Verarbeitungsverzeichnis DSGVO Werkstätten

Verarbeitungsverzeichnis für Werkstätten – DSGVO

Ab 25.05.2018 wird es ernst und eines der wichtigsten Dinge, die man bis dahin fertig haben muss, ist das Verarbeitungsverzeichnis. Was ist das und wie macht man das in einer KFZ-Werkstätte?

Was ist ein Verarbeitungsverzeichnis?

Unter „verarbeiten“ versteht die DSGVO praktisch jeglichen Kontakt mit den Daten. Das heißt speichern, ändern, weitergeben, ordnen, anpassen, löschen, oder sonst irgendwie verwenden.

Der Kern der DSGVO ist, dass sich jeder Betrieb klar wird, welche personenbezogenen Daten verarbeitet werden. Ob das überhaupt nötig ist und wie man die betroffenen Personen am besten schützt. Das Verarbeitungsverzeichnis ist eine Liste mit allen Tätigkeiten in einem Betrieb, bei denen man personenbezogene Daten verarbeitet.

Im Verarbeitungsverzeichnis musst du alle Verarbeitungstätigkeiten auflisten. Hier ein paar Beispiele, die in den meisten KFZ-Betrieben vorkommen sollten:

  • Vertragserfüllung / Fahrzeugreparatur
  • Bewerbungsabwicklung
  • Personalverrechnung
  • Marketing
  • ….

Weitere Infos zu den Überlegungen, bevor man mit dem Verarbeitungsverzeichnis startet findest du hier: DSGVO Vorbereitung für Werkstätten

Diese Liste ist keinesfalls vollständig und zeigt nur Beispiele für Tätigkeiten, bei denen personenbezogene Daten verarbeitet werden. Damit das auch alles ordentlich erfasst wird, hier eine generelle Anleitung für das Verarbeitungsverzeichnis und ein paar praktische Beispiele.

Wie erstellt man ein Verarbeitungsverzeichnis?

Das Verzeichnis kann auf Papier, oder am Computer erstellt werden. Man kann Word, oder Excel, oder andere Textverarbeitungsprogramme verwenden. Es gibt auch spezielle DSGVO Programme, die aber für kleine Werkstätten nicht unbedingt notwendig sind. In unseren Beispielen verwenden wir die Word Vorlage der Datenschutzkonferenz (DSK). Diese Vorlage findest du hier: BvD Muster Verarbeitungsverzeichnis

BvD Muster Verarbeitungsverzeichnis

Verzeichnis von Verarbeitungstätigkeiten Verantwortlicher gem. Artikel 30 Abs. 1 DS-GVO

In der Vorlage ist die Struktur schon vorgegeben und die Punkte sind recht gut beschrieben.

Seite 1: Vorblatt / Verantwortlicher

Im oberen Abschnitt muss der Verantwortliche inkl. Kontaktdaten aufgeführt werden. Das ist je nach Gesellschaftsform entweder der Einzelunternehmer, oder die Gesellschaft.

Falls es zusätzliche Verantwortliche, ein Vertreter, oder einen Datenschutzbeauftragten gibt, müssen diese in den folgenden Abschnitten angeführt werden.

Ob ein Datenschutzbeauftragter notwendig ist, muss jeder Betrieb selbst klären. Hier mehr Infos dazu: WKO Datenschutzbeauftragter

Beispiel:

Verarbeitungsverzeichnis Vorblatt

Seite 2: Verarbeitungstätigkeiten

Hier muss du alle Tätigkeiten auflisten, in denen personenbezogene Daten verarbeitet werden. Für jede Tätigkeit kopierst du die nächsten beiden Seiten und füllst sie aus.

Die Benennung dient der Identifizierung. Damit lassen sich später die richtigen Seiten rasch finden.

Die laufende Nummer braucht man evtl. um in anderen Dokumenten darauf zu verweisen. Nummeriere die Tätigkeiten einfach durch, wenn du sie anlegst. Eine spezielle Sortierung ist nicht nötig.

Das Datum der Einführung und letzten Änderung ganz oben dient dazu, dass die Datenschutzbehörde bei einer Prüfung sehen kann, wann du das Verzeichnis erstellt hast und ob es aktuell gehalten wird.

Die verantwortliche Fachabteilung ist erst ab einer gewissen Betriebsgröße wichtig. Für kleine Werkstätten sollte es reichen, hier immer den Inhaber aufzuführen.

