Karl Heinz: Verfahrensverzeichnis, Datenpannenpläne, Auftragsverarbeitungsverträge

Hallo,

grundsätzlich ist es bezogen auf die DSGVO verpflichtend folgende Dinge zu realisieren:

  • Ein Verfahrensverzeichnis (wenn man mit perzonenbezogenen Daten arbeitet)
  • Auftragsverarbeitungsverträge (wenn man perzonenbezogene Daten an Drittanbieter übergibt)
  • Datenpannenpläne (wenn perzonenbezogene Daten durch einen Fehler in falsche Hände geraten)

Gefühlt wurden bei 90% der KMUs solche Dokumente niemals realisiert bzw. sind auch nicht in Planung.

In der Theorie sind diese Dokumente natürlich verpflichtend, in der Praxis meines Erachtens allerdings nicht notwendig, einfach deshalb, weil von einem außen stehenden nicht festgestellt werden kann ob diese Dokumente vorliegen oder nicht. Wenn ein Außenstehender das nicht nachprüfen kann hat er auch nichts in der Hand um eine Abmahnung in Auftrag zu geben.

Fazit:

Das „nicht umsetzten“ dieser Dokumente birgt nur ein geringes Abmahnrisiko, deshalb können KMUs mit relativ ruhigem Gewissen auf die Umsetzung dieser Dokumente verzichten. Große Unternehmen hingegen sollten diese Dokumente unbedingt umsetzen lassen, weil hier die Wahrscheinlichkeit einer Prüfung vor Ort wesentlich höher ist.

Mal am Rande: Liegen bei selfhtml solche Dokumente vor? Wenn das nicht der Fall ist werdet Ihr mir das sicherlich nicht verraten, sonst würden Ihr ja nach außen kundtun das Ihr gegen geltendes Recht verstoßt ;-), wie wohl fast jedes KMU.

Viele Grüße

--
"Die Deutsche Rechtschreibung ist Freeware, sprich, du kannst sie kostenlos nutzen. Allerdings ist sie nicht Open Source, d.h. du darfst sie nicht verändern oder in veränderter Form veröffentlichen."
  1. Hallo

    In der Theorie sind diese Dokumente natürlich verpflichtend, in der Praxis meines Erachtens allerdings nicht notwendig, einfach deshalb, weil von einem außen stehenden nicht festgestellt werden kann ob diese Dokumente vorliegen oder nicht. Wenn ein Außenstehender das nicht nachprüfen kann hat er auch nichts in der Hand um eine Abmahnung in Auftrag zu geben.

    ich glaube, du solltest mal an deinem Rechtsverständnis arbeiten.

    Gruß
    Jürgen

    1. @@JürgenB,

      In der Theorie sind diese Dokumente natürlich verpflichtend, in der Praxis meines Erachtens allerdings nicht notwendig, einfach deshalb, weil von einem außen stehenden nicht festgestellt werden kann ob diese Dokumente vorliegen oder nicht. Wenn ein Außenstehender das nicht nachprüfen kann hat er auch nichts in der Hand um eine Abmahnung in Auftrag zu geben.

      ich glaube, du solltest mal an deinem Rechtsverständnis arbeiten.

      Du wirst mir doch Recht geben das diese Dokumente in der Praxis bei den wenigsten KMUs vorliegen. Das ist meines Erachtens eine Tatsache, Rechtsverständnis hin oder her.

      Wenn sehr kleine Unternehmen alles rechtlich perfekt realisieren würden hätten sich viel weniger Zeit sich auf Ihre Kernkompetenz zu konzentrieren. Dann wären die Unternehmen zwar rechtlich sauber aber insolvent.

      1. Hallo @Karl Heinz,

        Du wirst mir doch Recht geben das diese Dokumente in der Praxis bei den wenigsten KMUs vorliegen. Das ist meines Erachtens eine Tatsache, Rechtsverständnis hin oder her.

        das ist vor Gericht vollkommen egal. Die Deutschen sind auch Weltmeister im Übertreten der zulässigen Höchstgeschwindigkeit und es bleibt trotzdem verboten.

        Wenn sehr kleine Unternehmen alles rechtlich perfekt realisieren würden hätten sich viel weniger Zeit sich auf Ihre Kernkompetenz zu konzentrieren. Dann wären die Unternehmen zwar rechtlich sauber aber insolvent.

        Deshalb kann man diese Tätigkeit auch wunderbar auslagern, da es mehr als ausreichend Dienstleister dafür gibt.

