Das Verzeichnis von Verarbeitungstätigkeiten ist ein zentrales Instrument des Datenschutzmanagementsystems und es ist erforderlich, um die Dokumentationspflichten nach der DSGVO zu erfüllen.
Nach Artikel 30 der DSGVO müssen entweder Unternehmen ab einer Anzahl von 250 Mitarbeitern oder Unternehmen, welche eine Verarbeitung nicht nur gelegentlich durchführen, ein solches Verzeichnis führen.
Doch die meisten Unternehmen müssen daher eine führen.
Ein Verzeichnis von Verarbeitungstätigkeiten nach der DSGVO müssen sowohl Verantwortliche für den Datenschutz als auch Auftragsverarbeiter führen.
Auftragsverarbeiter sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten.
Das Verzeichnis muss auf Anfrage der zuständigen Datenschutz-Aufsichtsbehörde vorgelegt werden.
Dabei ist auch zu beachten, dass dieses nicht der Datenschutzbeauftragte, sondern der Verantwortliche das Verzeichnis führen muss. Sonst besteht die Gefahr, dass sich der Datenschutzbeauftragte selbst kontrolliert.
Was muss das Verzeichnis von Verarbeitungstätigkeiten enthalten?
- Namen und die Kontaktdaten des Verantwortlichen
- Name und die Kontaktdaten des Datenschutzbeauftragtem (Falls vorhanden)
- Zwecke der Verarbeitung;
- Die Kategorien betroffener Personen
- und die Kategorien personenbezogener Daten;
- sowie die Kategorien von Empfängern
- Empfänger in Drittländern oder internationalen Organisationen
- Fristen für die Löschung
- Technischen und organisatorischen Maßnahmen
Welche Bedeutung hat das Verzeichnis von Verarbeitungstätigkeiten?
Das Verzeichnis von Verarbeitungstätigkeiten ist nicht nur eine gesetzliche Verpflichtung. Zwar muss es im Ernstfall bei einer Prüfung durch die zuständige Datenschutzaufsichtsbehörde vorliegen, aber es ist auch ein wichtiges Werkzeug für die Datenschutzkontrollen und die Information von betroffenen Personen im Rahmen der Erfüllung der Informationspflichten.
Denn ein eine Verarbeitungsübersicht gibt insbesondere darüber Auskunft,
- welche personenbezogenen Daten
- unter Verwendung welcher automatisierten Verfahren
- auf welche Weise verarbeitet werden und
- welche Datenschutzmaßnahmen die Prozesse schützen.
Damit hilft das Verzeichnis der Verarbeitungstätigkeiten auch dabei, die Betroffenenrechte umzusetzen.
Denn nur so bekommt ein Verantwortlicher wirklich einen Überblick, an welcher Stelle er welche Daten wie verarbeitet.
Wie erstellen Sie eine Verarbeitungsübersicht?
Hierzu sind die nachfolgenden Schritte nötig:
- Überblick über alle Zwecke, zu denen die personenbezogenen Daten verarbeitet werden
- Erstellung einer Liste aller Verfahren und der Software-Anwendungen
- Verknüpfung der einzelnen Verfahren, Software-Anwendungen und Datenverarbeitungszwecken.
- Feststellung der betroffenen Personengruppen und Datenkategorien
- Ermittlung der Datenempfänger
- Definition der Löschfristen (Löschkonzept)
- Fixierung geplanter Datenübermittlungen an Drittstaaten.
Ich helfe Ihnen gerne bei der Erstellung des Verzeichnisses, hierzu nutze ich eine geeignete Software.
Dadurch wird die Erstellung und die Pflege des Verzeichnisses eine leichte Sache und es wird auch nicht vergessen, dieses regelmäßig zu pflegen.
6 Comments