Die Datenschutzgrundverordnung ("DSGVO") wird am 25.05.2018 wirksam und ist dann auch von allen Online-Händlern innerhalb der EU zu beachten. Die DSGVO bringt insbesondere deutlich verschärfte Dokumentationspflichten für alle Verantwortlichen mit sich. Hierzu gehört u. a. auch die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten Verantwortlicher gem. Artikel 30 Abs. 1 DSGVO. Die IT-Recht Kanzlei hat dies zum Anlass genommen, ein elektronisch konfigurierbares Verarbeitungsverzeichnis für Online-Händler zu entwickeln und stellt dieses ihren Mandanten ohne weitere Kosten zur Verfügung.
Inhaltsverzeichnis
Hintergrund
Gemäß Art. 30 Abs. 1 DSGVO hat jeder Verantwortliche und gegebenenfalls sein Vertreter ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen zu führen. Dieses Verzeichnis muss sämtliche folgenden Angaben enthalten:
- den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
- die Zwecke der Verarbeitung;
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
- wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
Exkurs: Sind kleinere Online-Händler von der Pflicht ausgenommen, ein Verarbeitungsverzeichnis nach Art. 30 DSGVO zu führen?
Art. 30 Absatz 5 DSGVO scheint dem kleineren und mittelgroßen Online-Händler - das heißt den Online-Händler, der weniger als 250 Mitarbeiter beschäftigt - von der Pflicht zu befreien, ein Verarbeitungsverzeichnis zu führen. Leider wird aber im gleichen Absatz 5 ausgeführt, dass diese Befreiung nur dann gilt, wenn die Verarbeitung von personenbezogenen Daten nur gelegentlich erfolgt. Die Verarbeitung von personenbezogenen Daten fällt aber bei einem Online-Händler regelmäßig an, da er bei jeder Bestellung Bestelldaten des Kunden erhebt und weiterverarbeitet. Damit gilt die Ausnahmeregelung des Art. 30 Abs. 5 DSGVO grundsätzlich nicht für Online-Händler, auch wenn sie nur als Kleinunternehmer mit weniger als 17.000 Euro Jahresumsatz tätig sind. Auch der kleine Online-Händler muss daher ein Verarbeitungsverzeichnis führen.
Zweck, Form und Inhalt des Verzeichnisses
Der Zweck ergibt sich aus dem Erwägungsgrund (ErwGr.) 82 zu Art. 30 DSGVO. Hiernach soll der Verantwortliche „zum Nachweis der Einhaltung dieser Verordnung“ ein Verzeichnis der Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen. Das Verarbeitungsverzeichnis dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen dabei, gemäß Art. 5 Abs. 2 Datenschutzgrundverordnung (DSGVO) nachzuweisen, dass die Vorgaben aus der DSGVO eingehalten werden (Rechenschaftspflicht). Das Verarbeitungsverzeichnis ist ein internes Dokument, das nur der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden muss. Es ist schriftlich zu führen. Dies kann aber auch in einem elektronischen Format erfolgen. Die Aufsichtsbehörde kann das Format der Vorlage (schriftlich in Papierform oder elektronisch in Textform) eigenständig festlegen und daher auch bei einem im elektronischen Format geführten Verzeichnis den Ausdruck verlangen. Das Verarbeitungsverzeichnis muss auf dem jeweils aktuellen Stand sein. Es ist durch den sogenannten Verantwortlichen zu führen. Der Verantwortliche ist daher der zentrale Ansprechpartner der Aufsichtsbehörden.
Individuell konfigurierbares Verzeichnis
Das Verarbeitungsverzeichnis betrifft sämtliche ganz oder teilweise automatisierte Verarbeitungen sowie nichtautomatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Für jede einzelne Verarbeitungstätigkeit ist eine Beschreibung nach Maßgabe des Art. 30 DSGVO anzufertigen.
Das von der IT-Recht Kanzlei bereitgestellte Verarbeitungsverzeichnis ist auf die Anforderungen eines kleineren oder mittelgroßen Online-Handels-Betriebes zugeschnitten und berücksichtigt derzeit unter anderem folgende für den Online-Handel besonders relevante Verarbeitungstätigkeiten:
- Lohnabrechnung für Beschäftigte
- Abwicklung von Bestellungen
- Einrichtung und Unterhaltung eines Nutzerkontos
- Werbung
- Lieferung von Waren
- Zahlungsabwicklung
- Bonitätsprüfung
- Analyse des Nutzerverhaltens
Mithilfe eines elektronischen Textkonfigurators, den wir über unser Mandantenportal bereitstellen, kann für jede der vorgenannten Verarbeitungstätigkeiten ein entsprechender Eintrag für das Verzeichnis erstellt werden.
Sie interessieren sich für die Schutzpakete der IT-Recht Kanzlei? Nähere Informationen finden Sie hier.
Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
weitere News
7 Kommentare
wird es zu dem Generator noch Erläuterungen bzgl. der möglichen Angaben geben? Leider sind nicht alle Punkte selbsterklärend. Natürlich könnte ich auch eine E-Mail verfassen, aber ich denke, es wäre durchaus auch für andere Kunden hilfreich, wenn die einzelnen Punkte beispielhaft erklärt werden würden. Vielen Dank!
https://www.it-recht-kanzlei.de/Portal/uebersicht_muster.php
wann können wir mit dem Verarbeitungsverzeichnis ungefähr rechnen? Liebe Grüße Katja
wann können wir mit dem Verarbeitungsverzeichnis-Generator rechnen?
Liebe Grüße
Evelin