Drücke „Enter“, um zum Inhalt zu springen

DSGVO und das Verzeichnis der Verarbeitungstätigkeiten

Verzeichnis

Wir alle haben mit der DSGVO und deren Umsetzung zu tun.
In meiner täglichen Arbeit stelle ich fest, dass die meisten von Euch zwar eine Datenschutzerklärung auf der Webseite eingepflegt haben und die Seite auch SSL-verschlüsselt ist, allerdings ist das nur ein kleiner Teil dessen was die DSGVO von uns fordert.
Wir alle müssen ein Verzeichnis der Verarbeitungstätigkeiten führen und dazu dokumentieren, welche Massnahmen getroffen wurden, dass die von uns verarbeiteten Daten geschützt sind.
Oft begegnet mir dann Aussagen der Geschäftsleitung: “Das hat für uns nicht Prio1…”
Nur leider hat das nichts mit “Prioritäten” und “Kann” zu tun, sondern das ist eine Pflicht, die uns vom Gesetzgeber auferlegt ist (Art. 30 DSGVO).

Was ist denn nun dieses Verzeichnis der Verarbeitungstätigkeiten?

In der DSGVO geht es um die Speicherung und Verarbeitung von personenbezogenen Daten. Diese Vorgänge der Datenverarbeitung beschreiben wir in einem Verzeichnis von Verarbeitungstätigkeiten.
Genauer gesagt, eine Beschreibung je Tätigkeit bzw. Verfahren. Zum Beispiel ein Verzeichnis für Personalmanagement inklusive Lohnabrechnung und wenn vorhanden Arbeitszeiterfassung, Verarbeitung von Bewerberdaten und so weiter. Es wird in diesem Verzeichnis beschrieben:

  • welche Daten erfasst ihr (Kategorieren von Daten)
  • von wem erfasst Ihr die Daten (betroffende Personen)
  • warum (Zweck) und auf welcher Rechtsgrundlage (mit Hinweis auf die entsprechenden Artikel in der DSGVO oder anderen Gesetzen)
  • von wo erfasst ihr die Daten (Datenquelle)
  • Empfänger der Daten (intern wie extern)
    – falls der Empfänger in einem Drittstaat (außerhalb der EU) sitzt, muss hier auf das entsprechende Abkommen zum Datenschutz hingewiesen werden
  • wie werden Ihr die Betroffen informieren
  • wie sind die Regeln zur Löschung und gibt es gesetzliche Vorgaben für die Speicherung (z.B. buchhaltungsrelevante Daten)
  • welche Maßnahmen zum Schutz der Daten wurden von euch getroffen?
    – Verweis auf die TOM’s (Technisch Organistorische Maßnahmen) verwiesen werden, die einmal erstellt werden.

An den Anfang eines Verfahrensverzeichnisses gehören zudem noch Angaben zum Unternehmen und zum Datenschutzbeauftragten (wenn notwendig) bzw. Verantwortlichen.

Verfahrensverzeichnis, das brauch ich nicht. Ich bin doch Freiberufler bzw. nur ein kleines Unternehmen

Leider doch. Es gibt zwar eine nett gemeinte Einschränkung, dass Unternehmen mit weniger als 250 Mitarbeitern diesen “Rechenschaftspflichten” nicht unterliegen. Das gilt allerdings nur bei der gelegentlichen Verarbeitung von personenbezogenen Daten. Nehmen wir mal das Beispiel Google Analytics für die Webseite. Google Analytics verarbeitet die Daten sekündlich oder minütlich und das permanent, also auf gar keinen Fall gelegentlich.
Es ist also nichts damit, dass ich das Verfahrensverzeichnis nicht brauche. Unabhängig davon, ob Ihr einen Datenschutzbeauftragten habt / braucht oder nicht. Das Verzeichnis benötigen Ihr immer.
In weIhr das Verzeichnis erstellt (z.B. Excel-Tabelle, Worddokument, etc.) ist Euch freigestellt.

Dazu kommt: die sogenannten Technisch-Organistorischen Massnahmen (TOMS’s) dürfen u.a. von Euren Geschäftspartnern angefordert werden und müssen dann zur Verfügung gestellt werden. Bei meinen Kunden treffen übrigens immer mehr Anfragen nach TOM’s ein.

Und nun?

Wenn Ihr bislang noch nichts in dieser Hinsicht dokumentiert habt :
Wir helfen Euch bei der Erstellung des Verzeichnis der Verarbeitungstätigkeiten und beim Dokumentieren der TOM’s.
Gerne erstellen wir Euch ein unverbindliches Angebot

Kontakt:
mail: help@macandyou.de
telefon: +49 (0) 2234-2026226

Sei der Erste, der diesen Beitrag teilt

Schreibe den ersten Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert