Datenschutzrecht
26Aus meiner Datenbank generiere ich eine Excelliste mit personenbezogenen Daten, um z.B. einen oder mehrere Gesichtspunkte genauer zu analysieren. Was muss ich aus datenschutzrechtlicher Sicht bzgl. dieser Excel Datei tun/dokumentieren?
Diese Datenverarbeitung ist im Verarbeitungsverzeichnis anzuführen. Hierbei sind der Zweck der Verarbeitung, die Kategorien der betroffenen Personen und die Kategorien…
Brauche ich nur ein Verarbeitungsverzeichnis oder noch andere schriftliche Unterlagen/Nachweise?
Diese Frage ist so generalisiert nicht zu beantworten. Es kommt auf die folgenden Punkte an: Falls Sie personenbezogene Daten an…
Datenverarbeitungsverzeichnis und die Weitergabe von Daten an Steuerberater/Rechtsanwalt (Buchhaltung, Steuerabwicklung, etc)
Im Verarbeitungsverzeichnis sind unter anderem die Kategorien von Empfängern (Auftragsverarbeiter, andere Verantwortliche, sonstige Empfänger) anzugeben. Der Steuerberater wäre daher unter…
Die einzigen personenbezogenen Daten sind die der Mitarbeiter. Müssen wir trotzdem ein Verarbeitungsverzeichnis erstellen?
Ja, denn auch die personenbezogenen Daten von Mitarbeitern werden durch die DSGVO geschützt. Darüber hinaus werden nach der derzeitigen Rechtslage…
Eine Ausnahme von der Verzeichnisführung im Verarbeitungsverzeichnis besteht, wenn “die Verarbeitung nur gelegentlich erfolgt”. Was ist “gelegentlich”?
Der Begriff „gelegentlich“ ist in der DSGVO nicht näher erläutert. Gemeint dürften Verarbeitungen sein, die nur sporadisch, wenn gerade Gelegenheit…
Gibt es für die Dokumentation des Verarbeitungsverzeichnisses eine Formvorschrift?
Das Verarbeitungsverzeichnis ist schriftlich zu führen. Die DSGVO lässt auch ein elektronisches Verarbeitungsverzeichnis zu. Abgesehen davon sind in der DSGVO…
Ich notiere Gesundheitsdaten, Namen, Adressen und Telefonnummer von Patienten schriftlich auf Papier, nur die Buchhaltung und Rechnungen laufen über den PC. Wie soll das Datenverarbeitungsverzeichnis aussehen?
Hierbei sind mehrere Punkte zu beachten: Die DSGVO findet auch auf die analoge Verarbeitung personenbezogener Daten Anwendung, wenn diese einer…
Kann man das Datenanwendungsverzeichnis für mehrere Firmen gemeinsam erstellen?
Grundsätzlich ist jedes Unternehmen verpflichtet ein eigenes Verarbeitungsverzeichnis zu führen. Sind die Datenverarbeitungen jedoch in den Unternehmen zum Teil ident,…
Muss das Datenverarbeitungsverzeichnis öffentlich gemacht werden, oder reicht es dieses “griffbereit” zu haben?
Nein, das Verarbeitungsverzeichnis ist ein bloß „internes“ Dokument, das lediglich der Datenschutzbehörde vorgewiesen werden muss, wenn diese danach fragt.
Muss ich alle Quellen aufzeichnen woher ich Firmendaten (zB UST-ID Nummern) habe?
Im Verarbeitungsverzeichnis sind nicht alle Datenquellen aufzuzeichnen, allerdings muss im Rahmen der Informationspflichten bzw beim Auskunftsersuchen über die Herkunft der…
Muss ich als Auftragsverbeiter (IT-Dienstleister) pro Kunde ein Verfahrensverzeichnis führen oder reicht eines, wo ich die Datenzwecke, -kategorien, -typen allgemein erfasse?
Grundsätzlich muss zumindest pro Verantwortlichen ein eigenes Stammblatt geführt werden. Es gibt Meinungen in der Literatur, die bei Auftragsverarbeitern im Massengeschäft (Cloud…
Muss ich als Personaler jeden Bewerber in das Verarbeitungsverzeichnis schreiben?
Es ist nicht erforderlich, dass tatsächlich jeder einzelne Datensatz in das Verarbeitungsverzeichnis eingetragen wird. Dieses soll keine Datenbank mit allen…
Muss ich ein eigenes Verarbeitungsverzeichnis für Deutschland führen?
Nein. Aufgrund des Territorialitätsprinzips gilt für Unternehmen, die eine Niederlassung in Österreich haben das österreichische Datenschutzgesetz sowie die DSGVO. Ein…
Muss ich über jedes Mail mit Kundendaten ein Verarbeitungsverzeichnis-Protokoll verfassen?
