Verzeichnis Verarbeitungstätigkeiten

Verzeichnis von Verarbeitungstätigkeiten in der DSGVO

Um personenbezogenen Daten nach Maßgaben der EU-DSGVO schützen zu können, muss das verantwortliche Unternehmen zunächst ermitteln, in welchen Fällen personenbezogene Daten – z.B. von Kunden, Lieferanten oder Beschäftigten – erhoben und verarbeitet werden. Als erster Anhaltspunkt bietet es sich an, alle Systeme bzw. Tools im Unternehmen aufzulisten, in welchen personenbezogenen Daten gespeichert werden.

Eine solche Vorgehensweise ist aus zwei Gründen sinnvoll. Einerseits können dadurch die Datenflüsse im Unternehmen ermittelt und definiert werden. Andererseits wird ein erster Grundstein für das Verzeichnis von Verarbeitungstätigkeiten gelegt.

Eine Unterscheidung zwischen dem öffentlichen und internen Verfahrensverzeichnis wird es nach der Datenschutz-Grundverordnung nicht mehr geben. Nach Art. 30 DSGVO ist der Verantwortliche verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. In diesem Verzeichnis sind die wesentlichen Informationen zu Datenverarbeitungstätigkeiten zusammenzufassen, insbesondere also Angaben zum Zweck der Verarbeitung und eine Beschreibung der Kategorien der personenbezogenen Daten, der betroffenen Personen und der Empfänger.

Dokumentationspflicht im Datenschutz mit uns rechtssicher umsetzen

Da eine Übersicht über alle Datenverarbeitungsvorgänge in einem Dokument schnell unübersichtlich wird, wird das Verzeichnis in der Praxis aus vielen verschiedenen Einzelverzeichnissen bestehen. So sollte für jedes Tool bzw. System (z.B. IT-System (EDV), Zeiterfassungssystem, CRM-System, HR-Managementtool, etc.) ein eigenes Verzeichnis der Verarbeitungstätigkeiten (Word-Datei) oder in einer Tabelle (Excel-Datei) erstellt werden.

Die neuen Verzeichnisse von Verarbeitungstätigkeiten ähneln inhaltlich den bisherigen internen Verfahrensverzeichnissen nach dem alten BDSG. Daher dürften für Unternehmen, die bereits jetzt über strukturierte Verfahrensübersichten verfügen, die Vorgaben des Art. 30 DSGVO keine größeren Probleme bereiten.

Wir beraten Sie zum Thema „VVT“ ausführlich und unterstützen Sie dabei mit entsprechenden Dokumenten sowie Handlungsempfehlungen für eine datenschutzkonforme Umsetzung.

Weitere Informationen und FAQs im Überblick

Was ist ein Verzeichnis von Verarbeitungstätigkeiten?

Zu den Verpflichtungen, die in der Datenschutzgrundverordnung (DSGVO) festgelegt sind, gehört auch die Pflicht zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten.

Dabei handelt es sich um ein internes Verzeichnis, das Informationen über alle von einem Unternehmen oder einer Organisation durchgeführten Verarbeitungstätigkeiten von personenbezogenen Daten enthält. Die DSGVO regelt in Artikel 30 die Pflicht zur Führung von Aufzeichnungen, ihren Inhalt, ihre Form, die Pflicht zur Bereitstellung der Aufzeichnungen an die Datenschutzbehörde und die Ausnahmen von der Pflicht zur Führung eines Protokolls.

Sie ist als Rechenschaftsmaßnahme für Unternehmen und als erster Schritt auf dem Weg zur Einhaltung der Datenschutzgesetze gedacht. Das Führen eines Verzeichnisses von Verarbeitungstätigkeiten sollte nicht als lästige Pflicht verstanden werden, sondern als hilfreiches Instrument zur Sicherstellung der Einhaltung der Vorschriften genutzt werden.

Ist das Führen eines Verzeichnisses von Verarbeitungstätigkeiten obligatorisch?

Die erste Frage, die sich ein für die Datenverarbeitung Verantwortlicher oder ein Auftragsverarbeiter stellen sollte, ist, ob diese Verpflichtung für ihn gilt. Die kurze Antwort lautet Ja, höchstwahrscheinlich Ja.

Obwohl diese Verpflichtung nur für Unternehmen oder Organisationen gilt, die mehr als 250 Personen beschäftigen, gibt es einige bemerkenswerte Ausnahmen von dieser Regel.

