Allgemein

Verarbeitungsverzeichnis nach DSGVO – Pflicht für jedes Unternehmen!

Gemäß § 70 BDSG Neu bzw. Art. 30 EU-DSGVO sind Sie als Unternehmer dazu verpflichtet ein Verzeichnis von Verarbeitungstätigkeiten zu führen. In diesem Dokument müssen Sie sehr genau beschreiben, wie Sie mit personenbezogenen Daten umgehen, wie Sie diese Daten schützen, an wen sie weitergegeben werden und so weiter.

Und kommt es zu Beschwerden von Betroffenen, wird die Aufsichtsbehörde als aller Erstes gleich einmal nach diesem Verzeichnis fragen. Ein gutes Verarbeitungsverzeichnis ist daher nicht nur eine rechtliche Pflicht, sondern auch das datenschutzrechtliche Aushängeschild eines jeden Unternehmens!

Aber was muss in so einem Verzeichnis von Verarbeitungstätigkeiten dokumentiert werden? Und welche Möglichkeiten zur Erstellung hat man?

Was wird in einem Verarbeitungsverzeichnis dokumentiert?

In einem Verarbeitungsverzeichnis wird dokumentiert:

  • Welche Daten (personenbezogen) Sie für welchen Zweck verarbeiten.
  • Wie Sie diese Daten schützen.
  • Wann Sie diese Daten löschen.
  • Welche Rechtsgrundlage Sie für die Verarbeitung haben.
  • Den Namen und die Kontaktdaten des Verantwortlichen (gegebenenfalls auch des Datenschutzbeauftragten)
  • Beschreibung der Betroffenenkategorien
  • Beschreibung der Datenkategorien
  • Empfängerkategorien
  • Wenn möglich die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
  • Wenn möglich eine allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen

Die Führung des Verzeichnisses von Verarbeitungen hat schriftlich zu erfolgen.


Welche Auswirkungen hat die Verletzung dieser Pflicht?

Führen Sie kein aktuelles Verarbeitungsverzeichnis drohen Strafen von bis zu 20 Mio. Euro bzw. 4 % des letztjährigen Umsatzes. Nach Auskunft der Aufsichtsbehörden liegen die durchschnittlichen Bußgelder bei 10.000 bis 15.000 Euro.


Wie kann man bei Erstellung des Verarbeitungsverzeichnisses vorgehen?


Der Unternehmer bzw. der Datenschutzverantwortliche sollte jeweils eine Liste von

  • seinen Verarbeitungstätigkeiten (Personalverwaltung, Buchhaltung, Marketing etc.),
  • den betroffenen Personengruppen (Kunden, Mitarbeiter, Agenturen, Interessenten, Kooperationspartner etc.) sowie
  • den durch ihn verarbeiteten Datenkategorien (Namen, Adresse, Geburtsdatum, Bankdaten etc.) erstellen.

Im Anschluss daran müssen die Listen zusammengeführt werden. Konkret bedeutet das, dass man die verarbeiteten Daten den jeweiligen Verarbeitungstätigkeiten sowie jeder Verarbeitungstätigkeit den zutreffenden Rechtfertigungsgrund (z.B: Vertragserfüllung oder EInwilligung) zuordnet. Darüber hinaus sollten die jeweiligen Löschfristen dokumentiert werden.

Klingt das für Sie kompliziert und zu aufwendig? Dann holen Sie sich am Besten den DSGVO Schutzbrief! Denn hier ist Erstellung des gesamten Verarbeitungsverzeichnisses bereits inkludiert!

Tags: , ,

Die fertige DSGVO Lösung für JEDE Branche und JEDEN Verein! Schützen Sie sich und alle Personen in Ihrem Unternehmen oder Ihrem Verein.

Bereits ab € 9 pro Monat – Und schon sind Ihre DSGVO-Sorgen verflogen!

Menü