Ver­zeich­nis der Verarbeitungstätigkeiten

Das Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten ist ein zen­tra­les Instru­ment des Daten­schutz­ma­nage­ment­sys­tems und es ist erfor­der­lich, um die Doku­men­ta­ti­ons­pflich­ten nach der DSGVO zu erfüllen.

Nach Arti­kel 30 der DSGVO müs­sen ent­we­der Unter­neh­men ab einer Anzahl von 250 Mit­ar­bei­tern oder Unter­neh­men, wel­che eine Ver­ar­bei­tung nicht nur gele­gent­lich durch­füh­ren, ein sol­ches Ver­zeich­nis führen. 

Doch die meis­ten Unter­neh­men müs­sen daher eine führen.

Ein Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten nach der DSGVO müs­sen sowohl Ver­ant­wort­li­che für den Daten­schutz als auch Auf­trags­ver­ar­bei­ter führen.

Auf­trags­ver­ar­bei­ter sind natür­li­che oder juris­ti­sche Per­so­nen, Behör­den, Ein­rich­tun­gen oder ande­re Stel­len, die per­so­nen­be­zo­ge­ne Daten im Auf­trag des Ver­ant­wort­li­chen verarbeiten. 

Das Ver­zeich­nis muss auf Anfra­ge der zustän­di­gen Daten­schutz-Auf­sichts­be­hör­de vor­ge­legt werden. 

Dabei ist auch zu beach­ten, dass die­ses nicht der Daten­schutz­be­auf­trag­te, son­dern der Ver­ant­wort­li­che das Ver­zeich­nis füh­ren muss. Sonst besteht die Gefahr, dass sich der Daten­schutz­be­auf­trag­te selbst kontrolliert.

Was muss das Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten enthalten?

  1. Namen und die Kon­takt­da­ten des Verantwortlichen
  2. Name und die Kon­takt­da­ten des Daten­schutz­be­auf­trag­tem (Falls vorhanden)
  3. Zwe­cke der Verarbeitung;
  4. Die Kate­go­rien betrof­fe­ner Personen
  5. und die Kate­go­rien per­so­nen­be­zo­ge­ner Daten;
  6. sowie die Kate­go­rien von Empfängern
  7. Emp­fän­ger in Dritt­län­dern oder inter­na­tio­na­len Organisationen
  8. Fris­ten für die Löschung
  9. Tech­ni­schen und orga­ni­sa­to­ri­schen Maßnahmen

Wel­che Bedeu­tung hat das Ver­zeich­nis von Verarbeitungstätigkeiten?

Das Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten ist nicht nur eine gesetz­li­che Ver­pflich­tung. Zwar muss es im Ernst­fall bei einer Prü­fung durch die zustän­di­ge Daten­schutz­auf­sichts­be­hör­de vor­lie­gen, aber es ist auch ein wich­ti­ges Werk­zeug für die Daten­schutz­kon­trol­len und die Infor­ma­ti­on von betrof­fe­nen Per­so­nen im Rah­men der Erfül­lung der Informationspflichten.

Denn ein eine Ver­ar­bei­tungs­über­sicht gibt ins­be­son­de­re dar­über Auskunft,

  • wel­che per­so­nen­be­zo­ge­nen Daten
  • unter Ver­wen­dung wel­cher auto­ma­ti­sier­ten Verfahren
  • auf wel­che Wei­se ver­ar­bei­tet wer­den und
  • wel­che Daten­schutz­maß­nah­men die Pro­zes­se schützen.

Damit hilft das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten auch dabei, die Betrof­fe­nen­rech­te umzusetzen. 

Denn nur so bekommt ein Ver­ant­wort­li­cher wirk­lich einen Über­blick, an wel­cher Stel­le er wel­che Daten wie verarbeitet.

Wie erstel­len Sie eine Verarbeitungsübersicht?

Hier­zu sind die nach­fol­gen­den Schrit­te nötig:

  • Über­blick über alle Zwe­cke, zu denen die per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet werden
  • Erstel­lung einer Lis­te aller Ver­fah­ren und der Software-Anwendungen
  • Ver­knüp­fung der ein­zel­nen Ver­fah­ren, Soft­ware-Anwen­dun­gen und Datenverarbeitungszwecken.
  • Fest­stel­lung der betrof­fe­nen Per­so­nen­grup­pen und Datenkategorien
  • Ermitt­lung der Datenempfänger
  • Defi­ni­ti­on der Lösch­fris­ten (Lösch­kon­zept)
  • Fixie­rung geplan­ter Daten­über­mitt­lun­gen an Drittstaaten.

Ich hel­fe Ihnen ger­ne bei der Erstel­lung des Ver­zeich­nis­ses, hier­zu nut­ze ich eine geeig­ne­te Software. 

Dadurch wird die Erstel­lung und die Pfle­ge des Ver­zeich­nis­ses eine leich­te Sache und es wird auch nicht ver­ges­sen, die­ses regel­mä­ßig zu pflegen.

Kommentar hinzufügen