Herzlich willkommen zum ersten Teil der 3-teiligen Serie darüber, wie Sie Ihr Verzeichnis von Verarbeitungstätigkeiten richtig erstellen.
In den Beiträgen werden Sie Schritt für Schritt erfahren, wie Sie Ihr Verfahrensverzeichnis aufstellen, was die Fallstricke sind und wie Sie am besten beginnen.
Steigen wir direkt ein mit dem ersten Teil: Vorbereitung und grundsätzliche Elemente.
Inhalte
Sind Sie überhaupt verpflichtet?
Gleich vorab, mir ist kein ernsthaftes Geschäftsmodell bekannt, bei dem die Pflicht zur Erstellung eines Verzeichnisses nicht besteht. Es gibt aber Ausnahmen lt. Gesetz, nämlich, wenn weniger als 250 Beschäftigte im Betrieb arbeiten und (das ist wichtig) die Verarbeitung nicht nur gelegentlich erfolgt. Mehr dazu können Sie in meinem ausführlichen Fachartikel lesen: Verzeichnis von Verarbeitungstätigkeiten nach DSGVO – wen trifft die Pflicht?
Die Pflichtelemente
Grundsätzlich sind die Elemente in Art. 30 DSGVO genannt. Dieser Artikel kann wie eine Checkliste gelesen werden, um kein Element zu vergessen. Einen außführlichen Fachartikel zu dem Thema finden Sie zusätzlich hier: Mustergliederung Verzeichnis von Verarbeitungstätigkeiten.
Trotzdem soll diese Liste eine kurze Zusammenfassung geben:
- Namen und Kontaktdaten des Verantwortlichen.
- Die Zwecke der Verarbeitung, also das “wieso” der Verarbeitung.
- Eine Beschreibung der Kategorien von Betroffenen und deren personenbezogenen Daten.
- Ein Beispiel für Kategorien personenbezogener Daten kann z.B. “Arbeitnehmerstammdaten” oder “Adressdaten” sein.
- Ein Beispiel für Kategorien von Betroffenen kann z.B. “Bewerber” oder “Kunden” sein.
- Es müssen Kategorien von Empfängern der Daten angegeben werden, also z.B. “Steuerberater”.
- Informationen zur Übermittlung in Drittstaaten, also z.B. den USA.
- Löschfristen für die verarbeiteten Daten.
- Beschreibung der technischen und organisatorischen Maßnahmen.
- Die Rechtsgrundlage der Verarbeitung, also z.B. “berechtigtes Interesse”.
Dies sind die gesetzlichen Mindestbestandteile. In der Praxis ergeben sich allerdings einige Zusatzangaben, wie z.B. die Verantwortlichkeiten innerhalb des Unternehmens oder der Beginn der Verarbeitung.
Die allgemeine Struktur und Vorüberlegungen
Grundsätzlich sollten Sie sich, bevor Sie beginnen, Gedanken machen, welche Anforderungen an Ihr fertiges Dokument gestellt werden, sowohl gesetzlich, als auch praktisch. Die folgenden Punkte sollten Sie beachten:
- Sind alle gesetzlichen Pflichtbestandteile enthalten (siehe oben)?
- Wie gestalte ich die Vorlage so, dass eine Behörde oder ein Prüfer gut damit umgehen kann?
- Bei interner und externer Nutzung (z.B. bei einem externen Datenschutzbeauftragten), wie kann ich sicherstellen, dass die Daten richtig eingetragen werden?
- Welche Maßnahmen zur Versionierung oder Revisionssicherheit ergreife ich?
- Wo lege ich das Muster und die ausgefüllte Vorlage ab und wer wird genau damit arbeiten?
In meinen Vorlagen arbeite ich mit einer klaren Dokumentenlenkung, um dort direkt einzugreifen:
Fazit
Das Anlegen eines Verarbeitungsverzeichnisses ist also mit ein wenig Planung verbunden und sollte dem gesetzlichen Katalog folgen. Darüber hinaus sollten Sie sich Gedanken machen für wen Sie das Dokument erstellen.
Im nächsten Teil werden wir etwas praktischer und erstellen ein Verzeichnis für die fiktive Muster GmbH.