die Verarbeitung genutzt?
- Können die Systeme und Dienste Sicherheit garantieren?
- Wie werden die betroffenen Personen informiert?
- Wie wird auf Nachfragen der Betroffenen reagiert?
- Wie sieht der Löschvorgang der Daten aus?
- Wie wird im Falle eines Datenlecks agiert?
- Wie werden Mitarbeiter und Verantwortliche zum Datenschutz aufgeklärt und geschutz?
Es gibt – Achtung: noch größerer Zungenbrecher- die sogenannte Datenschutz-Folgeabschätzung. Die müssen aber nur beispielsweise Ärzte anlegen. Denn hier geht es um besonders empfindliche und schutzbedürftige Daten. Darunter gelten Angaben wie Sexualität, Religionszugehörigkeit, ethnische Zugehörigkeit, politische Einstellungen oder Krankheiten.
Noch ausführlicher haben wir alle wichtigen Informationen in unserem Beitrag „Die DSGVO auf einen Blick“ zusammengefasst. Schaut doch mal vorbei.
Die Kanzlei-KTR haben auf ihrer Seite außerdem schöne Mustervorlagen für Verzeichnisse. Dort erhaltet Ihr auch rechtliche Beratung und Hilfe.