Wer als Unternehmer personenbezogene Daten verarbeitet,also im Grunde jeder Unternehmer, muss ein Verarbeitungsverzeichnis nach Art. 30 DSGVO führen. Erfahren Sie hier, was der Unterschied zum „Jedermannverzeichnis“ nach altem Datenschutzrecht ist und warum sich ein ordentlich gepflegtes Verarbeitungsverzeichnis lohnt.
Was unterscheidet das Verarbeitungsverzeichnis vom Jedermannverzeichnis?
Bereits im alten Datenschutzrecht vor 2018 war verankert, dass eine Übersicht von meldepflichtigen automatisierten Verarbeitungen „Jedermann“ auf Verlangen vorgelegt werden muss – das sog. „Jedermannverzeichnis“. Heute spricht man stattdessen von einem „Verarbeitungsverzeichnis“ nach DSGVO. Die Unterscheidung ist berechtigt: Das Verarbeitungsverzeichnis muss mehr Informationen enthalten, und zwar zu allen Verarbeitungstätigkeiten, ob automatisiert oder nicht. Dafür muss es auf Verlangen nur der Datenschutzbehörde und nicht „Jedermann“ vorgelegt werden.
Was ist eine Verarbeitungstätigkeit?
Kern der Verarbeitungstätigkeit ist die Verarbeitung. Damit ist nach DSGVO jeder Vorgang im Zusammenhang mit personenbezogenen Daten gemeint – also alles, was man mit personenbezogenen Daten machen kann, von der Erfassung über die Speicherung bis zur Löschung, egal ob digital oder analog. Zusätzlich müssen die betroffenen Datenkategorien, die betroffenen Personenkategorien, ggf. die Empfängerkategorien, die Löschfrist, die Rechtsgrundlage sowie die in diesem Zusammenhang getroffenen technischen und organisatorischen Maßnahmen (TOMs) betrachtet werden. All das sind Aspekte einer Verarbeitungstätigkeit, die im Verzeichnis dokumentiert werden müssen.
Warum lohn sich das Verarbeitungsverzeichnis für mich?
Wer sein Verarbeitungsverzeichnis ordentlich führt und stets aktuell hält, vermeidet nicht nur Bußgelder, sondern profitiert insgesamt, da das Verarbeitungsverzeichnis auch als Grundlage für viele weitere DSGVO-Pflichten dient. Beispielsweise haben Auftragsverarbeiter so stets eine aktuelle Referenz für das Ausfüllen von AV-Verträge, bei Datenschutzanfragen sind die Informationen für den Betroffenen schnell zusammengetragen, technische und organisatorische Maßnahmen können informiert, ganzheitlich und sinnvoll geplant werden und bei Datenpannen können die Auswirkungen und die Ursachen besser und schneller nachvollzogen werden.
Tipps für die Erstellung
Listen Sie zunächst alle Verarbeitungen in Ihrem Unternehmen auf, z.B. nach Abteilungen gegliedert. Ordnen Sie dann die betroffenen Kategorien von Daten, Personen und ggf. Empfängern zu. In einem letzten Schritt können Rechtsgrundlage, Löschfristen und TOMs festgelegt werden. Die Erstellung kann, besonders ohne Tool, etwas mühsam sein, zahlt sich aber auf lange Sicht definitiv aus. Mit der Software "PRIVE" kann mit wenigen Klicks ein Verarbeitungsverzeichnis erstellt werden.
