1. Verarbeitungstätigkeiten – was ist das?
Verarbeitungstätigkeiten sind die Tätigkeiten, die Du als Einzelunternehmer ausführst, um personenbezogene Daten zu verarbeiten. Dazu gehören unter anderem das Erfassen, Speichern, Analysieren und Verwenden von persönlichen Informationen, wie IP-Adressen, E-Mails, die Adresse und weiteren Daten Deiner Kunden. Diese Tätigkeiten sind wichtig, um Dein Geschäft zu betreiben und Deinen Kunden den bestmöglichen Service zu bieten.
2. Warum ein Verzeichnis von Verarbeitungstätigkeiten?
Es ist laut Bundesdatenschutzgesetz (BDSG) und der DSGVO notwendig, dass Du über ein Verzeichnis der Verarbeitungstätigkeiten verfügst. Dieses Verzeichnis muss alle Arten von Verarbeitungstätigkeiten enthalten, die Du ausführst. Dies sind der Provider, bei dem Du Deine Website betreibst und der Deine E-Mail-Postfächer verwaltet, Deine Buchhaltungssoftware u.s.w. Es ist eine klare Aufstellung der Art der Datenverarbeitung und der damit verbundenen Rechte und Pflichten. So kannst Du rechtlich konform agieren und gleichzeitig sicherstellen, dass keine personenbezogenen Daten missbraucht werden. Das Verzeichnis der Verarbeitungstätigkeiten sollte detailliert alle Formalitäten enthalten, die für den Umgang mit personengebundene Daten notwendig sind. Zudem sollten alle technischen Maßnahmen aufgelistet werden, mit denen Du gewährleistest, dass die Sicherheit personengebundener Daten gewährleistet ist – etwa Verschlüsselungsmaßnahmen oder Zugangskontrollen.
Ein solches Verzeichnis ist daher eine wichtige Grundlage für jedes Einzelunternehmen im Rahmen des Datenschutzes.
2. Was muss im Verzeichnis der Verarbeitungstätigkeiten stehen?
Ein Verzeichnis der Verarbeitungstätigkeiten sollte Folgendes enthalten:
- Eine Beschreibung der jeweiligen Verarbeitungstätigkeit
- Die Kategorien personenbezogener Daten, die verarbeitet werden
- Die Rechtsgrundlage für die Verarbeitung
- Die Zwecke der Verarbeitung
- Die Empfänger oder Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben werden (Name des Unternehmens und Anschrift)
- Ob ein Auftragsverarbeitungs-Vertrag abgeschlossen wurde
3. Woher bekomme ich ein solches Verzeichnis?
Im Prinzip reicht es, wenn Du Dir eine Tabelle anlegst, in der Du alle relevanten Informationen sammelst. Hierzu gibt es im Netz einige Vorlagen. Zum Beispiel beim Bayerisches Landesamt für Datenschutzaufsicht ein Muster 9: Online-Shop – Verzeichnis von Verarbeitungstätigkeiten
4. Muss ich das Verzeichnis regelmäßig aktualisieren?
Das Verzeichnis hilft Dir bei der Überwachung Deiner Verarbeitungstätigkeiten sowie bei der Dokumentation Deiner Compliance mit den datenschutzrechtlichen Bestimmungen. Also solltest Du es natürlich im Blick behalten und regelmäßig auf den neuesten Stand bringen.
5. Was, wenn ich kein Verzeichnis führe?
Führst Du, auch als Einzelunternehmer, kein Verzeichnis Deiner Verarbeitungstätigkeiten und/oder stellt dieses der Behörde nicht vollständig bereit, droht nach Art. 83 Abs. 4 a EU-DSGVO ein Bußgeld. Allerdings haben die Behörden nach Erwägungsgrund 13 „bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen.“ Soll heißen, dass sicherlich kein Bußgeld bei Einzelunternehmern verhängt würde.
Aber sicherlich ist es einfach besser, eins zu haben und vorzeigen zu können.