Die Aufbewahrungspflicht gilt auch für jedes Unternehmen oder jede Organisation, die weniger als 250 Personen beschäftigt, wenn:

  • die von ihr durchgeführte Verarbeitung wahrscheinlich zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt;
  • die Verarbeitung nicht gelegentlich erfolgt;
  • die Verarbeitung besondere Kategorien personenbezogener Daten einschließt;
  • die Verarbeitung personenbezogene Daten umfasst, die sich auf strafrechtliche Verurteilungen und Straftaten beziehen.

Wer ist verpflichtet, die Aufzeichnungen über die Verarbeitungstätigkeiten aufzubewahren?

Bei näherer Betrachtung können wir feststellen, dass die zweiten Kriterien auf die meisten (wenn nicht alle) Unternehmen und Organisationen anwendbar sind, da sie unter irgendeine nationale Verpflichtung fallen, die irgendeine Art der Verarbeitung von personenbezogenen Daten zwingend vorschreibt.

Das offensichtlichste Beispiel hierfür wäre die Verpflichtung zur Verarbeitung personenbezogener Daten von Mitarbeitern zum Zweck der Auszahlung ihrer Gehälter. Die Art dieser Verpflichtung macht diese Tätigkeit periodisch und regelmäßig, im Gegensatz zu gelegentlich.

Obligatorischer Inhalt des Verzeichnisses der Verarbeitungstätigkeiten

Das Verzeichnis der Verarbeitungstätigkeiten sollte eine umfassende Liste aller Verarbeitungstätigkeiten sein, die von den für die Datenverarbeitung Verantwortlichen und den Datenverarbeitern durchgeführt werden, sowie der diesbezüglichen Besonderheiten.

Die folgenden Informationen sind in Artikel 30 Absatz 1 als obligatorischer Inhalt für jedes von einem für die Verarbeitung Verantwortlichen geführte Verzeichnis von Verarbeitungstätigkeiten festgelegt:

  • Name und Kontaktangaben des Verantwortlichen;
  • Zwecke der Verarbeitung;
  • Kategorien der betroffenen Personen;
  • Kategorien von Empfängern;
  • Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation;
  • Fristen für die Löschung;
  • technische und organisatorische Sicherheitsmaßnahmen.

Gemäß Artikel 30 Absatz 2 sind Datenverarbeiter verpflichtet, die folgenden Informationen in ihren Aufzeichnungen über Verarbeitungstätigkeiten festzuhalten:

  • den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes für die Verarbeitung Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist;
  • die Kategorien der Verarbeitungen, die im Auftrag des jeweiligen Verantwortlichen durchgeführt werden;
  • die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation;
  • technische und organisatorische Sicherheitsmaßnahmen.

Zusätzlicher Inhalt der Aufzeichnungen von Verarbeitungstätigkeiten

Dies schließt natürlich nicht aus, dass Verantwortliche und Auftragsverarbeiter weitere Informationen in ihre Aufzeichnungen aufnehmen. Allerdings sollten die Aufzeichnungen über Verarbeitungstätigkeiten nicht mit zu vielen Informationen überfrachtet werden, insbesondere nicht mit unnötigen.

Sie sollten übersichtlich, einfach und verständlich sein. Hierfür gibt es zwei Hauptgründe:

1. Das Protokoll muss der Aufsichtsbehörde zur Verfügung gestellt werden.

Der erste Grund betrifft die Verpflichtung der für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter, die in Artikel 30 Absatz 4 der Datenschutz-Grundverordnung festgelegt ist, der Aufsichtsbehörde die Aufzeichnungen auf Anfrage zur Verfügung zu stellen.

Es liegt im Interesse des für die Verarbeitung Verantwortlichen/Verarbeiters, der Aufsichtsbehörde die beabsichtigte Prüfung zu erleichtern. Da die Aufzeichnung der Verarbeitungstätigkeiten höchstwahrscheinlich der Ausgangspunkt für jede Aufsicht ist, wird dieser Prozess umso schneller und weniger schmerzhaft sein, wenn die Aufzeichnungen in einer ordentlichen, fast minimalistischen Form geführt werden.

2. Bessere Kontrolle über die Verarbeitungstätigkeiten haben

Der zweite Grund ist, dem Verantwortlichen/Verarbeiter zu helfen, die Kontrolle über seine Verarbeitungstätigkeiten und die Einhaltung der DSGVO zu haben.

