Verzeichnis der Verarbeitungstätigkeiten – Übersicht mit Struktur
Ja es ist wahr, das Verzeichnis der Verarbeitungstätigkeiten zu erstellen ist eine nervige Angelegenheit. Als interner Datenschutzbeauftragter ist man in der Regel auf die Hilfe von Kollegen angewiesen, und die wissen oft nicht, was man eigentlich von Ihnen will. Als externer Datenschutzbeauftragter hat man es in dieser Hinsicht deutlich einfacher – allein schon aufgrund der Erfahrung. Für einen langjährigen Datenschutzbeauftragten dürfte dieser Tipp hier also wahrscheinlich nicht allzu spannend sein – für Neulinge in diesem Bereich schon.
Erster Schritt: Übersicht verschaffen
Als Datenschutzbeauftragter empfiehlt es sich, zunächst eine grobe Übersicht alle Verarbeitungsprozesse zu erstellen. Zu diesem Zweck haben wir Listenschema zum Donwload bereitgestellt, das bei der Erfassung und Klassifizierung helfen soll.
Am besten fangen Sie in einer Abteilung an, die Sie gut kennen und üben das Ganze zunächst. Folgende Inhalte sollten Sie sich für eine Übersicht beschaffen:
- Bezeichnung des Verfahrens bzw. der Verarbeitungstätigkeit
- Findet das Verfahren softwarebasiert, auf Papier, oder mit beiden Formen statt
- Wenn eine Software eingesetzt wird, den Namen der Software
- Ist ein Dienstleister beteiligt? Vielleicht als Software Support oder anderweitig? Thema Auftragsverarbeitung und Datenempfänger!
- Wie heißt dieser Diensteister?
- Liegt bereits auf Auftragsverarbeitungsvertrag vor?
- Wer ist der interne Ansprechpartner für die Verarbeitungstätigkeit?
Mit unserer Übersicht gelingt Ihnen dieses Unterfangen mit Sicherheit und der erste Schritt ist getan. In unserer Übersicht finden Sie auch viele Beispiele für mögliche Verarbeitungstätigkeiten.
Beispiel Screenshot: Ansatzpunkte für Verarbeitungstätigkeiten im Bereich Personalabteilung
Zweiter Schritt: Dokumentation Vervollständigen
Später reichern Sie diese Informationen an, wenn Sie das Verzeichnis finalisieren. Wie den meisten bekannt sein dürfte, müssen bei jedem Verfahren angegeben werden,
- nach welcher Rechtsgrundlage die Daten verarbeitet werden (maßgebliche Rechtsgrundlagen aus Artikel 6 DSGVO)
- welche Personengruppen (Kunden, Beschäftigte, u. vgl.) betroffen sind
- welche Datenkategorien (Namen, Telekommunikationsdaten, IP-Adressen, Stammdaten, u. vgl.) verarbeitet werden
- an welche Empfänger diese Daten im Unternehmen und extern (Abteilungen, Dienstleister, Behörden, Ämter, u, vgl.) übermittelt werden
- ob eine Übermittlung in Drittstaaten stattfindet
- wann die Daten gelöscht werden
Außerdem sollte für jedes Verfahren
- eine laufende Nummer
- eine Bezeichnung (beispielsweise “Zeiterfassung” / “Newsletter” / “Rechnungswesen”)
- eine kurze Beschreibung des Zwecks
- bestenfalls welche Software oder Anwendung eingesetzt wird
angegeben werden.
Am Ende kann Ihr Verzeichnis der Verarbeitungstätigkeiten in etwa so aussehen, wie hier im Beispiel.
Sie brauchen Unterstützung? Wir helfen Ihnen gerne weiter!
Wenn Sie Unterstützung brauchen, helfen wir Ihnen gerne weiter. Schreiben Sie uns Ihr Anliegen, wir beraten kompetent und erfahren in allen Branchen.
Herzliche Grüße
Fabian Henkel