Als Online-Händler haben Sie jeden Tag mit einer Masse an personenbezogenen Daten wie beispielsweise Namen, Anschriften oder sensiblen Zahlungsinformationen zu tun. Aufgrund dessen sind Sie dazu verpflichtet, ein sogenanntes Verzeichnis der Verarbeitungstätigkeiten zu führen, welches jegliche Datenverarbeitungsprozesse in Ihrem Unternehmen auflistet und katalogisiert. Laut Art. 30 DSGVO Abs. 1 muss dieses Verzeichnis unter anderem folgende Angaben enthalten:
- Name und Kontaktdaten des Verantwortlichen sowie des Datenschutzbeauftragten
- Zweck der Verarbeitung
- Beschreibung der Kategorien personenbezogener Daten
- Empfänger, gegenüber denen personenbezogene Daten offengelegt wurden
- vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien (falls möglich)
- allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (falls möglich)
Diese Pflicht gilt allerdings
„nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn, die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien (...)“ (Art. 30 Abs. 5 DSGVO).
Gesundheitsdaten wären beispielsweise eine solche Kategorie (vgl. Art. 9 Abs. 1 DSGVO).
Neben der Tatsache, dass das Führen eines derartigen Verzeichnisses gesetzlich vorgeschrieben ist, vereinfacht es Ihnen, den im Rahmen der DSGVO festgeschriebenen Informations- und Auskunftspflichten nachzukommen. Nicht nur Behörden können verlangen, Ihr Verzeichnis zur Prüfung vorgelegt zu bekommen. Auch sind Sie gegenüber Kunden verpflichtet, Auskunft über die verarbeiteten personenbezogenen Daten zu gewähren und beispielsweise hinsichtlich des Rechts auf Datenübertragbarkeit ein strukturiertes, gängiges und maschinenlesbares Format vorlegen zu können.
Neben dem Führen des Verzeichnisses der Verarbeitungstätigkeiten schreibt die DSGVO auch die sogenannte Datenschutz-Folgenabschätzung vor. Das bedeutet, dass der Verantwortliche eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchführen muss, wenn diese Datenverarbeitung voraussichtlich ein hohes Risiko für den Betroffenen birgt. Das ist insbesondere bei der Verwendung neuer Technologien der Fall. Denn hier ist mitunter noch nicht klar, inwieweit und in welchem Ausmaß in die Persönlichkeitsrechte eingegriffen wird. Art. 35 Abs. 3 spezifiziert die Fälle, in denen eine Datenschutz-Folgenabschätzung zwingend erforderlich ist. Dazu gehören:
- das Profiling
- die Verarbeitung besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten)
- die systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche
Entscheidend für Sie zu wissen ist natürlich, welche Inhalte die Datenschutz-Folgenabschätzung enthalten muss. Art. 35 Abs. 7 legt das fest und definiert den inhaltlichen Grundrahmen mitunter wie folgt:
- systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung
- Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck
- Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
- die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen wie beispielsweise Sicherheitsvorkehrungen
Stellen Sie also unbedingt sicher, dass Sie bis zum 25. Mai alle notwendigen Schritte einleiten, um am Stichtag optimal hinsichtlich Verarbeitungsverzeichnis und Folgenabschätzung vorbereitet zu sein.
An dieser Stelle möchten wir Sie außerdem darauf aufmerksam machen, dass dies keine rechtliche Beratung ist. Vielmehr möchten wir Sie mit diesem Artikel informieren. Für notwendige Handlungsmaßnahmen Ihrerseits konsultieren Sie am besten eine Rechtsberatung.