Nein, es ist nicht jede einzelne tatsächlich durchgeführte Datenverarbeitung anzugeben. Das Verarbeitungsverzeichnis dient lediglich als Überblick über die im Unternehmen…
Muss man im Verarbeitungsverzeichnis auch den Ordner anführen, in dem die Rechnung von dem Kunden aufbewahrt wird mit Name Adresse etc.?
Nein! Das Verarbeitungsverzeichnis soll lediglich einen Überblick über die im Unternehmen vorhandenen Datenverarbeitungen bieten. Hierbei ist es nicht notwendig, dass…
Muss mein Outlooksystem, welches Kundendaten (Name, Tel, Anschrift) automatisch auf Handys synchronisiert, im Verarbeitungsverzeichnis verzeichnet werden?
Der genaue Vorgang ist nicht im Verarbeitungsverzeichnis anzugeben. Im Verarbeitungsverzeichnis müssen jedoch unter anderem die Kategorien von Empfängern (Auftragsverarbeiter und…
Müssen Aktivitäten (zB Newsletter “X” am “Y” etc.) im Verarbeitungsverzeichnis aufgezeichnet werden?
Nein, das Verarbeitungsverzeichnis soll einen allgemeinen Überblick über die im Unternehmen vorhandenen Datenverarbeitungen bieten. Hierfür ist der Verarbeitungszweck (zB Marketing…
Müssen Auftragsverarbeiter den Prozess des Verarbeitungsverzeichnisses auch dokumentieren oder reicht die Dokumentation im datenverarbeitenden Unternehmen?
Nein, auch der Auftragsverarbeiter muss ein Verzeichnis führen. Dieses unterscheidet sich jedoch im Umfang vom Verarbeitungsverzeichnis des Verantwortlichen, da der…
Müssen Hacker-Abwehr Daten (zB IP Adressen bei DDOS-Attacken) im Verarbeitungsverzeichnis protokolliert werden?
Auch eine IP-Adresse ist ein personenbezogenes Datum und unterliegt daher der DSGVO. Dass die IP-Adresse gespeichert wird ist daher im…
Müssen in einem EPU beide Verarbeitungsverzeichnisse (für Verantwortliche + Auftragsverarbeiter) von derselben Person geführt werden?
Ja, jedes Unternehmen kann für unterschiedliche personenbezogene Daten gleichzeitig Verantwortlicher und Auftragsverarbeiter sein. Ich bin beispielsweise als IT-Dienstleister Verantwortlicher im…
Soll man die IT Dokumentation in die Dokumentation im Verarbeitungsverzeichnis aufnehmen?
Im Verarbeitungsverzeichnis müssen allgemein die technisch-organisatorischen Maßnahmen beschrieben werden, die den Schutz der personenbezogenen Daten gewährleisten.
Wie funktioniert die Dokumentationspflicht im Verarbeitungsverzeichnis in Bezug auf elektronisch erfasste Dokumente (Geschäftsbriefe, Protokolle, etc.), die Texte und Daten beliebiger Art enthalten können?
Im Verarbeitungsverzeichnis sind der Zweck der Verarbeitung, die Kategorien der betroffenen Personen und die Kategorien der personenbezogenen Daten, die Kategorien…
Wie oft muss das Verarbeitungsverzeichnis aktualisiert werden oder nur muss es nur einmal erstellt werden?
Sollte sich in der Datenverarbeitung in Ihrem Unternehmen nichts ändern – beispielsweise keine neuen Datenverarbeitungen, Datenkategorien oder Empfänger hinzukommen -,…
Wie protokolliere ich die Löschung eines konkreten Empfängers aus einem Newsletterverteiler, ohne die Daten in der Protokollierung zu nennen (dort zu speichern)? Und was ist mit Sicherungsbackups, in denen die Daten (noch lange) enthalten sein werden?
Im Verarbeitungsverzeichnis ist lediglich die vorgesehene Frist für die Löschung zu protokollieren. Jeder einzelne Löschvorgang muss nicht verzeichnet werden. Das…
Wie protokolliert man alle Daten im Verarbeitungsverzeichnis?
Es ist nicht erforderlich, dass tatsächlich jeder einzelne Datensatz in das Verarbeitungsverzeichnis eingetragen wird. Dieses soll keine Datenbank mit allen…
Wie soll ein Verarbeitungsverzeichnis ausschauen und was gehört dort eingetragen?
Das Verarbeitungsverzeichnis muss folgende Informationen enthalten: Den Zweck der Verarbeitung, die Kategorien der betroffenen Personen und die Kategorien der personenbezogenen…