Verzeichnis von Verarbeitungstätigkeiten

Übersicht über alle Datenverarbeitungen in einem Unternehmen

Beim Verzeichnis von Verarbeitungstätigkeiten (ehemals Verfahrensverzeichnis) handelt es sich um eine Beschreibung aller langfristig stattfindenden Prozesse, bei denen personenbezogene Daten verarbeitet werden. Solche Verfahren sind beispielsweise das Bewerbungsmanagement, das Abrechnung von Leistungen, die Erfassung von IP-Adressen durch die Webseite, das Führen einer Kundendatei usw.

Das Verzeichnis von Verarbeitungstätigkeiten muss grundsätzlich von jedem geführt werden, der nicht nur rein privat Daten verarbeitet. Hierzu zählen neben Unternehmen auch Praxen, Apotheken, kirchliche Einrichtungen, Kleinstgewerbe und alle Vereine.
Für Unternehmen und Einrichtungen ab 250 Mitarbeitern und für jede Verarbeitung besonders sensibler Daten, wie beispielsweise Gesundheitsdaten, Religionsdaten usw. (Definition in Art. 9 Abs. 1 DSGVO), gilt diese Pflicht auch für nicht dauerhafte Verarbeitungen.

Die Pflicht zur Führung des Verzeichnisses von Verarbeitungstätigkeiten sollte aber nicht nur als bürokratische Pflicht verstanden werden. Das Verzeichnis und seine Erstellung bieten die Chance heraus zu finden, wo und wie Daten im eigenen Hause wirklich verarbeitet werden. Oftmals gibt es bei der Erstellung überraschende Einblicke. Zudem kann mittels dieses Verzeichnisses auch die zukünftige Datenverarbeitung in geregeltere Bahnen gelenkt werden.

Was können wir für Sie übernehmen:

  • Einweisung in die Erfassung von Verarbeitungen (inkl. Beispielverarbeitungslisten)
  • Begleitung bei der Verschriftlichung der Verarbeitungen (optional)
  • Assistentenbasierte Eingabe über unser Datenschutzmanagementsystem otris privacy
  • Prüfung der eingegebenen Verfahren auf Vollständigkeit und Plausibilität
  • Abgleich von IST-Zustand und im Verzeichnis beschriebenen Zustand bei jährlichen Audits
  • Anpassung von Verarbeitungsbeschreibungen bei Änderungen

Wobei ist Ihre Tatkraft erforderlich:

  • Festlegen der Verarbeitungen
  • Beschreibung der Verarbeitungen

Aufbau des Verzeichnisses von Verarbeitungstätigkeiten

Das Verzeichnis von Verarbeitungstätigkeiten muss schriftlich geführt werden, wobei es aber in elektronischer Form vorliegen darf. Der Mindestinhalt muss Folgendes umfassen:

  • Name und Kontaktdaten des Verantwortlichen und ggf. seines Vertreters
  • Bei gemeinsamer Datenverarbeitung Name und Kontaktdaten des gemeinsam Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten
  • Zwecke der Verarbeitung (Beschreibung des Grundes, warum die Daten verarbeitet werden)
  • Beschreibung der Kategorien betroffener Personen
  • Beschreibung der Kategorien verarbeiteter Daten
  • Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden
  • Fristen für die Löschung der verschiedenen Datenkategorien
  • Beschreibung der technischen und organisatorischen Schutzmaßnahmen
  • Ggf. Informationen zu Empfängern im außereuropäischen Ausland
  • Zudem sollten die Eingaben noch um Folgendes ergänzt werden:
    • Kurze Beschreibung der Verarbeitung
    • Angabe der Rechtsgrundlage
    • Interne Zugriffsrechte und Weiterleitungen