DATENSCHUTZ • AGB • COOKIES • IMPRESSUM
Datenschutzrecht
37
Wie soll ein Verarbeitungsverzeichnis ausschauen und was gehört dort eingetragen?
Das Verarbeitungsverzeichnis muss folgende Informationen enthalten: Den Zweck der Verarbeitung, die Kategorien der betroffenen Personen und die Kategorien der personenbezogenen…
Brauche ich nur ein Verarbeitungsverzeichnis oder noch andere schriftliche Unterlagen/Nachweise?
Diese Frage ist so generalisiert nicht zu beantworten. Es kommt auf die folgenden Punkte an: Falls Sie personenbezogene Daten an…
Müssen Aktivitäten (zB Newsletter “X” am “Y” etc.) im Verarbeitungsverzeichnis aufgezeichnet werden?
Nein, das Verarbeitungsverzeichnis soll einen allgemeinen Überblick über die im Unternehmen vorhandenen Datenverarbeitungen bieten. Hierfür ist der Verarbeitungszweck (zB Marketing…
Müssen Hacker-Abwehr Daten (zB IP Adressen bei DDOS-Attacken) im Verarbeitungsverzeichnis protokolliert werden?
Auch eine IP-Adresse ist ein personenbezogenes Datum und unterliegt daher der DSGVO. Dass die IP-Adresse gespeichert wird ist daher im…
Eine Ausnahme von der Verzeichnisführung im Verarbeitungsverzeichnis besteht, wenn “die Verarbeitung nur gelegentlich erfolgt”. Was ist “gelegentlich”?
Der Begriff „gelegentlich“ ist in der DSGVO nicht näher erläutert. Gemeint dürften Verarbeitungen sein, die nur sporadisch, wenn gerade Gelegenheit…
Soll man die IT Dokumentation in die Dokumentation im Verarbeitungsverzeichnis aufnehmen?
Im Verarbeitungsverzeichnis müssen allgemein die technisch-organisatorischen Maßnahmen beschrieben werden, die den Schutz der personenbezogenen Daten gewährleisten.
Wie protokolliert man alle Daten im Verarbeitungsverzeichnis?
Es ist nicht erforderlich, dass tatsächlich jeder einzelne Datensatz in das Verarbeitungsverzeichnis eingetragen wird. Dieses soll keine Datenbank mit allen…
Muss ich als Personaler jeden Bewerber in das Verarbeitungsverzeichnis schreiben?
Es ist nicht erforderlich, dass tatsächlich jeder einzelne Datensatz in das Verarbeitungsverzeichnis eingetragen wird. Dieses soll keine Datenbank mit allen…
Muss man im Verarbeitungsverzeichnis auch den Ordner anführen, in dem die Rechnung von dem Kunden aufbewahrt wird mit Name Adresse etc.?
Nein! Das Verarbeitungsverzeichnis soll lediglich einen Überblick über die im Unternehmen vorhandenen Datenverarbeitungen bieten. Hierbei ist es nicht notwendig, dass…
Müssen Auftragsverarbeiter den Prozess des Verarbeitungsverzeichnisses auch dokumentieren oder reicht die Dokumentation im datenverarbeitenden Unternehmen?
Nein, auch der Auftragsverarbeiter muss ein Verzeichnis führen. Dieses unterscheidet sich jedoch im Umfang vom Verarbeitungsverzeichnis des Verantwortlichen, da der…
Müssen in einem EPU beide Verarbeitungsverzeichnisse (für Verantwortliche + Auftragsverarbeiter) von derselben Person geführt werden?
Ja, jedes Unternehmen kann für unterschiedliche personenbezogene Daten gleichzeitig Verantwortlicher und Auftragsverarbeiter sein. Ich bin beispielsweise als IT-Dienstleister Verantwortlicher im…
Kann man das Datenanwendungsverzeichnis für mehrere Firmen gemeinsam erstellen?
