Braucht mein Einzelunternehmen ein DSGVO-Verzeichnis?

Ja, wenn Sie personenbezogene Daten verarbeiten (E-Mails von Kunden, Kontakte von Lieferanten oder auch eigene Daten in Geschaftssystemen), gilt die Verzeichnispflicht. Die Grosse Ihres Unternehmens andert die Regel nicht, nur die Art, wie Sie das Verzeichnis fuhren.

Ich habe weniger als 250 Mitarbeitende, bin ich befreit?

Mit hoher Wahrscheinlichkeit nicht. Die Ausnahme in Artikel 30(5) DSGVO gilt nur, wenn Ihre Verarbeitung gelegentlich ist, keine besonderen Kategorien (Gesundheit, Biometrie usw.) umfasst und kein Risiko fur die Rechte der betroffenen Personen darstellt. In der Praxis fallt jedes Unternehmen, das regelmassig Kunden- oder Personaldaten verarbeitet, aus der Ausnahme heraus.

In welchem Format muss das Verzeichnis vorliegen?

Es gibt kein vorgeschriebenes Format. Excel, Word, eine Datenbank oder ein Tool wie GDPRWise sind alle zulassig. Wichtig ist, dass das Verzeichnis aktuell und vollstandig ist und der Aufsichtsbehorde auf Anfrage vorgelegt werden kann.

Wer darf mein Verzeichnis einsehen?

Die nationale Datenschutzaufsicht kann es bei einer Prufung oder nach einer Beschwerde anfordern. Intern sollten Ihr DSB (falls bestellt) und alle Compliance-Verantwortlichen Zugriff haben. Es muss nicht offentlich sein.

DSGVO-Verzeichnis Pflicht? Schnelle Antwort fur KMU

Ja, fast jedes Unternehmen schon. Die Ausnahme fur 'weniger als 250 Mitarbeitende' gilt in der Praxis selten. Was muss enthalten sein und wie fangen Sie an?

Die kurze Antwort

Ja. Wenn Sie personenbezogene Daten von Kunden, Mitarbeitenden oder Lieferanten verarbeiten, brauchen Sie ein DSGVO-Verarbeitungsverzeichnis, auch Verzeichnis von Verarbeitungstatigkeiten oder RoPA genannt. Das ist nach Artikel 30 DSGVO vorgeschrieben, und die Pflicht beginnt, sobald Sie Ihren ersten Kunden, Lieferanten oder Mitarbeitenden haben.

Der Mythos ‘weniger als 250 Mitarbeitende’

Artikel 30(5) scheint Organisationen mit weniger als 250 Mitarbeitenden zu befreien. In der Praxis gilt die Ausnahme selten, denn sie hat drei Ausnahmen, und fast jedes Unternehmen fallt in mindestens eine:

Die Verarbeitung ist mehr als gelegentlich. Rechnungen an Stammkunden senden, jeden Monat Lohne zahlen, Lieferantenkontakte speichern, all das sind regelmassige Tatigkeiten, keine gelegentlichen.
Sie verarbeiten besondere Kategorien. Gesundheitsdaten, biometrische Daten, Daten uber Minderjahrige oder andere Daten aus Artikel 9 schliessen Sie aus.
Die Verarbeitung kann Rechte gefahrden. Kundenprofile, Marketing-Automatisierung, Mitarbeiteruberwachung und ahnliche Aktivitaten fallen in diese Kategorie.

Die Ausnahme war fur sehr enge Falle gedacht, etwa eine einmalige Aktion einer Wohltatigkeitsorganisation. Wenn Sie ein echtes Unternehmen mit regelmassigen Kunden und Mitarbeitenden fuhren, gehen Sie davon aus, dass die Verzeichnispflicht fur Sie gilt.

Was das Verzeichnis enthalten muss

Nach Artikel 30(1) muss das Verzeichnis fur jede Verarbeitungstatigkeit folgende Angaben enthalten:

Wer: wessen Daten Sie verarbeiten (Kunden, Personal, Lieferanten, Partner)
Was: die Kategorien personenbezogener Daten (Name, E-Mail, Adresse, Zahlungsdaten usw.)
Warum: der Zweck der Verarbeitung (Rechnungsstellung, Personaleinstellung, Marketing usw.)
Rechtsgrundlage: Einwilligung, Vertrag, gesetzliche Pflicht, berechtigtes Interesse usw.
Empfanger: welche Dritten die Daten erhalten und ob sie innerhalb oder ausserhalb der EU sitzen
Aufbewahrung: wie lange Sie jede Kategorie aufbewahren
Sicherheit: die technischen und organisatorischen Massnahmen

Fuhren Sie getrennte Verzeichnisse fur Tatigkeiten, bei denen Sie Verantwortlicher sind (Sie entscheiden, warum und wie die Daten verarbeitet werden) und solche, bei denen Sie Auftragsverarbeiter sind (Sie verarbeiten Daten im Auftrag eines anderen).

Was passiert ohne Verzeichnis

Die Aufsichtsbehorde kann Ihr Verzeichnis bei einer Prufung oder nach einer Beschwerde anfordern. Konnen Sie es nicht vorlegen, ist das bereits ein DSGVO-Verstoss. Bussgelder fur fehlende oder unvollstandige Verzeichnisse wurden bereits in der gesamten EU verhangt, auch gegen KMU. Uber das Bussgeld hinaus ist das Verzeichnis auch Ihr interner Kompass: ohne es konnen Sie weder Anfragen betroffener Personen bearbeiten noch Verletzungen managen oder Rechenschaft ablegen.

Wie fangen Sie an

Sie haben drei Optionen:

Selbst in einer Tabelle erstellen. Kostenlos, aber wartungsintensiv und schnell unvollstandig.
Einen Berater beauftragen. Grundlich, aber teuer und abhangig von dessen Verfugbarkeit.
Ein Tool wie GDPRWise nutzen. Die Plattform stellt die richtigen Fragen je nach Branche, generiert das Verzeichnis aus Ihren Antworten und halt es aktuell.

auto_awesome Generieren Sie Ihr DSGVO-Verzeichnis in Minuten

GDPRWise scannt Ihre Website, stellt die richtigen Fragen fur Ihre Branche und erzeugt ein vollstandiges Artikel-30-Verzeichnis, das Sie der Aufsichtsbehorde vorlegen konnen.

Kostenlosen Scan starten