Was ist ein Datenverarbeitungsverzeichnis?

wezzo · 1. Mai 2018 um 14:18

Hallo, so viel ich auch lese, ich werde einfach nicht schlau daraus. Jetzt kommt ja diese bescheuerte DSGVO.

Ich habe einen Shop. Die Leute bestellen etwas, übermitteln ihre Bestelldaten. Diese leite ich weiter an die Person, die die Bestellung verarbeitet (abrechnet und versendet).
Die Bestellung wird bei mir gespeichert.

Was muss denn nun in dieses Verarbeitungsverzeichnis? Welche Vorgänge? Sämtliche Bestelldaten? Oder nur die Tatsache, DASS ich Bestelldaten erhalten habe? Und sie gespeichert? Kann mir das jemand erklären, ohne einfach nur auf einen Link zu verweisen, wo ich es auch wieder nicht verstehe? Gelesen hab ich dazu genug, aber ich begreifs einfach nicht, was tatsächlich in dieses Verzeichnis rein muss.
Danke.

raketenbasis · 1. Mai 2018 um 15:44

Vermutlich hast du einen Online-Handel?
https://www.it-recht-kanzlei.de/eu-datenschutzgrundverordnung-online-handel.html#abschnitt_205
Zu beachten ist aber, dass im Angesicht des erheblichen technischen und organisatorischen Aufwandes, welchen die Anlegung und stetige Aktualisierung der Verzeichnisse mit sich bringen wird, ein gesetzlicher Befreiungstatbestand etabliert wurde.

Nach Art. 30 Abs. 5 DSGVO entfalten die Dokumentationspflichten gegenüber Unternehmen keine Wirkung, die weniger als 250 Mitarbeiter beschäftigen und nicht mit der Erhebung und Verarbeitung besonders sensibler Daten im Sinne des Art. 9 DSGVO (etwa über die sexuelle Orientierung, ethnische Herkunft, Religion oder Weltanschauung etc.) befasst sind.

Weil im Online-Handel personenbezogene Daten regelmäßig nur erhoben werden, um die Durchführung von Kausalgeschäften und personen- und interessenbasierte Werbemaßnahmen zu ermöglichen, ohne dass den Betroffenen die Angabe besonders sensibler Daten abverlangt würde, wird der Großteil der kleinen und mittleren Marktakteure im elektronischen Geschäftsverkehr zur Dokumentation von Verarbeitungsvorgängen auch zukünftig nicht verpflichtet sein.

Anders verhält sich dies freilich bei Großunternehmen, welche die maßgebliche Grenze der Beschäftigtenzahl überschreiten.

Du musst dich eher um die Lösung der Bekanntgabe der verarbeitungsbezogenen Pflichtangaben bemühen:

Problematisch scheint hierbei zunächst, dass gemäß Art. 13 Abs.1 DSGVO die Bereitstellung der zwingenden Pflichtangaben zum jeweiligen Erhebungszeitpunkt verlangt und die Verantwortlichen im Online-Handel somit grundsätzlich dazu anhält, informationstechnische Lösungen einzurichten, die mit Hilfe von Pop-Ups oder anderen elektronischen Informationsmechanismen unmittelbar vor der Datenübermittlung über die Begleitumstände der konkreten Erhebung und Verarbeitung unterrichten. Statuiert wird in anderen Worten eine betroffenenabhängige, individuelle Pflicht zur verarbeitungsbasierten Belehrung.

Gruß
rakete

wezzo · 1. Mai 2018 um 19:18

Hallo,
vielen Dank für deine Antwort. Leider bin ich nicht sicher, ob mein Shop unter „besonders sensible Daten“ fällt, da unter anderem z.B. auch sogenannte Zykluscomputer dabei sind. Das könnte unter Daten fallen, die zum Thema „Gesundheit“ oder „Verhütung“ gehören und somit als besonders sensibel gelten. Wie findet man sowas heraus?

Was den zweiten Punkt betrifft: Würde hier nicht ein zu setzendes Häkchen „Hiermit habe ich die Datenschutzerklärung gelesen und erkläre mich damit einverstanden…“ genügen?

Danke.

C_Punkt · 2. Mai 2018 um 07:06

Hallo,

zunächst einmal gilt die Vereinfachungsregel (< 250 Personen) nicht, da Du ja nicht nur gelegentlich Daten verarbeitest. Insofern ist das Verarbeitungsverzeichnis zu erstellen. Allerdings kannst Du Dir die Benennung eines Datenschutzbeauftragten sparen.

Was das Verzeichnis der Verarbeitungstätigkeiten angeht:
Die Beschreibung der Verarbeitungstätigkeiten kann relativ allgemein gehalten werden. In Deinem Falle also in etwa so: Erfassung und Speicherung der Daten zur Abwicklung von Kundenanfragen, Kaufverträgen und Reklamationen.

Ansonsten kann man sich bei der Erstellung recht gut anhand der in § 30 Abs. 1 DSGVO Punkte orientieren. Des weiteren gibt es im Internet diverse Muster zu finden. Das ganze ist kein Hexenwerk, wenngleich natürlich lästig.

Gruß
C.

wezzo · 3. Mai 2018 um 19:08

Hi,
ich bin wohl einfach zu doof. Aus all diesen „Mustern“ werde ich einfach nicht schlau.
Nimm z.B. das hier: https://www.lda.bayern.de/media/dsk_muster_vov_auftragsverarbeiter.pdf

Das ist das einfachste Muster, was ich gefunden habe. Ich weiß aber immer noch nicht, was da rein soll. Muss ich für jede Bestellung (wo ich einen „Datensatz“ von Namen und Adresse erhalte) so einen Wisch ausfüllen?
Bezeichnung der Verarbeitungstätigkeit: Ähm. Ich lese die Adresse. Ist das jetzt eine Verarbeitungstätigkeit? Die Email mit der Adresse verschiebe ich in einen Ordner in meinem Email Programm. Ist das eine Verarbeitungstätigkeit?

Wenn ich die Daten weiter gebe zur Bestellabwicklung, ok. Das verstehe ich noch, dass das da rein muss. Aber sonst? Vor allem: Muss der Datensatz selbst in dieses Blatt rein??? Oder nicht? Oder woran erkennt man, um welchen Datensatz es geht? Ich finde kein entsprechendes Feld und verstehe wirklich nur Bahnhof.

Danke…