Grundsätzlich ist jedes Unternehmen verpflichtet ein eigenes Verarbeitungsverzeichnis zu führen. Sind die Datenverarbeitungen jedoch in den Unternehmen zum Teil ident,…
Aus meiner Datenbank generiere ich eine Excelliste mit personenbezogenen Daten, um z.B. einen oder mehrere Gesichtspunkte genauer zu analysieren. Was muss ich aus datenschutzrechtlicher Sicht bzgl. dieser Excel Datei tun/dokumentieren?
Diese Datenverarbeitung ist im Verarbeitungsverzeichnis anzuführen. Hierbei sind der Zweck der Verarbeitung, die Kategorien der betroffenen Personen und die Kategorien…
Die einzigen personenbezogenen Daten sind die der Mitarbeiter. Müssen wir trotzdem ein Verarbeitungsverzeichnis erstellen?
Ja, denn auch die personenbezogenen Daten von Mitarbeitern werden durch die DSGVO geschützt. Darüber hinaus werden nach der derzeitigen Rechtslage…
Wie oft muss das Verarbeitungsverzeichnis aktualisiert werden oder nur muss es nur einmal erstellt werden?
Sollte sich in der Datenverarbeitung in Ihrem Unternehmen nichts ändern – beispielsweise keine neuen Datenverarbeitungen, Datenkategorien oder Empfänger hinzukommen -,…
Muss mein Outlooksystem, welches Kundendaten (Name, Tel, Anschrift) automatisch auf Handys synchronisiert, im Verarbeitungsverzeichnis verzeichnet werden?
Der genaue Vorgang ist nicht im Verarbeitungsverzeichnis anzugeben. Im Verarbeitungsverzeichnis müssen jedoch unter anderem die Kategorien von Empfängern (Auftragsverarbeiter und…
Muss ich über jedes Mail mit Kundendaten ein Verarbeitungsverzeichnis-Protokoll verfassen?
Nein, es ist nicht jede einzelne tatsächlich durchgeführte Datenverarbeitung anzugeben. Das Verarbeitungsverzeichnis dient lediglich als Überblick über die im Unternehmen…
Wie funktioniert die Dokumentationspflicht im Verarbeitungsverzeichnis in Bezug auf elektronisch erfasste Dokumente (Geschäftsbriefe, Protokolle, etc.), die Texte und Daten beliebiger Art enthalten können?
Im Verarbeitungsverzeichnis sind der Zweck der Verarbeitung, die Kategorien der betroffenen Personen und die Kategorien der personenbezogenen Daten, die Kategorien…
Muss ich ein eigenes Verarbeitungsverzeichnis für Deutschland führen?
Nein. Aufgrund des Territorialitätsprinzips gilt für Unternehmen, die eine Niederlassung in Österreich haben das österreichische Datenschutzgesetz sowie die DSGVO. Ein…
Gibt es für die Dokumentation des Verarbeitungsverzeichnisses eine Formvorschrift?
Das Verarbeitungsverzeichnis ist schriftlich zu führen. Die DSGVO lässt auch ein elektronisches Verarbeitungsverzeichnis zu. Abgesehen davon sind in der DSGVO…
Muss das Datenverarbeitungsverzeichnis öffentlich gemacht werden, oder reicht es dieses “griffbereit” zu haben?
Nein, das Verarbeitungsverzeichnis ist ein bloß „internes“ Dokument, das lediglich der Datenschutzbehörde vorgewiesen werden muss, wenn diese danach fragt.
Datenverarbeitungsverzeichnis und die Weitergabe von Daten an Steuerberater/Rechtsanwalt (Buchhaltung, Steuerabwicklung, etc)
Im Verarbeitungsverzeichnis sind unter anderem die Kategorien von Empfängern (Auftragsverarbeiter, andere Verantwortliche, sonstige Empfänger) anzugeben. Der Steuerberater wäre daher unter…
Ich notiere Gesundheitsdaten, Namen, Adressen und Telefonnummer von Patienten schriftlich auf Papier, nur die Buchhaltung und Rechnungen laufen über den PC. Wie soll das Datenverarbeitungsverzeichnis aussehen?
