Verarbeitungsverzeichnis erstellen leicht gemacht

Wie Du das Verzeichnis der Verarbeitungstätigkeiten zu Deinem Vorteil verwendest!

go to youtube
Verarbeitungsverzeichnis erstellen leicht gemacht

Kaum ein Thema im Datenschutz macht den Unternehmern mehr Schwierigkeiten als dieses Verzeichnis. In unserer täglichen Beratungstätigkeit ist das Verzeichnis das „Ding“, dass den meisten Beratungsaufwand braucht.

Wenn Du hier angelangt bist, hast Du sicher schon einiges darüber gelesen. Vielleicht weißt Du schon genau was zu tun ist – oder auch nicht. Aber aus irgendeinen Grund bist Du hier, um mehr darüber herauszufinden.

Wollen wir mal sehen, ob wir da jetzt neue Erkenntnisse und Verständnishilfen liefern können.

Zuerst ein paar Begriffe:

Verarbeitung:
Eine Verarbeitung ist alles, was zwischen der Erfassung und Löschung von personenbezogenen Daten liegt. Selbst das „Darauf-Schauen“ ist eine Verarbeitung. Die Synonyme dafür sind „Verwendung“ und „etwas damit machen“.

Zweck:
Der Zweck ist das „Warum“. Warum werden die Daten verwendet: „Was willst Du damit erreichen?“

Verzeichnis:
Ein Verzeichnis ist grundsätzlich eine Zusammenstellung zusammengehöriger Dinge. Kurz gesagt: „Eine Liste, um die Übersicht zu behalten!“

Wenn das nun klar ist, dann ist unser Verzeichnis der Verarbeitungstätigkeiten, eine übersichtliche Liste unserer Verwendung von personenbezogenen Daten, um damit gewisse Zwecke zu erreichen.

Bis hier ist noch alles einfach – nun kommt der schwierigere Teil. Was gehört alles in dieses Verzeichnis hinein? Die DSGVO schreibt vor was da hinein gehört.

VERZEICHNIS VON VERARBEITUNGSTÄTIGKEITEN DES VERANTWORTLICHEN

HAUPTBLATT

  1. Name der Verarbeitungstätigkeit (Terminverwaltung, Kundenverwaltung)
  2. Name und Kontaktdaten des Verantwortlichen  Art.30/1a DSGVO
  3. Gesetzlicher Vertreter (= Geschäftsführung): Name / Kontaktdaten
  4. Vertreter in der EU, für nicht in der Union niedergelassenen Verantwortlichen Art.27 DSGVO: Name / ladungsfähige Anschrift
  5. Datenschutzbeauftragter: Name / Kontaktdaten
  6. Optionale Inhalte / übergreifende Regelungen und Sachverhalte
  7. Zuständige Aufsichtsbehörde  – Meldung des/der Datenschutzbeauftragten erfolgt: Ja / Nein
  8. Regelungen zur Datensicherheit – Verweis auf übergreifende IT-Sicherheitskonzepte, die grundsätzlich für alle Verarbeitungstätigkeiten gelten.
  9. Regelungen zur Datenlöschung – Verweis auf übergreifende Löschkonzepte, die grundsätzlich für alle Verarbeitungstätigkeiten gelten. Zum Beispiel: Welche Fristen Du für die Löschung von Datenkategorien vorgesehen hast.
  10. Sachverhalte zu Drittstaatenübermittlungen  – Verweis auf übergreifende Punkte wie BCR, die grundsätzlich für alle Verarbeitungstätigkeiten gelten – Welche Garantien es bei Übermittlung von personenbezogenen Daten in ein Drittland gibt.
  11. Welche Anwendung: Kundenverzeichnis, Newsletterversand, Personalverzeichnis?
  12. Welche Kategorie personenbezogener Daten verarbeitest Du? Personaldaten könnten möglicherweise Gesundheitsdaten enthalten … sensible Daten.
  13. Welche Datenarten oder Datenkategorien speicherst Du? Das können Personalakten, Bildmaterial, Telefonnummern, E-Mail-Adressen, Postanschrift und Alter sein.
  14. Welche Kategorie von Personen (Kreis der Betroffenen), von denen Du die personenbezogenen Daten verarbeitest, z.B. Mitarbeiter, Onlinekunden usw?
  15. Welche Kategorie von Personen hat auf diese Daten Zugriff?
  16. Welchen Zweck hat Deine Verarbeitung (Marketing, Vertragserfüllung, gesetzliche Verpflichtung)?
  17. Speicherdauer – Wie lange bewahrst Du die Daten auf?

Das Erste was man sieht ist, dass die Liste aus 17 Punkten besteht. Jede Verarbeitung hat diese 17 Punkte. Vereinfacht ausgedrückt, macht man sich eine Vorlage, wo diese Vorgaben aufgeführt sind. Dann nimmt man sich eine Tätigkeit her, und arbeitet sich aus was da jeweils zutrifft.

