DSGVO: Verarbeitungsverzeichnis- Was müssen Online-Händler beachten?
01.11.2018 / Kategorien: Rechtliches
Morgen ist es soweit: am 25. Mai 2018 wird die Datenschutzgrundverordnung (DSGVO) europaweit verbindlich geltendes Recht. Vor allem Online-Händler, die dem Thema Datenschutz bisher noch nicht viel Aufmerksamkeit gewidmet haben, sollten sich unbedingt mit den neuen Regelungen vertraut machen und die notwendigen Anpassungen im Shop vornehmen, sonst drohen hohe Sanktionen. Ein Kernstück der DSGVO ist das Verzeichnis für Verarbeitungstätigkeiten oder Verarbeitungsverzeichnis (wie man es auch nennt).
Was Online-Händler beim Erstellen und Führen eines Verarbeitungsverzeichnisses zu beachten haben, erfahren Sie in diesem Beitrag.
Pflicht für Online-Händler?
Bereits nach aktueller Rechtslage sind Online-Händler verpflichtet, ein Verfahrensverzeichnis zu führen, in dem alle Verfahren, bei denen personenbezogene Daten verarbeitet werden (z.B. Bestellprozess, Newsletter-Versand, Lohnbuchhaltung), dokumentiert werden müssen. Daran ändert sich bis auf den Namen nichts. Ab dem 25. Mai gilt für Online-Händler die Pflicht, ein Verarbeitungsverzeichnis zu führen und alle internen Abläufe zur Datenerfassung personenbezogener Daten darin zu protokollieren. Online-Händler, die bisher ein Verfahrensverzeichnis geführt haben, sparen sich viel Aufwand, denn die bereits eingetragenen Verfahren können einfach übernommen werden. Es ist jedoch darauf zu achten, dass das Verzeichnis zu aktualisieren ist, wenn sich an einem Verfahren etwas geändert hat oder ein neues Verfahren dazu gekommen ist.
Inhalt des Verzeichnisses
Neben den Verfahren, die zu beschreiben sind, müssen die Kontaktdaten des verarbeitenden Unternehmens bzw. des Gewerbetreibenden in dem Verzeichnis aufgenommen werden. Darüber hinaus müssen für alle Verarbeitungstätigkeiten der Zweck der Verarbeitung und die Personenkategorie (z.B. Kunden) und die Datenkategorien (z.B. Bestelldaten) enthalten werden. Ebenso müssen Händler in das Verzeichnis aufnehmen, wenn Daten an einen Dritten (z.B. Versanddienstleister) übermittelt werden. Gesondert ausgewiesen werden müssen Daten, wenn diese ins Nicht-EU-Ausland (z.B. USA) übermittelt werden. Darüber hinaus muss für jede Verarbeitungstätigkeit die Fristen zur Löschung genannt werden. Zuletzt müssen die technischen und organisatorischen Maßnahmen allgemein beschrieben werden.
Zweck des Verzeichnisses
Zum einen soll es dem Händler selbst helfen, seine Verfahren strukturiert aufzubereiten, und sich diesen mehr bewusst zu werden. Auch für eine andere Vorgabe der DSGVO ist ein aktuell geführtes Verarbeitungsverzeichnis eine große Erleichterung, denn ab dem 25. Mai 2018 müssen Händler sich darauf einstellen, dass Nutzer an sie herantreten können, um zu erfahren, zu welchem Zweck ihre Daten erhoben werden (z.B. zur personalisierten Werbung), welche Datenkategorien (z.B. Kundendaten) betroffen sind und wie lange die voraussichtliche Speicherdauer beträgt.
Ohne ein vollständig geführtes Verarbeitungsverzeichnis ist es für den Händler kaum möglich, in einem überschaubaren Zeitraum nachzuvollziehen, welche Daten eines Auskunftsersuchenden an welchen Stellen in welcher Form vorliegen.
Zum anderen soll das Verzeichnis Aufsichtsbehörden helfen, sich im Falle einer Prüfung einen schnellen Überblick zu verschaffen, welche Daten das Unternehmen zu welchen Zwecken verarbeitet, und an wen diese Daten weitergegeben werden.
Fazit
Mit der DSGVO kommen auf Online-Händler Pflichten zu. Dringend bis zum Stichtag zu erledigen, ist die Erstellung eines Verarbeitungsverzeichnisses. Für jeden Online-Händler besteht ab 25.05.2018 die Verpflichtung, interne Abläufe zur Datenerfassung personenbezogener Daten, zu protokollieren. Die Datenschutzbehörde hat das Recht die Vorlage des Verzeichnisses zu verlangen. Kann der Shop-Betreiber die notwendigen Unterlagen nicht vorweisen, wird ein entsprechendes Bußgeldverfahren eingeleitet.
Jetzt neu für eCommerce-Unternehmen:
Der Protected Shops Generator für das Verzeichnis von Verarbeitungstätigkeiten
Protected Shops: DS-GVO Compliance Paket
Erstellen Sie einfach und in wenigen Schritten mittels Generator ein DSGVO-konformes Verarbeitungsverzeichnis.
Diese Leistungen enthält das DSGVO- Compliance Paket:
- Generelle Prüfung der DSGVO- Compliance des Onlinehändlers durch entwickelten „Self-Audit“.
- Einzelne Verfahren werden mittels eines intuitiven Erstellungsprozesses individuell erstellt.
- Rechtssicherheit durch kontinuierliche Pflege und Erweiterung durch Rechtsdienstleister Protected Shops.
- Mit vorgefertigten Vorlagen (ständig erweitertes Portfolio) für gängige Verarbeitungstätigkeiten zur Webanalyse, Bestellabwicklung oder zum Newsletterversand wird Ihnen das Anlegen des Verzeichnisses für Verarbeitungstätigkeiten leicht gemacht.
- Rechtzeitig zum 25. Mai erhalten Sie Hilfen zur Erfüllung von Betroffenenrechten und Meldungen an die Aufsichtsbehörde.
Direkt zum Einführungsangebot.
Alle Informationen von Protected Shops zur DSGVO finden Sie auch in der DSGVO- Übersicht.