Datenschutz Masterclass
Bearbeitungsverzeichnis & Berabeitungsgrundsätze
Was ist ein Bearbeitungsverzeichnis?
Eine wirksame Umsetzung der Datenschutzvorschriften ist erst möglich, wenn ganz klar ist, welche Datenbearbeitungen im Unternehmen durchgeführt werden. Dazu empfiehlt es sich ein Bearbeitungsverzeichnis zu erstellen. Dieses ist zwar nicht in jedem Fall gesetzlich vorgeschrieben, allerdings ist es praktisch in jedem Fall sinnvoll ein Bearbeitungsverzeichnis zu erstellen.
FAQ zum Bearbeitungsverzeichnis
Wie bereits erwähnt, ist die Erstellung eines Bearbeitungsverzeichnisses nicht immer Pflicht. Namentlich müssen Unternehmen, die weniger als 250 Mitarbeitende haben und deren Datenbearbeitungen kein hohes Risiko für die Rechte der betroffenen Personen mit sich bringen, kein Bearbeitungsverzeichnis erstellen.
Sofern du gesetzlich dazu verpflichtet bist, ein Bearbeitungsverzeichnis zu erstellen, drohen bei Nichteinhaltung keine unmittelbaren Bussen. Allerdings kann der EDÖB dich unter Bussenandrohung auffordern, ein Bearbeitungsverzeichnis zu erstellen.
Auch wenn du nicht gesetzlich dazu verpflichtet bist, ein Bearbeitungsverzeichnis zu erstellen, hat die Nichterstellung eines Bearbeitungsverzeichnisses negative Folgen. Beispielsweise ist eine wirksame Umsetzung der Datenschutzvorschriften ohne Übersicht über die Datenbearbeitungen kaum möglich.
Wie erstellt man ein Bearbeitungsverzeichnis?
Aus diesen Angaben lässt sich erkennen, dass das Bearbeitungsverzeichnis mehr eine generelle Beschreibung der Datenbearbeitungen, als ein detailliertes Protokoll über jede einzelne Datenbearbeitung ist. Da die Erstellung eines Bearbeitungsverzeichnisses nicht ganz unkompliziert ist, haben wir dir hier eine Vorlage erstellt:
Wann sind Datenbearbeitungen zulässig?
Datenbearbeitungen sind nur erlaubt, wenn sie rechtmässig sind. Bei Verstössen drohen negative Konsequenzen. Solange die Bearbeitungsgrundsätze eingehalten werden, sind sie zulässig.
Datenbearbeitugen sind verhältnismässig, wenn sie sich auf das Nötigste beschränken. Es sollten nur so viel und so lang Daten bearbeitet werden, wie für die Erreichung des Ziels der Datenbearbeitung zwingend erforderlich.
Wer Personendaten bearbeitet, muss sich vergewissern, dass die von ihm bearbeiteten Personendaten korrekt sind und muss diese ggf. korrigieren oder löschen.
Der Zweck der bearbeiteten Personendaten darf nicht verändert werden. Grundsätzlich dürfen Personendaten ausschliesslich zu dem Zweck bearbeitet werden, zu dem sie erhoben wurden.
Der Zweck einer Datenbearbeitung und die damit verbundene Erhebung von Personendaten muss für die betroffenen Personen erkennbar sein.
Um die 4 Bearbeitungsgrundsätze zu veranschaulichen, stelle dir folgendes Beispiel vor:
Lorenzo ist Geschäftsführer des Pizzalieferdienstes «Margherita AG». Die Margherita AG liefert Pizzen aller Art in den Grossraum Bern. Lorenzo verwendet Kundendaten, um die Pizzas auszuliefern. Zudem verwendet er diese fürs Marketing. Er fragt sich, worauf er achten muss, damit diese Datenbearbeitungen zulässig sind.