Weitere Artikel von Alex Goldberg:
Whistleblowing im Überblick Die neuen gesetzlichen AnforderungenDas Hinweisgeberschutzgesetz dient der Umsetzung der EU Whistleblower- Richtlinie und bezweckt den Schutz von Personen. Für mittelständische Unternehmen mit 50 bis 249 Angestellten gilt eine letzte Übergangsfrist bis zum 17. Dezember 2023. Nach Ablauf dieser Fristen können Unternehmen, die keine Meldestelle eingerichtet haben oder den Betrieb einer solchen vernachlässigen, mit Bußgeldern bis zu 20.000 Euro belangt werden. |
Das anwaltliche Datenschutz-Audit Der DSGVO-Rundum-Schutz von Bußgeldern und AbmahnungenDatenschutz ist wie Steuern: Keiner will, aber jeder muss! In dieser Aufzeichnung erfahren Sie, wie ein DSGVO-Audit vor Abmahungen und Bußgeldern schützt. |
ChatGPT im Einsatz Wie Sie das KI-Tool im Alltag rechtskonform einsetzen könnenDie Verwendung von ChatGPT im Marketing, z. B. für die Erstellung von Texten für Newsletter, Instagram und Google Ads, ist grundsätzlich akzeptabel. Es ist jedoch wichtig, die Richtigkeit der KI-generierten Inhalte zu überprüfen. Aus urheberrechtlichen Gründen sollten die Produkte des AI-Tools nur als Inspiration für eigene Texte dienen. Eine direkte Übernahme von Texten ist nicht ratsam, da Sie nicht als Urheber gelten und kein Urheberrecht beanspruchen können. |
Datenschutzverstöße diesen Sommer Millionenschwere Bußgelder treffen Spotify, Amazon und weitere Unternehmen!Diesen Sommer wurden bedeutsame Bußgelder gegen mehrere namhafte Unternehmen verhängt, die Datenschutzverstöße begangen hatten. Die Strafen fielen im Millionenbereich aus und wurden von den Datenschutzbehörden wegen unzureichender Auskunftserteilung, fehlender Abmeldemöglichkeiten, und Verstößen bei der Datennutzung verhängt. |
Datentransfer in die USA Verbesserter Datenschutz bringt mehr Rechtssicherheit für Unternehmen!Am 10. Juli 2023 hat die EU-Kommission den Angemessenheitsbeschluss zum EU-US Data Privacy Framework (EU-US DPF) veröffentlicht. Das bedeutet, dass bei der Übermittlung von Daten an ein zertifiziertes US-Unternehmen ein angemessenes Datenschutzniveau in den USA gegeben ist. |
Rekordstrafe für Facebook 1,2 Milliarden Euro Bußgeld wegen Datenschutz-VerstößenSeit Inkrafttreten der Europäischen Datenschutz-Grundverordnung vor fünf Jahren hat Meta mehr Bußgelder kassiert als jedes andere Internetunternehmen. Der Facebook-Mutterkonzern steht nun erneut vor einer Rekordstrafe. |
Den Datenschutz und die DSGVO schnell umsetzen Ein Leitfaden in 6 einfachen SchrittenDie Beachtung des Datenschutzes auf Ihrer Website ist von entscheidender Bedeutung und bildet die Grundlage für einen rechtssicheren Auftritt. Die Webseite ist nämlich öffentlich und auch die Behörden können darauf zugreifen. Es gibt hier zahlreiche Aspekte, die berücksichtigt werden müssen. |
Die 7 größten Abmahnrisiken auf Ihrer Webseite Rechtsanwälte klären aufFalsch bezeichnete Bildrechte, fehlerhafte Datenschutzerklärungen, irreführende Werbeaussagen etc. etc. Die Erfahrung zeigt, dass sich kaum jemand frühzeitig um die rechtliche Absicherung der Webseite kümmert. Erst wenn die erste Abmahnung, das erste Gerichtsverfahren oder das erste Bußgeld kommt, geht einem ein Licht auf. Dann ist es aber meistens schon zu spät – es drohen im Ernstfall nämlich Kosten von mehreren 10.000 Euro. |
Die 7 gefährlichsten Abmahnfallen auf Webseiten Webinar von Alex Goldberg75 % der Firmen haben die gesetzlichen Vorschriften noch nicht richtig umgesetzt. Wo die teuersten Abmahnfallen sind, zeigt Rechtsanwalt Alex Goldberg in diesem Vortrag. |
Der Datenschutzbeauftragte Wann brauche ich einen?In vielen Unternehmen Unsicherheit: Wann macht die Benennung eines Datenschutzbeauftragten Sinn? Besteht vielleicht sogar die gesetzliche Verpflichtung, einen Datenschutzbeauftragten zu benennen? Und was sind eigentlich die Aufgaben des Datenschutzbeauftragten? |