Unter Zwecke der Verarbeitung können alle Zwecke dieser Verarbeitung aufgeführt werden. (z.B.: Rechnungslegung, Lohnverrechnung, Marketing, …)

Danach kreuzt du alle Kategorien der betroffenen Personen an. Das bedeutet alle Gruppen von Personen, deren Daten irgendwie in dieser Verarbeitung vorkommen können. Wenn auf der Vorlage Kategorien fehlen sollten, dann bitte diese nachtragen. „Patienten“ wirst du für deine Werkstätte wahrscheinlich nicht brauchen.

Unter Kategorien von personenbezogenen Daten musst du nun angeben, welche Arten von Daten verarbeitet werden. (z.B.: Kunden-Kontaktdaten, Mitarbeiter-Stammdaten, …). Damit diese Kategorien auf der nächsten Seite zugeordnet werden können, ist es praktisch, wenn du diese hier durchnummerierst. (siehe Beispielseite)

Beispiel:

Muster Verarbeitungsverzeichnis Tätigkeit

Seite 3: Verarbeitungstätigkeiten

Nun kommen wir zum 2ten Teil der Angaben zu jeder Tätigkeit.

Kategorien von Empfängern sind jene Arten von Personen, oder Unternehmen, denen personenbezogene Daten offengelegt werden. Das betrifft auch interne Empfänger, wie Mitarbeiter, oder externe Systeme, wie Online-Softwarelösungen. Hier muss auch unterschieden werden, ob sich die Empfänger in der EU befinden. Drittländer sind alle Länder außerhalb des EWR. Hier müssen auch die Datenkategorien aufgelistet werden, die an den jeweiligen Empfänger gehen. Dazu kannst du die Datenkategorien zu den Empfängern direkt nochmal anführen, oder die Nummern aus dem ersten Blatt verwenden.

Immer wenn personenbezogene Daten die Firma verlassen, muss der Empfänger ins Verarbeitungsverzeichnis!

Unter Übermittlung an ein Drittland werden nochmal alle Empfänger außerhalb des EWR aufgelistet, da diese Übermittlung etwas genauer beschrieben werden muss. Weitere Informationen dazu hier: WKO Internationaler Datenverkehr

In der Spalte Fristen für die Löschung musst du für jede Datenkategorie eine Löschfrist eintragen. Das bedeutet, stellst fest, wie lange du diese Daten brauchst, bzw. speichern darfst. Dazu gibt die WKO weitere Informatioen hier: WKO Speicher- und Aufbewahrungsfristen. Die Speicherdauer sollte möglichst kurz gewählt werden. Die DSGVO möchte, dass personenbezogene Daten nicht unnötig lange gespeichert werden. Auch hier ist es wieder platzsparender, die Nummern aus dem ersten Blatt zu verwenden, statt die Datenkategorien direkt anzugeben.

Technische und organisatorische Maßnahmen sind Maßnahmen, um die personenbezogenen Daten zu schützen. Dazu zählt unter anderem:

  • Daten dürfen nicht verloren gehen, oder unbeabsichtigt gelöscht werden
  • Daten dürfen nicht unbeabsichtigt verändert werden
  • Daten dürfen nicht an Unbefugte weitergegeben werden

TOMs (technische und organisatorische Maßnahmen) können also Dinge sein wie:

  • regelmäßige Backups erstellen (damit Daten nicht verloren gehen)
  • den Computer mit einem Passwort schützen (damit Fremde keinen Zugriff haben)
  • die Bürotür abschließen
  • Dokumente, wie Rechnungen nicht auf dem Tresen liegen lassen
  • einen Virenscanner verwenden
  • das Mobiltelefon mit Passwort sperren
  • den Speicher verschlüsseln

Beispiel:

Muster Verarbeitungsverzeichnis Tätigkeit Löschfristen

Für jede Tätigkeit musst du diese beiden Seiten ausfüllen und unterschrieben ablegen. Außerdem solltest du einplanen, die Dokumente regelmäßig zu überprüfen und sie gegebenenfalls zu aktualisieren.

Unterstützt bei der Erstellung dieser Anleitung hat mich der DSGVO-Experte und zertifizierte Datenschutzbeauftragte Rechtsanwalt Dr. Christian Zeilinger.

Die DSGVO und deren Umsetzung ist komplex und bedarf neben den hier aufgezeigten, viele weitere Umsetzungsschritte. Diese Information erhebt keinen Anspruch auf Vollständigkeit und kann eine individuelle Rechtsberatung nicht ersetzen.

Weiterführende Informationen

 

Neueste Beiträge

Nebenkosten deiner Werkstatt; Schrauben auf Holztisch