Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
Ausprobieren Online Webseiten-Check sofort DSGVO-Probleme finden
Externe Links sind mit dem Symbol Externer Link Symbol gekennzeichnet. Datenschutzinfo

Verzeichnis von Verarbeitungstätigkeiten nach DS-GVO

Veröffentlicht von Dr. DSGVO · Zuletzt aktualisiert am 5. März 2025 · Lesezeit: 5 Minuten
2
Dr. DSGVO Newsletter erkannt: Erweiterte Funktionen verfügbar
Artikel als PDF · Mehr Inhalte & kompakte Kernaussagen · Webseiten-Checks · Offline-KI Live
Standardansicht: Dr. DSGVO Newsletter nicht erkannt. Erweiterte Funktionen nur für Abonnenten:
Artikel als PDF · Mehr Inhalte & kompakte Kernaussagen · Webseiten-Checks · Offline-KI Live

Kategorien: Datenschutz und Retrospektive

Dies ist ein älterer Beitrag, der nicht unbedingt die aktuelle Haltung des Autors darstellt. Insbesondere zu den Themen Datenschutz, Google und Social Media ist der Autor aufgrund mittlerweile gewonnener Erkenntnisse anderer Meinung als früher! Was Web Hosting angeht, empfehle ich Strato, 1&1 und andere große nicht mehr.

Die Datenschutzgrundverordnung löst mit dem Verzeichnis von Verarbeitungstätigkeiten das Verfahrensverzeichnis des Bundesdatenschutzgesetzes ab. Was bedeutet das und welche Inhalte hat das neue Verzeichnis?

Das Datenschutz-Verzeichnis nach DS-GVO

Seit langem herrscht in Deutschland eine Pflicht zum Führen eines Verfahrensverzeichnisses nach Bundesdatenschutzgesetz (BDSG). Es legt insbesondere dar, wie und warum personenbezogene Daten im Unternehmen erhoben, verarbeitet und weitergegeben werden. Die Datenschutzgrundverordnung (DS-GVO) der EU löst die alten Verzeichnisse ab und ersetzt sie durch ein Verzeichnis von Verarbeitungstätigkeiten. Nicht nur verantwortliche Stellen, sondern auch Auftragsverarbeiter müssen ein solches Verzeichnis ab dem 25. Mai 2018 führen (Artikel 4 Nr. 8 DSGVO). Verantwortliche Stellen sind alle Unternehmen (und sogar Privatleute), die personenbezogene Daten erheben, das dürfte quasi jedes Unternehmen sein.

Beispiele für Verarbeitungstätigkeiten

Je nach Tätigkeitsbereich fallen unterschiedliche Verarbeitungstätigkeiten an. Hier einige Beispiele, denen der Bereich vorangestellt ist.

  • Marketing: Gewinnspiel-Durchführung, Rückrufservice, Webtracking
  • Personalwesen: Arbeitssicherheit, elektronische Zeiterfassung, Urlaubsplanung, Verbandbuch
  • IT-Management: VOIP (Voice over IP), IT-Administration, Home Office, elektronisches Adressbuch, E-Mail Archivierung, Backups

Auskunft über gespeicherte Daten

Das Verzeichnis betrifft alle in einem Dateisystem gespeicherten personenbezogenen Daten. Ein Dateisystem ist eine strukturierte Sammlung von Daten, also eine digitale Datei auf einem Speichermedium wie einer Festplatte oder auch ein Aktenordner mit abgehefteten Blättern. Dabei ist es unerheblich, ob diese Daten automatisiert, teilautomatisiert oder händisch gespeichert werden. Auf Anfrage sind alle Verzeichnisse dieser Art den Aufsichtsbehörden in angemessener Zeit zur Verfügung zu stellen. Die Sprache ist deutsch. Es gilt die Schriftform. Eine digitale Bereitstellung, etwa als PDF Dokument, ist zulässig. Allerdings kann die Aufsichtsbehörde festlegen, ob sie eine ausgedruckte oder eine digitale Form wünscht.

Pflicht für Webseitenbetreiber

Änderungen sind zu dokumentieren und ein Jahr lang vorzuhalten. Dies ergibt sich auch aus der Rechenschaftspflicht gemäß Artikel 5 Nr. 2 DSGVO. Jedes Unternehmen mit einer Webseite ist quasi zum Führen eines DSGVO-Verzeichnisses verpflichtet, weil die Verarbeitung personenbezogener Daten auf Websites zwangsläufig für jeden Besucher erfolgt. Vergleiche hierzu den Artikel zu IP-Adressen als personenbezogenes Datum.

Inhalt des Verzeichnisses

Das Verzeichnis enthält Informationen zu Tätigkeiten der Verarbeitung personenbezogener Daten. Dabei ist es unerheblich, ob die Verarbeitung automatisch, manuell oder in einer Mischform betrieben wird. Je nach Umfang der Dokumentation kann eine Gliederung in mehreren Verzeichnissen sinnvoll sein. Den Inhalt regelt Artikel 30 Abs. 1 S. 2 a-g DSGVO. Alle Angaben müssen dieser Vorgabe folgen. Die zu dokumentierenden Informationen sind im folgenden abschnittsweise dargestellt.

Namen und Kontaktdaten

Postalische, elektronische und telefonische Erreichbarkeit von Verantwortlichen, von Vertretern für Drittstaaten und eines Datenschutzbeauftragten, sofern vorhanden.

