Verzeichnis von Verarbeitungstätigkeiten

Übersicht

  1. Pflicht zur Erstellung
  2. Freistellung von der Verpflichtung ein Verzeichnis zu führen
  3. Vorlagepflichten des Verzeichnisses
  4. Form des Verzeichnisses
  5. Aktualisierung des Verzeichnisses
  6. Inhalt des Verzeichnisses
  7. Erweitertes Verzeichnis

1. Pflicht zur Erstellung

Gemäß Art. 30 DSGVO sind grundsätzlich alle Verantwortlichen aufgefordert ein Verzeichnis über alle Verarbeitungsätigkeiten zu führen, die in ihrem Unternehmen oder Verein durchgeführt werden. In diesem Verzeichnis wird dokumentiert in welchen Zusammenhang mit personenbezogenen Daten gearbeitet wird.

Beispiele

  • Bewerbermanagement
  • Email-Verkehr
  • CRM
  • Lohnbuchhaltung
  • Videoüberwachung
  • Vertrieb
  • Zeiterfassung

2. Freistellung von der Verpflichtung ein Verzeichnis zu führen.

Theoretisch gibt es für Unternehmen und Einrichtungen mit weniger als 250 Mitarbeitern eine Freistellung von der Verpflichtung ein Verfahrensverzeichnis der Verarbeitungstätigkeiten anzufertigen. Diese Freistellung gilt aber nur, wenn (1) die Verarbeitung nur gelegentlich erfolgt und / oder (2) keine Verabeitung von personenbezogenen Daten besonderer Kategorien (Gesundheits-, Religionsdaten usw.) erfolgt.

Vereine die eine Mitgliederliste führen und pflegen sind somit bereits von der Freistellung ausgeschlossen.

Für Unternehmen gilt die Freistellung bereits nicht mehr, sobald beispielsweise Lohnabrechnungen durchgeführt werden, Krankentage erfasst werden, oder die Religionszugehörtigkeit zur Abführung der Kirchensteuer erfasst wird.

3. Vorlage des Verzeichnisses

Das Verzeichnis von Verarbeitungstätigkeiten ist nicht öffentlich. Sie sind nicht verpflichtet einer betroffenen Person Einsicht in das Verzeichnis zu gewähren. Das Verzeichnis dient vornehmlich der eigenen Qualitätskontrolle in Ihrem Unternehmen und dient des Weiteren dazu der Aufsichtsbehörde nachzuweisen wie in Ihrem Unternehmen mit personenbezogenen Daten verahren wird.

4. Form des Verzeichnisses

Sie sind verpflichtet das Verzeichnis in deutscher Sprache zu führen. Ob Sie das Verzeichnis digital oder in analoger Form führen ist Ihnen überlassen.

5. Aktualisierung des Verzeichnisses

Die bestehendes Verzeichnisse sind von Ihnen stets aktuell zu halten. Änderungen an den Verzeichnissen sollten immer dokumentiert werden. Dies können Sie beispielsweise sicherstellen, in dem Sie die alten Dokumente aufheben und Änderungen durch laufende Versionsnummern kenntlich machen. Ältere Dokumente sollten mindestens ein Jahr aufbewahrt werden.

6. Inhalt des Verzeichnisses

Welche Inhalte das Verzeichnis haben muss lässt sich Art. 30 Abs. 1 DSGVO entnehmen:

  • Name und Kontaktdaten des Verantwortlichen
  • Vertretungsberechtigte Personen (bei der GmbH z.B. die Geschäftsführer)
  • falls vorhanden Kontaktdaten des Datenschutzbeauftragten
  • Zwecke der Verarbeitung
  • Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
  • Kategorien von Empfängern von Daten einschließlich Empfänger in Drittstaaten
  • wenn möglich, vorgesehene Fristen zur Löschung

7. Erweitertes Verzeichnis

Die bestehendes Verzeichnisse sind von Ihnen stets aktuell zu halten. Änderungen an den Verzeichnissen sollten immer dokumentiert werden. Dies können Sie beispielsweise sicherstellen, in dem Sie die alten Dokumente aufheben und Änderungen durch laufende Versionsnummern kenntlich machen. Ältere Dokumente sollten mindestens ein Jahr aufbewahrt werden.

  • konkreten Verarbeitungsätigkeiten im Sinne der Definition in Art. 4 Nr. 2 DSGVO (erheben, speichern, abfragen, offenlegen usw.) beschrieben werden und
  • die herangezogenen Rechtsgrundlagen (z. B. Art. 6 DSGVO, Arbeitsvertrag, Betriebsvereinbarung, Einwilligung oder sonstige spezielle Regelungen usw.)