        Übrigens wurde das Abmahnwesen u.a. deswegen geschaffen: Falls sich ein Mitbewerber einen unfairen Vorteil verschaffen möchte, indem er diese Kosten einspart.

        Viele Grüße
        Robert

      2. Hallo,

        Du wirst mir doch Recht geben das diese Dokumente in der Praxis bei den wenigsten KMUs vorliegen. Das ist meines Erachtens eine Tatsache, Rechtsverständnis hin oder her.

        Wenn sehr kleine Unternehmen alles rechtlich perfekt realisieren würden hätten sich viel weniger Zeit sich auf Ihre Kernkompetenz zu konzentrieren. Dann wären die Unternehmen zwar rechtlich sauber aber insolvent.

        deine Einschätzung mag richtig sein. Trotzdem müssen Gesetze eingehalten werden. Und ich glaube, deine Kunden sind falsch beraten, wenn Sie glauben, unter dem Radar durchfliegen zu können. Ein "böswilliger Kunde", z.B. ein Konkurrent, und schon fängt der Ärger richtig an.

        Gruß
        Jürgen

        1. @@JürgenB,

          Wenn sehr kleine Unternehmen alles rechtlich perfekt realisieren würden hätten sich viel weniger Zeit sich auf Ihre Kernkompetenz zu konzentrieren. Dann wären die Unternehmen zwar rechtlich sauber aber insolvent.

          deine Einschätzung mag richtig sein. Trotzdem müssen Gesetze eingehalten werden. Und ich glaube, deine Kunden sind falsch beraten, wenn Sie glauben, unter dem Radar durchfliegen zu können. Ein "böswilliger Kunde", z.B. ein Konkurrent, und schon fängt der Ärger richtig an.

          Viele meiner Kunden sind mit der DSGVO maßlos überfordert, die sind schon mit der DSGVO bezogen auf Impressum, Datenschutzerklärung und AGBs an Ihren grenzen. Wenn ich denen jetzt noch mit Verfahrensverzeichnis, Datenpannenplänen und Auftragsverarbeitungsverträgen komme verzweifeln die komplett 😀.

          In der Theorie sollte man das alles machen, in der Praxis ist das für viele einfach nicht machbar zumindest nicht in einem Schritt.

          Da bleibt nur eine Option:

          Erstmal die wichtigsten Dinge, die von außen sichbar sind, umsetzen um das Abmahnrisiko zu reduzieren. Wenn das alles passt kann ich die Kunden langsam an die anderen Punkte heranführen. Alles auf einmal wäre für viele Kunden "to much".

          1. Hallo,

            Viele meiner Kunden sind mit der DSGVO maßlos überfordert, die sind schon mit der DSGVO bezogen auf Impressum, Datenschutzerklärung und AGBs an Ihren grenzen. Wenn ich denen jetzt noch mit Verfahrensverzeichnis, Datenpannenplänen und Auftragsverarbeitungsverträgen komme verzweifeln die komplett 😀.

            ja und? Ich habe vom Steuerrecht keine Ahnung, muss ich deswegen jetzt keine Steuertn mehr zahlen? Nein! Ich habe mit für 30€ pro Jahr eine Software für Steuer-DAUs gekauft.

            In der Theorie sollte man das alles machen, in der Praxis ist das für viele einfach nicht machbar zumindest nicht in einem Schritt.

            Da bleibt nur eine Option:

            Erstmal die wichtigsten Dinge, die von außen sichbar sind, umsetzen um das Abmahnrisiko zu reduzieren. Wenn das alles passt kann ich die Kunden langsam an die anderen Punkte heranführen. Alles auf einmal wäre für viele Kunden "to much".

            Lass das „langsam“ weg. Das Gesetz ist seit 2 Jahren bekannt. Mach dich kundig und hilf deinen Kunden, schon aus Eigeninteresse.

            Gruß
            Jürgen

            1. @@JürgenB,

              Erstmal die wichtigsten Dinge, die von außen sichbar sind, umsetzen um das Abmahnrisiko zu reduzieren. Wenn das alles passt kann ich die Kunden langsam an die anderen Punkte heranführen. Alles auf einmal wäre für viele Kunden "to much".

              Lass das „langsam“ weg. Das Gesetz ist seit 2 Jahren bekannt. Mach dich kundig und hilf deinen Kunden, schon aus Eigeninteresse.

              Du hast Recht, man kann seine Meinung ja ändern, ich war mir mit der Meinung eben auch ziemlich unsicher, deshalb habe ich hier nachgefragt. Man lernt aus Fehlern :).

        2. Hallo JürgenB,

          deine Einschätzung mag richtig sein. Trotzdem müssen Gesetze eingehalten werden.

