In letzter Zeit werden wir von Informationen über das EU Datenschutzgesetz (DSGVO Datenschutzgrundverordnung) überschwemmt, das bewirkt oft bei vielen Unternehmen eine Art Vogel Strauß Politik: Wo soll ich anfangen? Einfach „nichts machen“ und „aussitzen“ ?
Nein, zumindestens ein Konzept und ein paar wichtige Punkte sollte jeder haben:
- Schritt 1:
Wie sieht es mit der Strukturierung meiner Daten und meiner Datensicherheit aus und ist die dokomentiert? Am besten in Form eines Datensicherheitskonzepts (lt. Artikel 32 Absatz 1 DSGVO) auf das wir uns in Schritt 2 berufen können mehr… - Schritt 2:
Welche Verarbeitungstätigkeiten führe ich aus, zu welchem Zweck wird was verarbeitet? Ein Verarbeitungsverzeichnis (Artikel 30 Verzeichnis von Verarbeitungstätigkeiten) muß erstellt werden. Darum geht es in diesem Blogbeitrag:
Für die Verarbeitung von personenbezogenen Daten soll ein Verarbeitungsverzeichnis erstellt werden. Am besten man geht das nach Kategorien an. Wo können überall personenbezogene Daten vorhanden sein? z.B.
Das hat wohl jede Firma:
- Verkauf (Rechnung, Mahnung, Lieferschein)
- Personal (HR)
Somit 3 Dokumente erstellen, jedes Dokument sollte eine ausgefüllte Kopfzeile mit folgenden Daten (hier am Beispiel Verkauf) haben:
Angabe des Verantwortlichen (Somit in der Regel die Nennung des Unternehmens)
Anschrift
Vertretungsberechtigte Personen (bei der GmbH z.B. die Geschäftsführer)
Angaben zum Datenschutzbeauftragten (wenn es einen gibt)
Bezeichnung der Verarbeitung:
Verkauf (Rechnung, Mahnung, Lieferschein)
Zwecke der Verarbeitung:
Verkauf und Vertrieb von Waren oder Dienstleistungen
Beschreibung der Kategorien personenbezogener Daten
Kundennummer
Name des Unternehmens
Titel
Vorname
Nachname
Anschrift
Rechnungsanschrift
E-Mail-Adresse
Telefonnummer
Bankverbindung
UID-Nummer
Daten zu gekauften Waren oder Dienstleistungen
Beschreibung der Kategorien betroffener Personen
Kunden
Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind / offengelegt werden
Mitarbeiter
Kooperationspartner
Steuerberater
Übermittlungen von personenbezogenen Daten an ein Drittland / internationale Organisation
Nein
Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien
Personenbezogenen Daten des Verkaufs / Vertriebs sind buchhaltungsrelevant. Die Speicherung erfolgt daher grundsätzlich für 7 Jahre.
Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO
Siehe: Datensicherheitskonzept
Im Artikel 32 geht es um die Sicherheit der Verarbeitung, darüber sollten Sie schon im Schritt 1 nachgedacht und den Stand dokumentiert haben.