DSGVO: Das Verarbeitungsverzeichnis

Tipps vom Datenschutz-Anwalt

DSGVO-Tipps vom Fachanwalt

 

Wer als Unternehmer personenbezogene Daten verarbeitet,also im Grunde jeder Unternehmer, muss ein Verarbeitungsverzeichnis nach Art. 30 DSGVO führen. Erfahren Sie hier, was der Unterschied zum „Jedermannverzeichnis“ nach altem Datenschutzrecht ist und warum sich ein ordentlich gepflegtes Verarbeitungsverzeichnis lohnt.

 

Was unterscheidet das Verarbeitungsverzeichnis vom Jedermannverzeichnis?

Bereits im alten Datenschutzrecht vor 2018 war verankert, dass eine Übersicht von meldepflichtigen automatisierten Verarbeitungen „Jedermann“ auf Verlangen vorgelegt werden muss – das sog. „Jedermannverzeichnis“. Heute spricht man stattdessen von einem „Verarbeitungsverzeichnis“ nach DSGVO. Die Unterscheidung ist berechtigt: Das Verarbeitungsverzeichnis muss mehr Informationen enthalten, und zwar zu allen Verarbeitungstätigkeiten, ob automatisiert oder nicht. Dafür muss es auf Verlangen nur der Datenschutzbehörde und nicht „Jedermann“ vorgelegt werden.

 

Was ist eine Verarbeitungstätigkeit?

Kern der Verarbeitungstätigkeit ist die Verarbeitung. Damit ist nach DSGVO jeder Vorgang im Zusammenhang mit personenbezogenen Daten gemeint – also alles, was man mit personenbezogenen Daten machen kann, von der Erfassung über die Speicherung bis zur Löschung, egal ob digital oder analog. Zusätzlich müssen die betroffenen Datenkategorien, die betroffenen Personenkategorien, ggf. die Empfängerkategorien, die Löschfrist, die Rechtsgrundlage sowie die in diesem Zusammenhang getroffenen technischen und organisatorischen Maßnahmen (TOMs) betrachtet werden. All das sind Aspekte einer Verarbeitungstätigkeit, die im Verzeichnis dokumentiert werden müssen.

 

Warum lohn sich das Verarbeitungsverzeichnis für mich?

Wer sein Verarbeitungsverzeichnis ordentlich führt und stets aktuell hält, vermeidet nicht nur Bußgelder, sondern profitiert insgesamt, da das Verarbeitungsverzeichnis auch als Grundlage für viele weitere DSGVO-Pflichten dient. Beispielsweise haben Auftragsverarbeiter so stets eine aktuelle Referenz für das Ausfüllen von AV-Verträge, bei Datenschutzanfragen sind die Informationen für den Betroffenen schnell zusammengetragen, technische und organisatorische Maßnahmen können informiert, ganzheitlich und sinnvoll geplant werden und bei Datenpannen können die Auswirkungen und die Ursachen besser und schneller nachvollzogen werden.

 

Tipps für die Erstellung

Listen Sie zunächst alle Verarbeitungen in Ihrem Unternehmen auf, z.B. nach Abteilungen gegliedert. Ordnen Sie dann die betroffenen Kategorien von Daten, Personen und ggf. Empfängern zu. In einem letzten Schritt können Rechtsgrundlage, Löschfristen und TOMs festgelegt werden. Die Erstellung kann, besonders ohne Tool, etwas mühsam sein, zahlt sich aber auf lange Sicht definitiv aus. Mit der Software "PRIVE" kann mit wenigen Klicks ein Verarbeitungsverzeichnis erstellt werden.

 

 

 

 

 

Artikel teilen

Weitere Artikel von Alex Goldberg:

Das Buch zur DSGVO Jetzt kostenlos herunterladen

Geballtes Datenschutz-Wissen: In diesem eBook erklären Rechtsanwälte, TÜV-zertifizierte Datenschutzauditoren und betriebliche Datenschutzbeauftragte anschaulich und praxisnah, wie Sie sich und Ihr Unternehmen gegen Bußgelder und Abmahnungen absichern.

| weiter |

Vorschaubild Das Buch zur DSGVO

Der Datenschutzbeauftragte Wann brauche ich einen?

In vielen Unternehmen Unsicherheit: Wann macht die Benennung eines Datenschutzbeauftragten Sinn? Besteht vielleicht sogar die gesetzliche Verpflichtung, einen Datenschutzbeauftragten zu benennen? Und was sind eigentlich die Aufgaben des Datenschutzbeauftragten?

| weiter |

Vorschaubild Der Datenschutzbeauftragte