          Nein, sie müssen nur innerhalb des Geltungsbereichs eingehalten werden, und diese Tatsache lässt(gottseidank) einigen Spielraum.

          Gruss
          Henry

          1. Hallo Henry,

            deine Einschätzung mag richtig sein. Trotzdem müssen Gesetze eingehalten werden.

            Nein, sie müssen nur innerhalb des Geltungsbereichs eingehalten werden, und diese Tatsache lässt(gottseidank) einigen Spielraum.

            das heißt, ich verlege meinen Geschäftssitz nach außerhalb der EU?

            Gruß
            Jürgen

            1. Hallo JürgenB,

              das heißt, ich verlege meinen Geschäftssitz nach außerhalb der EU?

              Wenn du dich einiger Vorschriften/Gesetze entziehen möchtest, steht dir das frei; Auch innerhalb der EU. Aber das ist natürlich nur eine Option von vielen.

              Gruss
              Henry

      3. hallo

        Du wirst mir doch Recht geben das diese Dokumente in der Praxis bei den wenigsten KMUs vorliegen. Das ist meines Erachtens eine Tatsache, Rechtsverständnis hin oder her.

        Ich muss meine Verträge nicht publizieren. Wenn aber ein Rechtsstreit vorliegt, muss ich in der Lage sein, diese Verträge vorzuweisen, sofern sie relevant sind. Insofern ist deine Einschätzung eventuell falsch.

        Praktisch bedeuten die von dir aufgeführten Punkte:

        • Du musst im Bedarfsfall in der Lage sein, Auskunft zu geben, was Programme/Methoden/Amtsregeln unter deiner Authorität mit personenbezogenen Daten machen. (Du musst belegen, dir deines Tuns im Klare zu sein).
        • Du musst im Bedarfsfall auch die Verträge zu Dritten, die mit deinen Verarbeiteten Daten umgehen, vorweisen können.
        • Du musst dir im Klaren sein, was im Falle einer Panne geschieht und darüber im Bedarfsfall auch Auskunft geben können.

        Eine englische Bank hat da derzeit grosse Probleme.

        --
        Neu im Forum! Signaturen kann man ausblenden!
  2. Hallo @Karl Heinz,

    Gefühlt wurden bei 90% der KMUs solche Dokumente niemals realisiert bzw. sind auch nicht in Planung.

    Ui, Gefühl ist bei Rechtsthemen kein guter Berater.

    In der Theorie sind diese Dokumente natürlich verpflichtend, in der Praxis meines Erachtens allerdings nicht notwendig, einfach deshalb, weil von einem außen stehenden nicht festgestellt werden kann ob diese Dokumente vorliegen oder nicht. Wenn ein Außenstehender das nicht nachprüfen kann hat er auch nichts in der Hand um eine Abmahnung in Auftrag zu geben.

    Oh, oh, es ist nicht gesagt, dass das nicht geprüft werden kann.

    Aber du kannst uns gerne einmal verraten, warum du fast schon zwanghaft gegen demnächst geltendes Recht verstoßen willst.

    Das „nicht umsetzten“ dieser Dokumente birgt nur ein geringes Abmahnrisiko, deshalb können KMUs mit relativ ruhigem Gewissen auf die Umsetzung dieser Dokumente verzichten. Große Unternehmen hingegen sollten diese Dokumente unbedingt umsetzen lassen, weil hier die Wahrscheinlichkeit einer Prüfung vor Ort wesentlich höher ist.

    Die Tage war zu lesen (Quelle leider vergessen), dass sich bereits Abmahnanwälte und Mitbewerber auf das Inkraftreten der DSGVO vorbereiten. Während große Unternehmen Rechtsabteilungen haben und gut vorbereitet sind, werden also hauptsächlich kleine Unternehmen Ziel von Abmahnungen. Mit deiner Argumentation läufst du denen also direkt ins Messer.

    Und dann gibt es ja immer noch die Kunden, die AFAIK Auskunftsansprüche haben, sowie Aufsichtsbehörden, die wiederum ihre Hebel haben.

    Mit anderen Worten: Mit deiner Einstellung wirst du kurz oder lang „aufs Maul fallen“, denn ehrlich währt am Längsten.

    Mal am Rande: Liegen bei selfhtml solche Dokumente vor? Wenn das nicht der Fall ist werdet Ihr mir das sicherlich nicht verraten, sonst würden Ihr ja nach außen kundtun das Ihr gegen geltendes Recht verstoßt ;-), wie wohl fast jedes KMU.

