Braucht mein Einzelunternehmen ein DSGVO-Verzeichnis?

Ja, wenn Sie personenbezogene Daten verarbeiten (E-Mails von Kunden, Kontakte von Lieferanten oder auch eigene Daten in Geschäftssystemen), gilt die Verzeichnispflicht. Die Größe Ihres Unternehmens ändert die Regel nicht, nur die Art, wie Sie das Verzeichnis führen.

Ich habe weniger als 250 Mitarbeitende, bin ich befreit?

Mit hoher Wahrscheinlichkeit nicht. Die Ausnahme in Artikel 30(5) DSGVO gilt nur, wenn Ihre Verarbeitung gelegentlich ist, keine besonderen Kategorien (Gesundheit, Biometrie usw.) umfasst und kein Risiko für die Rechte der betroffenen Personen darstellt. In der Praxis fällt jedes Unternehmen, das regelmäßig Kunden- oder Personaldaten verarbeitet, aus der Ausnahme heraus.

In welchem Format muss das Verzeichnis vorliegen?

Es gibt kein vorgeschriebenes Format. Excel, Word, eine Datenbank oder ein Tool wie GDPRWise sind alle zulässig. Wichtig ist, dass das Verzeichnis aktuell und vollständig ist und der Aufsichtsbehörde auf Anfrage vorgelegt werden kann.

Wer darf mein Verzeichnis einsehen?

Die nationale Datenschutzaufsicht kann es bei einer Prüfung oder nach einer Beschwerde anfordern. Intern sollten Ihr DSB (falls bestellt) und alle Compliance-Verantwortlichen Zugriff haben. Es muss nicht öffentlich sein.

DSGVO-Verzeichnis Pflicht? Schnelle Antwort für KMU

Ja, fast jedes Unternehmen schon. Die Ausnahme für 'weniger als 250 Mitarbeitende' gilt in der Praxis selten. Was muss enthalten sein und wie fangen Sie an?

Die kurze Antwort

Ja. Wenn Sie personenbezogene Daten von Kunden, Mitarbeitenden oder Lieferanten verarbeiten, brauchen Sie ein DSGVO-Verarbeitungsverzeichnis, auch Verzeichnis von Verarbeitungstätigkeiten oder RoPA genannt. Das ist nach Artikel 30 DSGVO vorgeschrieben, und die Pflicht beginnt, sobald Sie Ihren ersten Kunden, Lieferanten oder Mitarbeitenden haben.

Der Mythos ‘weniger als 250 Mitarbeitende’

Artikel 30(5) scheint Organisationen mit weniger als 250 Mitarbeitenden zu befreien. In der Praxis gilt die Ausnahme selten, denn sie hat drei Ausnahmen, und fast jedes Unternehmen fällt in mindestens eine:

Die Verarbeitung ist mehr als gelegentlich. Rechnungen an Stammkunden senden, jeden Monat Löhne zahlen, Lieferantenkontakte speichern, all das sind regelmäßige Tätigkeiten, keine gelegentlichen.
Sie verarbeiten besondere Kategorien. Gesundheitsdaten, biometrische Daten, Daten über Minderjährige oder andere Daten aus Artikel 9 schließen Sie aus.
Die Verarbeitung kann Rechte gefährden. Kundenprofile, Marketing-Automatisierung, Mitarbeiterüberwachung und ähnliche Aktivitäten fallen in diese Kategorie.

Die Ausnahme war für sehr enge Fälle gedacht, etwa eine einmalige Aktion einer Wohltätigkeitsorganisation. Wenn Sie ein echtes Unternehmen mit regelmäßigen Kunden und Mitarbeitenden führen, gehen Sie davon aus, dass die Verzeichnispflicht für Sie gilt.

Was das Verzeichnis enthalten muss

Nach Artikel 30(1) muss das Verzeichnis für jede Verarbeitungstätigkeit folgende Angaben enthalten:

Wer: wessen Daten Sie verarbeiten (Kunden, Personal, Lieferanten, Partner)
Was: die Kategorien personenbezogener Daten (Name, E-Mail, Adresse, Zahlungsdaten usw.)
Warum: der Zweck der Verarbeitung (Rechnungsstellung, Personaleinstellung, Marketing usw.)
Rechtsgrundlage: Einwilligung, Vertrag, gesetzliche Pflicht, berechtigtes Interesse usw.
Empfänger: welche Dritten die Daten erhalten und ob sie innerhalb oder außerhalb der EU sitzen
Aufbewahrung: wie lange Sie jede Kategorie aufbewahren
Sicherheit: die technischen und organisatorischen Maßnahmen

Führen Sie getrennte Verzeichnisse für Tätigkeiten, bei denen Sie Verantwortlicher sind (Sie entscheiden, warum und wie die Daten verarbeitet werden) und solche, bei denen Sie Auftragsverarbeiter sind (Sie verarbeiten Daten im Auftrag eines anderen).

Was passiert ohne Verzeichnis

Die Aufsichtsbehörde kann Ihr Verzeichnis bei einer Prüfung oder nach einer Beschwerde anfordern. Können Sie es nicht vorlegen, ist das bereits ein DSGVO-Verstoß. Bußgelder für fehlende oder unvollständige Verzeichnisse wurden bereits in der gesamten EU verhängt, auch gegen KMU. Über das Bußgeld hinaus ist das Verzeichnis auch Ihr interner Kompass: ohne es können Sie weder Anfragen betroffener Personen bearbeiten noch Verletzungen managen oder Rechenschaft ablegen.

Wie fangen Sie an

Sie haben drei Optionen:

Selbst in einer Tabelle erstellen. Kostenlos, aber wartungsintensiv und schnell unvollständig.
Einen Berater beauftragen. Gründlich, aber teuer und abhängig von dessen Verfügbarkeit.
Ein Tool wie GDPRWise nutzen. Die Plattform stellt die richtigen Fragen je nach Branche, generiert das Verzeichnis aus Ihren Antworten und hält es aktuell.

auto_awesome Generieren Sie Ihr DSGVO-Verzeichnis in Minuten

GDPRWise scannt Ihre Website, stellt die richtigen Fragen für Ihre Branche und erzeugt ein vollständiges Artikel-30-Verzeichnis, das Sie der Aufsichtsbehörde vorlegen können.

Kostenlosen Scan starten