Verhältnismässigkeit:
Lorenzo darf nur die Daten erheben, die für die Auslieferung der Pizza erforderlich sind. Namentlich der Name, die Adresse und ggf. die Telefonnummer. Würde Lorenzo noch weitere Daten erheben, wäre dies ein Verstoss gegen den Bearbeitungsgrundsatz der Verhältnismässigkeit.
Datenrichtigkeit:
Lorenzo hat darauf zu achten, dass die von ihm erhobenen Daten korrekt sind.
Zweckgebundenheit:
Lorenzo darf die erhobenen Daten nur für die Auslieferung der Pizza verwenden. Eine Verwendung der Daten fürs Marketing (ohne explizites Einverständnis) würde gegen den Bearbeitungsgrundsatz der Zweckgebundenheit verstossen.
Erkennbarkeit:
Die Bearbeitung der Daten muss für Lorenzos Kund:innen erkennbar sein. Das ist vorliegend unproblematisch, weil es für die Kund:innen offensichtlich ist, dass ihre Personendaten bearbeitet werden, wenn sie eine Pizza bestellen.
Es ist somit festzuhalten, dass die Bearbeitung der Kundendaten durch Lorenzo zum Zweck der Auslieferung der Pizza zulässig ist. Allerdings verstösst die Verwendung dieser Daten fürs Marketing gegen den Bearbeitungsgrundsatz der Verhältnismässigkeit. Daher darf Lorenzo die Daten nur fürs Marketing verwenden, sofern ein Rechtfertigungsgrund gegeben ist (→ Siehe Rechtfertigungsgründe weiter unten). Vorliegend empfiehlt es sich, dass Lorenzo eine Einwilligung der Kund:innen für das Marketing einholt.
Mögliche Rechtfertigungsgründe
Wenn die Bearbeitungsgrundsätze nicht eingehalten sind, ist die Datenbearbeitung nur dann unzulässig, sofern kein gültiger Rechtfertigungsgrund vorliegt. Die Rechtfertigungsgründe sind nachfolgend aufgeführt.
Einwilligung
Erklärung der betroffenen Person mit der Datenbearbeitung einverstanden zu sein.
Gesetzliches Erfordernis
Eine gesetzliche Regelung erfordert eine Datenbearbeitung.
Überwiegendes privates oder öffentliches Interesse
Die Interessen des Bearbeiters überwiegen den Interessen der betroffenen Person.
An dieser Stelle wird empfohlen jede Bearbeitung in ihrem Datenbearbeitungsverzeichnis durchzugehen und auf ihre Zulässigkeit zu überprüfen. Nehmen Sie gegebenenfalls Anpassungen vor oder stellen Sie die unzulässigen Datenbearbeitung ein.
Module der Datenschutz-Masterclass
Die PrivacyBee AG ist bemüht, die Inhalte diese Masterclass richtig, aktuell und vollständig zu halten. Dennoch übernimmt die PrivacyBee AG keine Gewähr für die Vollständigkeit, Richtigkeit oder Aktualität des bereitgestellten Inhalts dieser Masterclass. Diese Masterclass ersetzt eine individuelle Rechtsberatung nicht und ermöglicht keine hundertprozentige Compliance mit geltendem Recht. Mit Teilnahme an dieser Masterclass erklären Sie sich mit diesem Haftungsausschluss einverstanden.
Schütze deine Website noch heute!
Vertraue auf PrivacyBee, um deine Website rechtlich sicher und stets aktuell zu halten. Starte jetzt und erlebe, wie einfach Datenschutz sein kann. Nutze unsere kostenlose 14-Tage-Testphase und überzeuge dich selbst von den Vorteilen unserer Lösung.
14 Tage kostenlos,
keine Kreditkarte erforderlich
Schütze deine Website noch heute!
Vertraue auf PrivacyBee, um deine Website rechtlich sicher und stets aktuell zu halten. Starte jetzt und erlebe, wie einfach Datenschutz sein kann. Nutze unsere kostenlose 14-Tage-Testphase und überzeuge dich selbst von den Vorteilen unserer Lösung.