    Nutz doch den standardisierten Prozess als Nutzer, das ab Ende Mai herauszubekommen.

    Viele Grüße
    Robert

    1. @@Robert,

      Aber du kannst uns gerne einmal verraten, warum du fast schon zwanghaft gegen demnächst geltendes Recht verstoßen willst.

      Es geht nicht um mich, es geht um meine Kunden, die haben keinen Plan und fragen mich. Einige sind mit Impressum, Datenschutzerklärung und AGBs schon restlos überfordert, wenn ich da jetzt noch mit Verfahrensverzeichnis, Datenpannenplänen und Auftragsverarbeitungsverträgen komme machen die komplett zu. Ich möchte den Kunden zumindest etwas helfen. "To much" finde ich da kontraproduktiv. Erstmal Impressum, Datenschutzerklärung und AGBs anpassen, wenn das alles passt erkläre ich den Kunden das mit dem Verfahrensverzeichnis, den Datenpannenplänen und den Auftragsverarbeitungsverträgen und sage Ihnen das Sie dies unbedingt umsetzen sollten, machen werden es viele trotzdem nicht.

      Ich will nur das beste für meine Kunden und mache mir deshalb Mühe. Sicherlich ist das was ich eben geschrieben habe nicht der perfekte Weg, stellt allerdings einen temporären Kompromiss dar. In diesem Kontext finde ich es schade, dass Ihr mein "helfen wollen" negativ bewertet 😟.

      Mal am Rande: Liegen bei selfhtml solche Dokumente vor? Wenn das nicht der Fall ist werdet Ihr mir das sicherlich nicht verraten, sonst würden Ihr ja nach außen kundtun das Ihr gegen geltendes Recht verstoßt ;-), wie wohl fast jedes KMU.

      Nutz doch den standardisierten Prozess als Nutzer, das ab Ende Mai herauszubekommen.

      Wie sieht denn dieser Prozess aus?

      1. Hallo

        Ich will nur das beste für meine Kunden und mache mir deshalb Mühe. Sicherlich ist das was ich eben geschrieben habe nicht der perfekte Weg, stellt allerdings einen temporären Kompromiss dar. In diesem Kontext finde ich es schade, dass Ihr mein "helfen wollen" negativ bewertet.

        Wenn du doch aber keine Ahnung hast und wir dir hier auch nichts verbindliches sagen können, wäre der Verweis an einen Juristen das einzig Richtige. Alles andere ist bloße Meinung und mindestens nicht relevant, schlimmstenfalls aber gefährlich.

        Tschö, Auge

        --
        Eine Kerze stand [auf dem Abort] bereit, und der Almanach des vergangenen Jahres hing an einer Schnur. Die Herausgeber kannten ihre Leser und druckten den Almanach auf weiches, dünnes Papier.
        Kleine freie Männer von Terry Pratchett
      2. Hallo @Karl Heinz,

        Aber du kannst uns gerne einmal verraten, warum du fast schon zwanghaft gegen demnächst geltendes Recht verstoßen willst.

        Es geht nicht um mich, es geht um meine Kunden, die haben keinen Plan und fragen mich. Einige sind mit Impressum, Datenschutzerklärung und AGBs schon restlos überfordert, wenn ich da jetzt noch mit Verfahrensverzeichnis, Datenpannenplänen und Auftragsverarbeitungsverträgen komme machen die komplett zu.

        Und dann kommt noch das Steuerrecht … für das man sich interessanterweise dann doch professionelle Hilfe holt. Warum also nicht auch bei den juristischen Dingen?

        Ich möchte den Kunden zumindest etwas helfen. "To much" finde ich da kontraproduktiv.

        Normalerweise macht man sich erst über die rechtlichen Rahmenbedingungen schlau, bevor man sein Business startet.

        Erstmal Impressum, Datenschutzerklärung und AGBs anpassen, wenn das alles passt erkläre ich den Kunden das mit dem Verfahrensverzeichnis, den Datenpannenplänen und den Auftragsverarbeitungsverträgen und sage Ihnen das Sie dies unbedingt umsetzen sollten, machen werden es viele trotzdem nicht.

        Dann ersetze das „du“ in „aufs Maul fallen“ eben durch „deine Kunden“. Dieses Durchwurschteln wird scheitern. Punkt.

        Ich will nur das beste für meine Kunden und mache mir deshalb Mühe. Sicherlich ist das was ich eben geschrieben habe nicht der perfekte Weg, stellt allerdings einen temporären Kompromiss dar. In diesem Kontext finde ich es schade, dass Ihr mein "helfen wollen" negativ bewertet 😟.

