Die Datenschutz-Grundverordnung (DSGVO) bringt eine Reihe von Dokumentationspflichten mit. Das Herzstück dieser Dokumentation ist das Verzeichnis von Verarbeitungstätigkeiten. Darin sind die Prozesse, bei denen personenbezogene Daten verarbeitet werden, systematisch dokumentiert.
Auf dieser Seite erfahren Sie alles, was Sie für die Erstellung Ihres Verarbeitungsverzeichnisses wissen müssen.
Generator für das Verzeichnis von Verarbeitungstätigkeiten
Wie kann das Verzeichnis von Verarbeitungstätigkeiten erstellt werden?
Anleitung
1. Organisation des Unternehmens
Im ersten Schritt unterteilen Sie Ihr Unternehmen in organisatorische Bereiche, Abteilungen o.ä. (z.B. anhand eines Organigramms). Das ist für die Strukturierung des Verzeichnisses sinnvoll und hilft Ihnen, die richtigen Ansprechpartner zu finden. In fast allen Unternehmen gibt es ähnliche Bereiche, die mit personenbezogenen Daten arbeiten:
- Buchhaltung
- Personal
- Marketing
- …
2. Verarbeitungsprozesse identifizieren
Gehen Sie Ihr Unternehmen dann systematisch Bereich für Bereich durch und identifizieren Sie die einzelnen Verarbeitungstätigkeiten. Tragen Sie jede Verarbeitungstätigkeit in Ihr Verzeichnis ein und wählen Sie dabei Bezeichnungen, mit denen man in Ihrem Unternehmen etwas anfangen kann.
Hierzu ein Beispiel:
Bei Ihnen gibt es wahrscheinlich eine Personalabteilung oder zumindest einen Personalverantwortlichen. In diesem Bereich werden klassischerweise Daten von Mitarbeitern und auch von Bewerbern verarbeitet. Dazu zählen Name, Adresse und Bankverbindung, aber auch sensible Daten wie die Konfession. Diese Daten werden für den Arbeitsvertrag und die Überweisung der Gehälter gebraucht. Bei Bewerbern werden außerdem noch Informationen aus dem Lebenslauf gespeichert. Et voilà: Sie haben Ihre ersten drei Verarbeitungstätigkeiten gefunden: die klassische Personalverwaltung, die Lohn- und Gehaltsabrechnung und die Bewerbungen.
Hier finden Sie eine exemplarische Sammlung von Verarbeitungstätigkeiten:
- Finanzbuchhaltung (Debitoren, Kreditoren, etc.)
- Zahlungsverkehr
- Bonitätsprüfung
- Controlling
- Mahnwesen
- Reisekosten und Auslagen
- Personalverwaltung
- Lohnbuchhaltung
- Personaleinsatzplanung
- Zeiterfassung / An- und Abwesenheiten
- Betriebliche Altersvorsorge & sonstige Versicherungen
- Notfalllisten
- Geburtstage und Jubiläen
- Benefits (Nahverkehr, Fitnessstudio, etc.)
- Personalentwicklung
- Bewerbungen
- Websites
- Apps
- Social Media
- E-Mail Marketing
- Blacklist / Do-not-contact List
- Direktmarketing (Post)
- Duplettenabgleich
- Gewinnspiele
- Umfragen
- Messen und Veranstaltungen
- Suchmaschinenmarketing
- Custom Audiences
- Data Warehouse / Business Analytics
- Kundenverwaltung / CRM
- Auftragsmanagement / ERP
- Projektmanagement
- Kundenservice
- Nutzer- und Verzeichnisdienst
- Datenhaltung / Fileserver
- Prüfung / Überwachung der IT-Systeme
- Dokumenten-Management
- Büro-Software
- Telefonanlage
- E-Mail, Kalender, Adressbuch
- Interne Kommunikation (Groupware, Chats, etc.)
- Device Management
- IT-Support
- Passwort-Manager
- Intranet / Wiki
- Besucher WLAN
- Videoüberwachung
- Elektronische Zutrittskontrolle (Keycard, Chip)
- Akten- & Datenträgervernichtung
- Reisemanagement
- Flottenmanagement
3. Inhalt des Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO
Das Verzeichnis von Verarbeitungstätigkeiten stellt eine strukturierte Übersicht Ihrer Datenverarbeitung dar. Es ist in einzelne Verarbeitungstätigkeiten gegliedert.
Der Inhalt ergibt sich aus Art. 30 Abs. 1 DSGVO. Demnach enthält das Verzeichnis sämtliche folgenden Angaben:
- den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
- die Zwecke der Verarbeitung;
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Abs. 1 Unterabsatz 2 DSGVO genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
- wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO.
Verfahrensverzeichnis nach dem alten BDSG
Zwar sind die Angaben nicht zu 100% deckungsgleich, wer aber schon ein Verfahrensverzeichnis hat, kann dieses mit wenig Aufwand zu einem Verzeichnis von Verarbeitungstätigkeiten umbauen.
“Das klingt alles noch sehr abstrakt? Lassen Sie sich dadurch nicht abschrecken! Mit dem SeeYourData Generator können Sie das Verzeichnis in wenigen Schritten erstellen.”
Worum geht es hier eigentlich?
Was ist eine Verarbeitungstätigkeit?
Was ist der Sinn des Verzeichnis von Verarbeitungstätigkeiten?
Wer muss ein Verzeichnis von Verarbeitungstätigkeiten führen?
Aus diesem Grund müssen auch viele Selbstständige, Agenturen, Handwerksbetriebe und Arztpraxen ein Verzeichnis von Verarbeitungstätigkeiten führen.
Welche Sanktionen drohen?
Allerdings ist das kein Automatismus. Gemäß Art. 58 Abs. 1 DSGVO können Aufsichtsbehörden anstelle einer Geldbuße auch eine Verwarnung aussprechen. Die Aufsichtsbehörden sollen sicherstellen, dass Bußgelder im Einzelfall wirksam, verhältnismäßig und abschreckend sind. Die Frage, ob ein Bußgeld erlassen wird und wenn ja, in welcher Höhe, orientiert sich daher an der Leistungsstärke des Unternehmens und am konkreten Verstoß.