Kanzlei Lachenmann Onlinerecht IT-Recht

Das neue Verarbeitungsverzeichnis ab Mai 2018

Nachdem ich Ihnen im Teil 1 meiner Ausführungen zur ab 25.5.2018 gültigen DSGVO über den Anwendungsbereich und die Grundsätze der Datenverarbeitung berichtet habe, möchte ich Sie heute über eine der wichtigsten Neuerungen informieren, dem Erstellen des Verzeichnisses der Verarbeitungstätigkeiten, dem Verarbeitungsverzeichnis.

Art. 30 DSGVO fordert, dass alle Verantwortlichen (jeder, der mit personenbezogenen Daten von anderen umgeht!) ein Verarbeitungsverzeichnis zu führen haben, die in einem Unternehmen durchgeführt werden. Das heißt, es muss dokumentiert werden, in welchem Zusammenhang mit personenbezogenen Daten gearbeitet wird. (Beispiel: Programm zur Kundenverwaltung)

Die Freistellung von der Verpflichtung zur Führung eines Verarbeitungsverzeichnisses betrifft die Unternehmen in der Regel nicht, auch wenn Sie weniger als 250 Mitarbeiter beschäftigen. Grund dafür ist, dass die Freistellung nur gilt, wenn die Bearbeitung nur gelegentlich erfolgt und auch keine besonderen Datenkategorien (z.B. Gesundheitsdaten) verarbeitet werden. Dies trifft auf kein Unternehmen oder Verein zu, der Kunden- bzw. Mitgliederdaten regelmäßig pflegt. Zudem ist das Verzeichnis hilfreich, um gesetzliche andere verpflichtende Aufgaben zu erfüllen.

Das Verarbeitungsverzeichnis dient der eigenen Qualitätskontrolle und zum Nachweis für die Aufsichtsbehörden, in welchem Verfahren mit personenbezogenen Daten umgegangen wird. Das Verzeichnis ist in deutscher Sprache zu führen und dann schriftlich oder elektronisch vorgehalten werden.

Verarbeitungsverzeichnisse sind stets aktuell zu halten. Achten Sie darauf, dass Sie nicht alte Daten überschreiben, sondern die Änderungen separat dokumentieren und mindestens 1 x jährlich die Aktualität nachweisbar überprüfen.

Inhalt des Verarbeitungsverzeichnisses nach der DSGVO

Der Inhalt des Verarbeitungsverzeichnisses ist in Art. 30 DSGVO normiert. Die Voraussetzungen sind:

  • Name und Kontaktdaten des Verantwortlichen
  • Zwecke der Verarbeitung
  • Beschreibung der Kategorien betroffener Personen und der Kategorien der personenbezogenen Daten
  • Kategorien von Empfängern von Daten einschließlich Empfänger in Drittstaaten
  • Fristen zur Löschung (wenn möglich)

Aufgepasst! Achten Sie darauf, dass die Angaben aussagekräftig sind. Je größer ein Verein oder Unternehmen ist, desto detaillierter müssen die Angaben sein.

Eine betroffene Person ist jede natürliche Person, die durch personenbezogene Daten identifiziert (z.B. Name, Geburtsdatum) oder identifizierbar wird (z.B. durch Steuer, -Ausweisnummer).

Mein Tipp: Erstellen Sie ein erweitertes Verarbeitungsverzeichnis, in dem Sie die konkreten Verarbeitungstätigkeiten (Art. 4 Nr. 2 DSGVO) beschreiben (erheben, speichern, abfragen, offenlegen usw.) und die herangezogenen Rechtsgrundlagen (z. B. Arbeitsvertrag, Betriebsvereinbarung) aufführen. Vorteil: Sie können sehr schnell Rechenschaft darüber ablegen, ob die Verarbeitung der personenbezogenen Daten zulässig ist.

Ein Muster für ein Verarbeitungsverzeichnis finden Sie hier: www.lda.bayern.de/Erste-Hilfe

Fragen? Ich berate Sie gerne  – auch in Ihrem Unternehmen/Verein.

Dieser Beitrag wurde in Blog, Datenschutzrecht veröffentlicht. Ein Lesezeichen auf das Permalink. setzen. Sowohl Kommentare als auch Trackbacks sind geschlossen.

3 Kommentare

  1. Rainer Salomon
    Am 6. März 2018 um 21:55 Uhr veröffentlicht | Permalink

    Schöner Text.
    Der Link zum Verarbeitungsverzeichnis führt leider ins Leere, da sich ein „i“ anstelle eines „l“ eingeschlichen hat. Der richtige Link lautet: https://www.lda.bayern.de/de/erste-hilfe.html.

    • Am 18. März 2018 um 12:23 Uhr veröffentlicht | Permalink

      Ups, danke für den Hinweis. Ist korrigiert!

  2. Am 10. März 2018 um 4:22 Uhr veröffentlicht | Permalink

    Generell steht in der DSGVO, dass Unternehmen mit mehr als 250 Mitarbeitern ein solches Verzeichnis führen müssen. Allerdings wird auch erwähnt, dass Unternehmen die personenbezogenen Daten regelmäßig verarbeiten ebenfalls dazu verpflichtet sind. Dieses Verzeichnis ist nur intern und auf Anfrage einer Aufsichtsbehörde zugänglich zu machen.