Wie könnte das konkret aussehen?
Schauen wir uns das am Beispiel einer EDV-Gestützten Kundenverwaltung an:

Annahme: Wir verarbeiten unsere Kundendaten in einer Cloud, über einen amerikanischen Anbieter für CRM´s. Das ist unser Herzstück, wo alle Daten von Kunden und Interessenten zusammenlaufen. Der amerikanische Anbieter ist mittels „Privacy Shield“ zertifiziert. Unsere Mitarbeiter sind auf das System, und den Umgang mit personenbezogenen Daten geschult, und haben auch die Geheimhaltungsvereinbarung unterschrieben. Nun erstellen wir für diese Tätigkeit einen Eintrag im Verzeichnis der Verarbeitungstätigkeiten.

Bezeichnung der Verarbeitungstätigkeit (Name der Verarbeitungstätigkeit):
Kundenverwaltung über ein CRM (customer relations management)

Zwecke der Verarbeitung (Welchen Zweck?):
Verwaltung der Kunden und Interessenten; Beziehungsaufbau mit potentiellen Kunden und Interessenten

Kategorien personenbezogener Daten (Welche Datenarten oder Datenkategorien?):
Vorname, Nachname, Titel, Name des Unternehmens, Anschrift (geschäftlich), Termindaten, Daten zu den Interessen, z.B. Produkte oder Bedarf, Daten zu gekauften Waren oder Dienstleistungen, Vertragsdaten, Daten zur Kommunikation

Kategorien betroffener Personen (Welche Kategorie von Personen?):
Beschäftigte, Kunden, Interessenten

Kategorien von Empfängern (Welche Kategorie von Personen hat auf diese Daten Zugriff?):
Mitarbeiter des Unternehmens, Auftragsverarbeiter, …

Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation (Sachverhalte zu Drittstaatenübermittlungen):
Das  EDV-Kundenverwaltungs-System wird bei einem Dienstleister in einem Drittstaat (hier: USA) verwendet. Ein Auftragsverarbeitungsvertrag mit dem Dienstleister wurde gemacht. Das Datenschutzniveau ist durch die Mitgliedschaft des Dienstleisters durch bestätigten Status im „Privacy Shield“ gewährleistet.

Fristen für die Löschung (Regelungen zur Datenlöschung):
Die Daten werden nach Ablauf von zwei Jahren, zum Ende des jeweiligen Kalenderjahres, auf Erforderlichkeit geprüft. Werden die Daten nicht benötigt, und stehen einer gesetzlichen Aufbewahrungspflicht nicht im Wege, dann werden diese Daten gelöscht.

Technisch und organisatorische Maßnahmen (Regelungen zur Datensicherheit) gemäß Artikel 32 Absatz 1 DSGVO
Siehe unsere Richtlinien und unser Datensicherheitskonzept.

Die Punkte 1 bis 7 haben wir jetzt ausgelassen weil sie eigentlich selbstredend sind.

So wie in diesem Verzeichnis angegeben, erstellst Du einen Eintrag für jede Verarbeitung, die Du in Deinem Unternehmen finden kannst.

Wie soll die Form dazu aussehen?

In der DSGVO gibt es keine klare Anweisung, wie das Verzeichnis für die Verarbeitungstätigkeiten gemacht werden muss. Die Form ist frei wählbar. 

Mit dem Excel-Sheet würdest Du alle Verarbeitungen in einem Dokument auflisten. Das Word-Dokument wäre eine andere Form. Da würdest Du für jede Tätigkeit ein eigenes Dokument machen. Wir ziehen diese Form vor, weil es uns hilft mehrere Pflichten zu erfüllen. Das wären die Informationspflichten und Verarbeitung auf Treu und Glauben. Praktisch – ein Formular 3 Pflichten vom Tisch!

Wir haben das Verzeichnis bereits für Dich erstellt

An allen Ecken wird das Verarbeitungsverzeichnis übermäßig kompliziert dargestellt. Dabei ist die Umsetzung des Verarbeitungsverzeichnisses recht schnell umsetzbar, wenn man die wichtigsten Punkte bereits vorgegeben bekommt.

Für unsere Premium Mitglieder haben wir das Verzeichnis der Verarbeitungstätigkeiten bereits erstellt.

Wir haben ein sogenanntes VT-Buch erstellt. Dort sind alle üblichen Verarbeitungstätigkeiten bereits vorformuliert. Als Premium-Mitglied brauchst Du nur noch die Inhalte herauskopieren und Deine Daten eintragen.

Darüber hinaus haben wir eine komplette Videoreihe erstellt, die den kompletten Prozess Schritt-für-Schritt erklärt. Hier eine kleine Übersicht über die Inhalte der Videoreihe:

Datenschutzkompass Premium?

Datenschutzkompass Premium?

WERDE JETZT PREMIUM MITGLIED UND ERHALTE UNBEGRENZTEN ZUGANG ZU ALLEN INHALTEN

Zu den Premium Inhalten »

Schreibe einen Kommentar