        Wenn du das Beste für deine Kunden möchtest, dann sei ihnen gegenüber doch so ehrlich und sage, an welcher Stelle deine Qualifikation erschöpft ist und sie rechtlichen Rat heranziehen müssen. Es gibt Dinge, da lässt man sich besser von den Profis helfen.

        Wie sieht denn dieser Prozess aus?

        Bei Wikipedia steht jetzt nichts von einem standardisierten Prozess, aber ich hatte in dieser Hinsicht mal was läuten gehört. Genauer kann dir das jemand sagen, der sich damit auskennt (Jurist, IHK, …)

        Viele Grüße
        Robert

    2. Lieber Robert,

      denn ehrlich währt am Längsten.

      hach, das waren noch Zeiten...

      Liebe Grüße,

      Felix Riesterer.

    3. Hi,

      denn ehrlich währt am Längsten.

      Nein! Ewig währt am längsten!

      cu,
      Andreas a/k/a MudGuard

  3. @@Karl Heinz

    Thread von @klaustopher:

    „Hier ist was sich ändert: Ihr müsst euch ENDLICH mal Gedanken machen, WAS diese tausenden von Plugins in eurem Blog (Analytics, Akismet, Social Buttons, etc) eigentlich über eure Nutzer sammeln j d auf welcher rechtlichen Grundlage ihr meint das tun zu dürfen. […] Und: Dass ihr euch JETZT damit beschäftigt sagt schon viel darüber aus, wie sehr euch das Thema interessiert…“

    Womöglich hilfreiche Quellen im Thread.

    Und auf Working Draft Revision 336: DSGVO hatte ich auch schon mal hingewiesen.

    LLAP 🖖

    --
    „Wer durch Wissen und Erfahrung der Klügere ist, der sollte nicht nachgeben. Und nicht aufgeben.“ —Kurt Weidemann
    1. hallo

      Und auf [http://workingdraft.de/336/](Working Draft Revision 336: DSGVO) hatte ich auch schon mal hingewiesen.

      Linkfixer

      http://workingdraft.de/336/

      Ich glaube viele haben dass Missverständnis im Kopf, dass das Angebot von bunten Klickbaren Icons irgendwie ein Muss im Webdesign ist. Geradezu diemetral dazu ist die Auffassung gegenüber Links in anderswo gehosteten Content.

      --
      Neu im Forum! Signaturen kann man ausblenden!
      1. @@beatovich

        Linkfixer

        Danke. In meinem Posting hab ich’s auch berichtigt.

        Das kommt davon, wenn man [URL](Linktitel) anstatt [Linktitel](URL) schreibt.

        Ich glaube viele haben dass Missverständnis im Kopf, dass das Angebot von bunten Klickbaren Icons irgendwie ein Muss im Webdesign ist. Geradezu diemetral dazu ist die Auffassung gegenüber Links in anderswo gehosteten Content.

        Yep.

        LLAP 🖖

        --
        „Wer durch Wissen und Erfahrung der Klügere ist, der sollte nicht nachgeben. Und nicht aufgeben.“ —Kurt Weidemann
        1. hallo

          Geradezu diemetral dazu ist die Auffassung gegenüber Links in anderswo gehosteten Content.

          Yep.

          Ich erlaube mir noch den Hinweis: Je mehr Webautoren auf Links in andere Angebote verzichten, um so mehr tragen sie zur Marktmacht von Google als Suchmaschine bei. Das vielbeklagte Elend ist also oft durch SEO selbstverschuldet. Und da gilt es umzulernen.

          --
          Neu im Forum! Signaturen kann man ausblenden!
          1. Hallo @beatovich,

            Je mehr Webautoren auf Links in andere Angebote verzichten, um so mehr tragen sie zur Marktmacht von Google als Suchmaschine bei. Das vielbeklagte Elend ist also oft durch SEO selbstverschuldet. Und da gilt es umzulernen.

            Quelle: Internet 😉

            Viele Grüße
            Robert

          2. Hallo,

            Je mehr Webautoren auf Links in andere Angebote verzichten, um so mehr tragen sie zur Marktmacht von Google als Suchmaschine bei. Das vielbeklagte Elend ist also oft durch SEO selbstverschuldet. Und da gilt es umzulernen.

            man muss ja nicht auf Links in andere Angebote verzichten, das WWW lebt schließlich von Links. Man kann auch gerne diese Links mit irgendwelchen Icons zieren, man sollte nur keine Resourcen von diesen Seiten einbinden. Wenn erlaubt, kann man ja die Icons selbst hosten.

            Gruß
            Jürgen