Jump to content

Verarbeitungsverzeichnis und Neue Datenschutz-Grundverordnung mit einfachen Worten?


ShopMann

Recommended Posts

Hi,

heute habe ich folgende Artikel gelesen:

https://www.prestashop.com/de/blog/neue-datenschutz-grundverordnung-was-andert-sich?utm_source=back-office&utm_medium=rss&utm_campaign=back-office-DE&utm_content=download

Es geht um die neue Datenschutzverordnung ab 25.05.2018.

Solche Sprache ist nicht ganz einfach für mich )

 

Hier ist ein Absatz über die Datenerfassung:

"Datenerfassung

Von großer Bedeutung ist die Pflicht zur Führung eines sog. Verarbeitungsverzeichnisses, in dem die internen Prozesse bei der Verarbeitung personenbezogener Daten dokumentiert werden müssen. Damit soll die Transparenz von Datenverarbeitungsprozessen gesichert werden. Das Verarbeitungsverzeichnis muss bis 25.05.2018 erstellt sein und ist auf Anfrage den Datenschutzbehörden vorzulegen, sonst drohen saftige Bußgelder. Die Pflicht besteht für jedes Unternehmen und trifft laut DS-GVO den „Verantwortlichen“, d.h. das Unternehmen selbst. Formal ist der Geschäftsführer für das ordnungsgemäße Führen des Verarbeitungsverzeichnisses verantwortlich. Die Pflicht kann aber im Normalfall auch auf den betrieblichen Datenschutzbeauftragten übertragen werden."

 

Vor allem möchte ich nachvollziehen was genau ist das Verarbeitungsverzeichniss und wie wird es bei einem Prestashop technisch umgesetzt?

 

Zu dem Thema habe ich auch noch hier einiges gelesen:

https://www.recht-freundlich.de/eu-datenschutz-grundverordnung/das-verarbeitungsverzeichnis-nach-art-30-der-dsgvo

Ein Abschnitt darauf deutet, daß ein Unternehmen mit 250 Mitarbeiter hat kein Pflicht für die Führung des Verarbeitungsverzeichnisses.

Ausgenommen davon sind die folgenden Fällen: die Verarbeitung trägt ein Risiko für die Rechte und Freiheiten betroffener Personen, sie erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien (Art. 9 Abs. 1 DSGVO) bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO). Die Ausnahme in Art. 30 Abs. 5 DSGVO gilt dann nur für gelegentliche Verfahren und es gibt deshalb für alle Grundfunktionen des Unternehmens keine Änderung bei der Pflicht zur Verzeichnisführung.

 

Dieser Satz bedarf für mich einer Erklärung:

"die Verarbeitung trägt ein Risiko für die Rechte und Freiheiten betroffener Personen, sie erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien (Art. 9 Abs. 1 DSGVO)".

 

Wie kann ich nachvollziehen ob und welche Verarbeitung ein Risiko für die Rechte und Freiheiten betroffener Personen trägt?

 

Z.B. ich verwende im Prestashop dieses Modul "Offline Credit Card Payment - Manual processing Modul":

https://addons.prestashop.com/de/kassensystem-pos/6270-offline-credit-card-payment-manual-processing.html

wo die Kreditkartendaten für kurzezeit im Backoffice gespeichert (im Shop alle Seiten per https-protokol augerufen werden) werden und nach der Verarbeitung per Kartenterminal sofort gelöscht werden.

Heisst das, daß die Verarbeitung ein Risiko für die Rechte und Freiheiten betroffener Personen trägt?

Und was heißt "sie erfolgt nicht nur gelegentlich"? Wer bestimmt was ist gelegentlich und was nicht?

 

Und noch ein Absatz:

"Datenportabilität

Neu eingeführt wurde das Recht auf Datenportabilität. Kunden können von Onlinehändlern einfordern, dass diese die über die betroffene Person gespeicherten Daten in einem gängigen Format an einen anderen Onlineshop übertragen. Dies soll es erleichtern zwischen verschiedenen Anbietern zu wechseln und beispielsweise Empfehlungen auf Basis vergangener Bestellungen zu erhalten."

 

Dazu die gleiche Frage: wie wird das in Praxis gemacht, wie kann man das technisch beim Prestashop umsetzen?