Zwecke der Datenverarbeitung

Die verarbeiteten Daten liegen meist in unterschiedlichen Einzelverzeichnissen vor, beispielsweise

  • Personalakte
  • Abwesenheitsliste
  • Vertreterliste
  • Gehaltsabrechnung
  • Zuständigkeiten und Tätigkeitsfelder

Für alle Einzelverzeichnisse sind vorher die Zwecke in eindeutiger und transparenter Weise festzulegen, damit eine Aufsichtsbehörde die Zulässigkeit prüfen kann. Auch müssen getroffene Schutzmaßnahmen aus dem Verzeichnis hervorgehen, beispielsweise abschließbare Büros oder Ausweiskontrollen an der Eingangstür.

Kategorien von Personen und Daten

Die Kategorien betroffener Personen und von personenbezogenen Daten sind zu nennen. Beispiele für Personenkategorien:

  • Mitarbeiter
  • Auftragsverarbeiter
  • Kunden
  • Lieferanten
  • Besucher der Website
  • Newsletter-Abonnenten

Beispiele für Datenkategorien:

  • Adressdaten
  • Bankverbindungen
  • Kontaktdaten
  • Umsatz
  • Bonität
  • Lieferkonditionen
  • Zahlungskonditionen

Kategorien von Empfängern

Empfänger von personenbezogenen Daten sind in Kategorien zu gliedern und zu nennen. Beispiele für Empfängerkategorien:

  • Steuerberater
  • Banken
  • Mitarbeiter
  • Kunden
  • Lieferanten
  • Vertriebsmitarbeiter
  • Webmaster / Webagentur
  • Finanzamt

Ein Empfänger kann auch Teil eines Unternehmens sein, etwa eine Abteilung oder eine Zweigstelle. Neben Empfängerangaben müssen Zugriffsberechtigte in Form von eindeutigen Rollenbeschreibungen genannt werden. Existieren keine Empfänger in Drittländern, sollte dies explizit erwähnt werden. Vorhandene Empfänger müssen genannt sein. Empfänger kann auch ein Server in einem Drittland sein, auf dem Daten gelagert werden. Hierzu zählen insbesondere der Betrieb von Webseiten oder Cloud-Lösungen. Es sind nicht nur aktuelle und zukünftige, sondern auch frühere Empfänger zu benennen.

Datenübermittlung in Drittländern

Hier werden keine Empfängerkategorien unterschieden. Für den Empfänger sind geeignete Garantien zu dokumentieren, dass er sich an die Datenschutzrichtlinien der EU hält. Deswegen empfehlen wir unter anderem, auf den Einsatz von Google Analytics zu verzichten. Die daraus entstehenden Pflichten und Gefahren im Rahmen der DS-GVO sind weit höher als der Nutzen gegenüber anderen Tools wie Piwik.

Speicherdauer / Löschfristen

Pro Datenkategorie sind die Löschfristen anzugeben, also der Zeitraum, nach dem die Speicherung der Daten beendet ist. Hierzu sind gesetzlich geregelte Aufbewahrungs- und Löschfristen anzugeben ebenso wie selbst festgelegte Fristen. Allgemeine Angaben zu gesetzlichen Pflichten reichen nicht aus, sie müssen konkret benannt werden.

Technische und organisatorische Maßnahmen

Die Technischen und organisatorischen Maßnahmen werden oft mit TOM abgekürzt. Enthält Verweise auf vorhandene Dokumente und Konzepte zur Sicherstellung einer adäquaten Datenverarbeitung. Ein Sicherheitskonzept muss vorliegen. Standarddatenschutzmodelle sind anzugeben. Weitere geeignete Maßnahmen sind insbesondere:

  • Verschlüsselung von Daten
  • Backup-Mechanismen
  • Pseudonymisierung und Anonymisierung von personenbezogenen Daten
  • Fail-Over Mechanismen (etwa zur Vermeidung von Unverfügsamkeiten)
  • Verfahren zur Sicherstellung der TOMs

Auftragsverarbeiter

Auftragsverarbeiter führen ein eigenes Verzeichnis, welches deutlich weniger Informationen enthalten muss. Der Inhalt besteht aus Namen und Kontaktdaten, Beschreibungen zur Verarbeitung von Daten, Übermittlung an Drittländer und TOMs.

Empfehlungen

Man sollte sich zunächst die wichtigsten Prozesse in seinem Unternehmen anschauen und diese so gestalten, dass möglichst keine Konflikte mit der DS-GVO entstehen. Danach kommen die weniger wichtigen Prozesse an die Reihe. Was in jedem Fall wichtig ist, ist die erwähnte Vereinbarung zur Auftragsverarbeitung mit Dritten und ein Datenschutz-Management-System.

Kernaussagen dieses Beitrags

Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss ein Verzeichnis führen, das alle Verarbeitungstätigkeiten dokumentiert.

Unternehmen müssen detailliert dokumentieren, wie sie personenbezogene Daten verarbeiten, um den Datenschutzbestimmungen der DSGVO gerecht zu werden.

Um die DSGVO einzuhalten, müssen Unternehmen Sicherheitskonzepte, Datenschutzmodelle und geeignete Maßnahmen wie Verschlüsselung und Backup einführen.

Über diese Kernaussagen

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Ich stehe für pragmatische Lösungen mit Mehrwert. Meine Firma, die IT Logic GmbH, berät Kunden und bietet Webseiten-Checks sowie optimierte & sichere Lösungen an (mit und ohne KI).
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/verzeichnis-von-verarbeitungstaetigkeiten-dsgvo
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. Anonym

    Es klingt merkwürdig, „Eempfehlungen“ zu nutzen…

    Antworten
    • Dr. DSGVO

      Vielen Dank für Ihren Hinweis. Der Schreibfehler ist korrigiert!

      Antworten

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Artikel 4 DSGVO: Begriffsbestimmungen