IT-Recht Kanzlei
Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de

Erster uns bekannter Fall: Datenschutzaufsichtsbehörde fordert Verarbeitungsverzeichnis an

15.11.2018, 10:56 Uhr | Lesezeit: 3 min
Erster uns bekannter Fall: Datenschutzaufsichtsbehörde  fordert Verarbeitungsverzeichnis an

Die IT-Recht Kanzlei erhielt kürzlich Kenntnis von einem Fall, bei dem eine Datenschutzaufsichtsbehörde von einem Online-Händler das Verzeichnis über die Verarbeitungstätigkeit gemäß Art. 30 DSGVO anfordert. Hierbei handelt es sich um den ersten uns bekannten Fall dieser Art nach Wirksamwerden der DSGVO im Mai dieses Jahres. Der Fall zeigt aber, dass die Pflicht zur Führung des Verarbeitungsverzeichnisses keinesfalls vernachlässigt werden sollte.

Sachverhalt

Im konkreten Fall fordert die Landesbeauftragte für den Datenschutz Niedersachsen das Verarbeitungsverzeichnis von einem Online-Händler an. Der Anforderung des Verarbeitungsverzeichnisses war eine Korrespondenz über eine angebliche Datenpanne im Betrieb des Online-Händlers vorausgegangen. Im Zusammenhang mit der Anforderung verweist die Datenschutzaufsichtsbehörde auf das Kurzpapier 1 der Datenschutzkonferenz unter diesem Link.

Darin wird die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten im Sinne des Art. 30 DSGVO näher erläutert.

Unter anderem befindet sich darin auch eine Empfehlung der DSK mit folgendem Wortlaut:

"Es ist ratsam, rechtzeitig im eigenen Interesse ein vollständiges Verzeichnis von Verarbeitungstätigkeiten zu erstellen. Das Verzeichnis von Verarbeitungstätigkeiten dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen dabei, gemäß Art. 5 Abs. 2 DS-GVO nachzuweisen, dass die Vorgaben aus der DS-GVO eingehalten werden (Rechenschaftspflicht). Die Übergangszeit bis zur Geltung der DS-GVO am 25.05.2018 sollte dazu genutzt werden, die bereits bestehende Verfahrensdokumentation an die neuen Anforderungen anzupassen."

Kostenfreies Bewertungssystem SHOPVOTE

Rechtlicher Hintergrund

Gemäß Art. 30 Abs. 1 DSGVO hat jeder Verantwortliche und gegebenenfalls sein Vertreter ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen zu führen. Dieses Verzeichnis muss sämtliche folgenden Angaben enthalten:

  • den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  • die Zwecke der Verarbeitung;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Kostenlos für Mandanten: Elektronisch konfigurierbares Musterverzeichnis

Die IT-Recht Kanzlei stellt ihren Mandanten im Rahmen ihrer Schutzpakete ein elektronisch konfigurierbares Musterverzeichnis zur Verfügung – und dies ohne zusätzliche Kosten. Das von der IT-Recht Kanzlei bereitgestellte Verarbeitungsverzeichnis ist auf die Anforderungen eines kleineren oder mittelgroßen Online-Handels-Betriebes zugeschnitten und berücksichtigt derzeit unter anderem folgende für den Online-Handel besonders relevante Verarbeitungstätigkeiten:

  • Lohnabrechnung für Beschäftigte
  • Abwicklung von Bestellungen
  • Einrichtung und Unterhaltung eines Nutzerkontos
  • Werbung
  • Lieferung von Waren
  • Zahlungsabwicklung
  • Bonitätsprüfung
  • Analyse des Nutzerverhaltens

Mithilfe eines elektronischen Textkonfigurators, den wir über unser Mandantenportal bereitstellen, kann für jede der vorgenannten Verarbeitungstätigkeiten ein entsprechender Eintrag für das Verzeichnis erstellt werden.

Sie interessieren sich für die Schutzpakete der IT-Recht Kanzlei? Nähere Informationen finden Sie hier.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.


Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

weitere News

OVG Niedersachsen: Pauschale Abfrage des Geburtsdatums in Online-Shops unzulässig
(28.03.2024, 12:24 Uhr)
OVG Niedersachsen: Pauschale Abfrage des Geburtsdatums in Online-Shops unzulässig
FAQ: Schadensersatzpflicht von Händlern bei Datenschutzverstößen
(15.03.2024, 08:17 Uhr)
FAQ: Schadensersatzpflicht von Händlern bei Datenschutzverstößen
EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
(16.02.2024, 10:48 Uhr)
EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
(05.01.2024, 13:23 Uhr)
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
EuGH: Keine Spürbarkeitsschwelle für immateriellen Schadensersatz nach DSGVO
(02.01.2024, 09:42 Uhr)
EuGH: Keine Spürbarkeitsschwelle für immateriellen Schadensersatz nach DSGVO
Hamburger Datenschutzbeauftragter: Gemeinsame Verantwortlichkeit nach DSGVO bei geteilter Kundendatenbank im Unternehmensverbund
(04.12.2023, 08:13 Uhr)
Hamburger Datenschutzbeauftragter: Gemeinsame Verantwortlichkeit nach DSGVO bei geteilter Kundendatenbank im Unternehmensverbund
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!

Kontakt:

IT-Recht Kanzlei

Alter Messeplatz 2
80339 München

Tel.: +49 (0)89 / 130 1433 - 0
Fax: +49 (0)89 / 130 1433 - 60

E-Mail: info@it-recht-kanzlei.de

© 2004-2024 · IT-Recht Kanzlei