Aufzeichnungen über Verarbeitungstätigkeiten sollten die Grundlage der GDPR-Compliance (DSGVO-Konformität) eines Unternehmens sein und sollten daher so geführt werden, dass es für den Verantwortlichen/Verarbeiter einfach ist, alle seine Verarbeitungstätigkeiten zu überwachen und Informationen hinzuzufügen, zu ändern oder zu entfernen, wenn sich die Umstände ändern.

Das bedeutet jedoch nicht, dass das Hinzufügen zusätzlicher Informationen, die über die erforderlichen hinausgehen, falsch ist. Wenn das Hinzufügen zusätzlicher Informationen den Überblick über alle Verarbeitungstätigkeiten erleichtert und ein hohes Maß an Konformität gewährleistet, dann ist dies sehr zu empfehlen.

Sollten Sie weitere Informationen oder Unterstützung bei der Schulung oder Umsetzung des Verzeichnisses der Verarbeitungstätigkeiten in Sachsen benötigen, dann melden Sie sich jetzt bei uns für einen unverbindlichen Beratungstermin!

+491721897117

Schick uns ein Telegram

Nachricht per Threema

beratung@te-site.freequenzart.de

t+e engineering GmbH

Nauweg 3

01665 Klipphausen

t+e eengineering Logo

Privatsphäre-Informationen

Diese Seite nutzt Website-Tracking-Technologien von Dritten, um ihre Dienste anzubieten, stetig zu verbessern und Werbung entsprechend der Interessen der Nutzer anzuzeigen. Ich bin damit einverstanden und kann meine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen oder ändern.

Hinweis zur Datenweitergabe in die USA durch Google: Indem Sie auf "Akzeptieren" klicken, willigen Sie zugleich gem. Art. 49 Abs. 1 S. 1 lit. a DSGVO ein, dass Ihre Daten in den USA verarbeitet werden. Wir weisen darauf hin, dass die USA kein sicherer Drittstaat im Sinne des EU-Datenschutzrechts sind. US-Unternehmen sind dazu verpflichtet, personenbezogene Daten an Sicherheitsbehörden herauszugeben, ohne dass Sie als Betroffener hiergegen gerichtlich vorgehen könnten. Es kann daher nicht ausgeschlossen werden, dass US-Behörden (z.B. Geheimdienste) Ihre auf US-Servern befindlichen Daten zu Überwachungszwecken verarbeiten, auswerten und dauerhaft speichern. Wir haben auf diese Verarbeitungstätigkeiten keinen Einfluss.

Datenschutzerklärung     Impressum

Nur Notwendige Konfigurieren
Akzeptieren
t+e eengineering Logo

Ihre Cookie-Konfiguration

Wählen Sie, welche Optionen Sie auf "t+e engineering" akzeptieren.

Info

Diese Cookies ermöglichen grundlegende Funktionen und sind für die einwandfreie Funktion der Website erforderlich.

  • Name: Consent Cookie
  • Anbieter: Eigentümer dieser Website
  • Zweck: Speichert die Einstellungen der Besucher, die in dieser Auswahl ausgewählt wurden.
  • Cookie Laufzeit: ein Jahr
  • Cookie-Name: wp-consense-tool
  • Datenschutzerklärung: /disclaimer/
Info

Statistik Cookies erfassen Informationen anonym. Diese Informationen helfen uns zu verstehen, wie unsere Besucher unsere Website nutzen.

  • Name: Google Analystics
  • Anbieter: Google LLC
  • Zweck: Cookie von Google für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt.
  • Cookie Laufzeit: 2 Jahre
  • Cookie-Name: _ga,_gat,_gid
  • Datenschutzerklärung: https://policies.google.com/privacy?hl=de
Info

reCAPTCHA ist ein freier Captcha-Dienst von Google, der Webseiten vor Spam-Software und den Missbrauch durch nicht-menschliche Besucher schützt.

  • Name: Google reCAPTCHA
  • Anbieter: Eigentümer dieser Webseite
  • Zweck: Schutz der Webseite vor Spam-Software und den Missbrauch durch nicht-menschliche Besucher
  • Cookie Laufzeit: 6 Monate
  • Cookie-Name: NID
  • Datenschutzerklärung: https://policies.google.com/privacy?hl=de

Datenschutzerklärung     Impressum

Auswahl speichern Alles akzeptieren