Hierbei sind mehrere Punkte zu beachten: Die DSGVO findet auch auf die analoge Verarbeitung personenbezogener Daten Anwendung, wenn diese einer…
Muss ich als Auftragsverbeiter (IT-Dienstleister) pro Kunde ein Verfahrensverzeichnis führen oder reicht eines, wo ich die Datenzwecke, -kategorien, -typen allgemein erfasse?
Grundsätzlich muss zumindest pro Verantwortlichen ein eigenes Stammblatt geführt werden. Es gibt Meinungen in der Literatur, die bei Auftragsverarbeitern im Massengeschäft (Cloud…
Muss ich alle Quellen aufzeichnen woher ich Firmendaten (zB UST-ID Nummern) habe?
Im Verarbeitungsverzeichnis sind nicht alle Datenquellen aufzuzeichnen, allerdings muss im Rahmen der Informationspflichten bzw beim Auskunftsersuchen über die Herkunft der…
Wie protokolliere ich die Löschung eines konkreten Empfängers aus einem Newsletterverteiler, ohne die Daten in der Protokollierung zu nennen (dort zu speichern)? Und was ist mit Sicherungsbackups, in denen die Daten (noch lange) enthalten sein werden?
Im Verarbeitungsverzeichnis ist lediglich die vorgesehene Frist für die Löschung zu protokollieren. Jeder einzelne Löschvorgang muss nicht verzeichnet werden. Das…
Dürfen Website-Betreiber Google Analytics noch verwenden?
Viele Unternehmer nutzen unterschiedliche Tools der Google Ireland Ltd bzw der Google LLC („Google“) zur Analyse und Optimierung des Userverhaltens…
Urlaub und Workation – Was bedeutet das für den Datenschutz?
Die Urlaubssaison steht vor der Tür. Mit auf Reisen geht heutzutage oft nicht nur das Diensthandy, sondern auch gleich das…
Automatisierte Entscheidung im Einzelfall – Anforderungen an datenschutzrechtliche Transparenz
Eine Bank in Deutschland bekam von der zuständigen Datenschutzbehörde eine Strafe in Höhe von EUR 300.000 auferlegt. Hintergrund war die…
Newsletter-Versand an Bestandskunden: Konformität mit der DSGVO
Im E-Mail-Marketing garantiert das Double Opt-in Verfahren, dass eine ausdrückliche Zustimmung aller Abonnenten für den Empfang von Newslettern vorliegt. Dies…
Ist fehlendes Double Opt-in ein DSGVO-Verstoß im Newsletter Marketing?
Das Double Opt-in-Verfahren ist in der Datenschutz-Grundverordnung (DSGVO) für die Newsletter-Anmeldung neuer Abonnent:innen nicht explizit vorgeschrieben. Dennoch könnte das Nichtverwenden…
Single Opt-in
Das Single Opt-in, auch einfaches Opt-in genannt, ermöglicht es Interessent:innen, sich durch Eingabe ihrer E-Mail-Adresse in ein Formular auf der…
Double Opt-in im Newsletter-Marketing
Beim Double-Opt-in, einer Methode aus dem Bereich E-Mail-Marketing speziell für Newsletter, muss ein Nutzer, der sich in einen E-Mail-Verteiler einträgt,…
Confirmed Opt-in
Confirmed Opt-in ist eine alternative Anmeldemethode für Newsletter Confirmed Opt-in ist eine Variante des Newsletter-Anmeldeverfahrens, die ähnlich dem Double Opt-in…
Wer braucht einen EU-Vertreter für Datenschutz?
Unternehmer aus Staaten außerhalb der EU/ des EWR benötigen oft nach Art 27 DSGVO einen Vertreter in der Union. Doch…
Data Breach: Was tun bei einer Datenpanne?
Viele Unternehmen treffen erst Vorkehrungen, wenn der Data Breach bereits passiert ist. Dabei sollte bereits bevor eine Datenschutzverletzung im Raum…
Verteilung von Event-Einladungen: Was darf ich, was darf ich nicht?
Mit manchen Event-Einladungen möchten Event-Manager eine breite Öffentlichkeit ansprechen. Um möglichst viele Einladungen zu versenden, würde es sich auf den…