Auf­grund der großen Nach­frage unser Kun­den und Inter­essen­ten zum The­ma DSGVO und Verze­ich­nis der Ver­fahren hat SEC4YOU im Novem­ber 2017 einen DSGVO Work­shop ange­boten, der speziell die Umset­zung von DSGVO Maß­nah­men beleuchtet und betrof­fe­nen Unternehmen die Chance bietet direkt am Work­shop mit den Maß­nah­men zu begin­nen bzw. das eigene Vorhaben mit Vor­la­gen und Entschei­dungs­grund­la­gen zu unter­stützen.

Der Work­shop richtete sich an öffentliche und pri­vate Unternehmen aller Branchen die per­so­n­en­be­zo­gene Dat­en ver­ar­beit­en bzw. spe­ich­ern. Ent­ge­gen der weit ver­bre­it­eten Mei­n­ung, dass die DSGVO nur für große Unternehmen gilt, wurde diese Frage sowohl von Work­shop Leit­er Man­fred Scholz, als auch von zwei anwe­senden Recht­san­wältin­nen abschließend beant­wortet:

Die DSGVO bet­rifft alle Unternehmen die per­so­n­en­be­zo­gene Dat­en ver­ar­beit­en — unab­hängig von der Unternehmensgröße und Rechts­form — ab dem 25.5.2018!

Nach der Erk­lärung der His­to­rie der Daten­schutz-Grund­verord­nung und der Posi­tion von Öster­re­ich bei der europäis­chen Abstim­mung, einigten sich die Teil­nehmer auf die wesentlichen Bestandteile der DSGVO Umset­zung. Als wichtige Auf­gabe inner­halb der DSGVO Maß­nah­men wurde die in Öster­re­ich neue Anforderung der Führung eines Verze­ich­nis der Ver­ar­beitungstätigkeit­en the­ma­tisiert.

Verzeichnis der Verarbeitungstätigkeiten mittels Software?

Ent­ge­gen der Mei­n­ung einzel­ner Anbi­eter sollte ein Soft­ware-Tool zur Führung des Verze­ich­niss­es der Ver­ar­beitungstätigkeit­en nicht im Vorder­grund eines DSGVO Pro­jek­tes ste­hen, da die ini­tiale Erstel­lung bei kleinen und mit­tel­großen Unternehmen in der Regel in Excel oder Word erfol­gen kann. In großen Unternehmen, oder wenn die Pflegeaufwände für die Führung und regelmäßige Kon­trolle bzw. Über­ar­beitung des Verze­ich­niss­es durch mehrere Mitar­beit­er oder in verteil­ten Unternehmens erfol­gen soll, kann die Ein­führung eines speziellen Tools auch Kosten sparen.

Das Verzeichnis der Verarbeitungstätigkeiten — DSGVO VV

Wie im deutschen Daten­schutz als “Ver­fahrensverze­ich­nis” oder “Ver­fahren­süber­sicht” seit über 10 Jahren üblich, fordert nun die DSGVO eben­falls die Führung eines Verze­ich­nis der Ver­ar­beitungstätigkeit­en von Unternehmen. Experten sehen hier einen Unter­schied zum DSG 2000 bei dem in Öster­re­ich eine grund­sät­zliche Meldepflicht bes­timmter Date­nan­wen­dun­gen im Daten­schutzreg­is­ter erforder­lich ist (bis Mai 2018) bzw. war (ab Mai 2018).

Wichtiges Merk­mal eines Ver­fahrensverze­ich­niss­es ist, dass die daten­ver­ar­bei­t­en­den Unternehmen­sprozesse erfasst wer­den und nicht die Anwen­dun­gen selb­st.

=> Was gehört daher nicht in ein Verze­ich­nis der Ver­ar­beitungstätigkeit­en? z.B. MS CRM, Excel oder Exchange

Die wichti­gen Inhalte des Verze­ich­nis der Ver­ar­beitungstätigkeit­en wur­den zusam­menge­fasst.

In der Rolle des Ver­ant­wortlichen ist zu erfassen:

  • Name und Kon­tak­t­dat­en des Ver­ant­wortlichen, ggfls. gemein­sam Ver­ant­wortlichen oder eines Vertreters (EU)
  • Name und Kon­tak­t­dat­en des Daten­schutzbeauf­tragten
  • Zweck der Ver­ar­beitung
  • Kat­e­gorien betrof­fen­er Per­so­n­en
  • Kat­e­gorien per­so­n­en­be­zo­gen­er Dat­en
  • Kat­e­gorien von Empfängern
  • Über­mit­tlung in Drit­tlän­der (ggfls. Garantien)
  • Löschfris­ten
  • All­ge­meine Beschrei­bung der tech­nis­chen und organ­isatorischen Maß­nah­men (TOM gemäß Art 32 Abs.1)

Hinge­gen haben Auf­tragsver­ar­beit­er fol­gende Erfas­sungspflicht­en:

  • Name und Kon­tak­t­dat­en des Ver­ant­wortlichen, ggfls. gemein­sam Ver­ant­wortlichen oder eines Vertreters (EU)
  • Name und Kon­tak­t­dat­en des Daten­schutzbeauf­tragten
  • Kat­e­gorien von Ver­ar­beitun­gen
  • Über­mit­tlung in Drit­tlän­der (ggfls. Garantien)
  • All­ge­meine Beschrei­bung der tech­nis­chen und organ­isatorischen Maß­nah­men (TOM gemäß Art 32 Abs.1)

Im let­zte Teil des Work­shops wur­den exem­plar­ische Beispiele präsen­tiert, wie ein Ver­fahrensverze­ich­nis aussieht und das SEC4YOU Tem­plate V1.1 des Verze­ich­nis der Ver­ar­beitungstätigkeit­en vorgestellt.

Inhalte des Workshops

Dies ist die Aufze­ich­nung der Work­shopin­halte ohne Ton.

Weitere Beiträge zum Thema Datenschutz / DSGVO