Praxistipp DSGVO #7: Verzeichnis von Verarbeitungstätigkeiten

- September 26, 2016

Das Verzeichnis von Verarbeitungstätigkeiten entspricht dem Verfahrensverzeichnis nach BDSG. Die Pflicht zur Führung bleibt nach Art. 30 DSGVO bestehen.

Es muss unter anderem diese Informationen enthalten:

– Die Zwecke der Datenverarbeitung, die das Unternehmen verfolgt
– Eine Beschreibung der betroffenen Personen, der verarbeiteten Daten und der Empfänger – jeweils in Kategorien
– Die Löschungsfristen und die technischen und organisatorischen Sicherheitsmaßnahmen, jeweils „wenn möglich“.

Auch Auftragsverarbeiter

Neu ist, dass nunmehr auch die Auftragnehmer, die für andere Unternehmen Daten verarbeiten (Auftragsverarbeiter), die Verfahren, die sie für andere durchführen, in einem eigenen Verfahrensverzeichnis dokumentieren müssen (Art. 30 Abs. 2 DSGVO).

Bürokratie?

Klingt wie großer bürokratischer Unsinn, meinen Sie? In manchen Fällen ist die Zusammenstellung der Angaben für ein Verfahrensverzeichnis sicherlich eine Arbeit „für einen, der Vater und Mutter erschlagen hat“, wie mein Vater zu sagen pflegte. Das Verzeichnis der Verarbeitungstätigkeiten hat aber den immensen Vorteil, dass man auf einen Blick eine Übersicht über alles hat, was im Unternehmen läuft. Dass man schon bei der Erstellung ganz schnell sieht, welche Verfahren als rechtlich (und technisch) riskant einzustufen sind. Änderungen und Ergänzungen sind dann leicht einzufügen.

Nachweispflichten erfüllt

Das Verzeichnis stellt damit auch in Zukunft einen wichtigen Baustein zur Erfüllung der in der DSGVO festgelegten Nachweispflichten, z.B. nach Art. 24 Abs. 1 DSGVO, dar. Für die Anpassung der Prozesse für die DSGVO müssen daher die folgenden Punkte geprüft werden:

– Besteht ein Verzeichnis von Verarbeitungstätigkeiten
– Wer ist im Unternehmen für die Vollständigkeit und Aktualität verantwortlich
– Bestehen unternehmensinterne Kontroll- und Genehmigungsverfahren, die das rechtzeitige Erkennen und Umsetzen von notwendigen Änderungen sicherstellen?

Sofern Sie sich die Mühe nicht selbst machen wollen, fragen Sie einfach mal bei uns an. Wir haben jahrelange Übung auf diesem Feld und schreiben diese Listen gerne. Meistens.

Wir erarbeiten Sicherheitskonzepte und übernehmen für Sie den externen betrieblichen Datenschutz.