Link to comment
Share on other sites

vor 2 Stunden schrieb Viaceslav:

Vor allem möchte ich nachvollziehen was genau ist das Verarbeitungsverzeichniss und wie wird es bei einem Prestashop technisch umgesetzt?

Das ist keine technische Funktion, die Prestashop betrifft, sondern dieses Verarbeitungsverzeichnis betrifft dein Unternehmen.

Du mußt schriftlich (auf Papier oder digital) eine Dokumentation aufstellen, wie du mit den Daten, die du verarbeitest, umgehst. Im einzelnen mußt du dokumentieren:

· Name und Kontaktdaten des Verantwortlichen, seines Vertreters und des Datenschutzbeauftragten

· Zwecke der Verarbeitung

· Kategorien betroffener Personen und personenbezogener Daten

· Kategorien von Empfängern

· Übermittlungen von personenbezogenen Daten an ein Drittland

· Fristen für Löschung

· Beschreibung der technischen und organisatorischen Maßnahmen

Angaben des Auftragsverarbeiters (Art. 30 Abs. 2 DSGVO)

· Name und Kontaktdaten des Auftragverarbeiters und des Verantwortlichen, ihrer Vertreter und des Datenschutzbeauftragten

· Kategorien von Verarbeitungen

eine brauchbare Mustervorlage findest du z.B. hier:

https://www.google.de/url?sa=t&rct=j&q=&esrc=s&source=web&cd=4&ved=0ahUKEwiMpu21gdfXAhUCElAKHZIQBkMQFgg3MAM&url=https%3A%2F%2Fwww.wko.at%2Fservice%2Fwirtschaftsrecht-gewerberecht%2FEU-DSGVO-MUSTER-Verarbeitungsverzeichnis-Verantwortlicher.DOCX&usg=AOvVaw2fmCicqQAi72gHOQE0zdPR

Aber wenn du keine besonders sensiblen Daten im Sinne des Art. 9 DSGVO (sexuelle Orientierung, Hautfarbe, Religion oder Weltanschauung usw) erhebst und dein Unternehmen weniger als 250 Mitarbeiter hat, brauchst du dieses Verzeichnis nicht führen ( Art. 30 Abs. 5 DSGVO )

Grüsse
Whiley

 

  • Like 1
Link to comment
Share on other sites

2 hours ago, Whiley said:

Aber wenn du keine besonders sensiblen Daten im Sinne des Art. 9 DSGVO (sexuelle Orientierung, Hautfarbe, Religion oder Weltanschauung usw) erhebst und dein Unternehmen weniger als 250 Mitarbeiter hat, brauchst du dieses Verzeichnis nicht führen ( Art. 30 Abs. 5 DSGVO )

Grüsse
Whiley

 

 

Vielen Dank für die Erläuterungen. Solche Daten werden nicht erhoben und es gibt nur weniger Mitarbeiter. Aber ändert das nicht die Tatsache, daß die Kreditkartendaten für kurze Zeit (bis das Geld von der Karte abgezogen wird) im Backoffice von Prestashop gespeichert werden?

Und wie wird im Praxis die Datenportabilität umgesetzt? Wie macht man das technisch gesehen?

Edited by Viaceslav (see edit history)
Link to comment
Share on other sites

  • 2 weeks later...
On 24.11.2017 at 2:07 PM, Viaceslav said:

Und wie wird im Praxis die Datenportabilität umgesetzt? Wie macht man das technisch gesehen?

Hallo,

zu der Kreditkartenfrage kann ich nichts beitragen, aber ggf. dein Anbieter des Terminals o.ä.,  schau doch dort mal ob die nicht Infos/Newsletter zu diesen Fragen rausgeben oder demnächst noch haben  (wird ja schnell aktuell dieses Thema).

Für die Datenportabilität genügt eigtl. die Kundendaten als CSV-Datei oder XML (Text) zu exportieren, das ist ein allgemein offenes Format das wohl jeder importieren kann.  Aber bei dieser Änderung frage ich mich ob das mal wieder einen praktischen Nutzen hat und nicht anderen Gesetzen entgegensteht,  also mal abwarten auf die ersten Urteile dazu.

 

  • Like 1
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...