Teil 2: Schritt für Schritt zum optimalen Verzeichnis nach DSGVO

Willkommen zum 2. Teil der Serie, wie Sie Ihr Verzeichnis von Verarbeitungstätigkeiten richtig erstellen.

Im letzten Beitrag habe ich Ihnen gezeigt, was Sie allgemein beim Aufbau beachten müssen und welche Gedanken Sie sich vorab machen sollten, hier kommen Sie zurück zum ersten Teil: Teil 1: Vorbereitung und grundsätzliche Elemente.

Heute gehen wir Schritt für Schritt den Prozess durch und erstellen ein Verzeichnis für die Muster GmbH.

Schritt 1: legen Sie ein Hauptblatt an

Das Hauptblatt soll Informationen, die eher selten verändert werden, und die Helfen, das vorliegende Verzeichnis zu verstehen.

Diese können sein:

• Verantwortlicher für die Datenverarbeitung (Anschrift, Vertreter usw.)
• Informationen zum Datenschutzbeauftragten, wenn anwendbar
• Allgemeine Regeln zur Datensicherheit und Löschkonzept
• Regelungen zur Bearbeitung und Revision (wer darf was ändern im Dokument)

In meiner Word Vorlage ist dies z.B. so gelöst (Auszug):

Schritt 2: Identifizieren Sie Verarbeitungstätigkeiten

Gehen Sie durch Ihr Unternehmen und ermitteln Sie alle Prozesse, Tools und Personen, die ggf. mit personenbezogenen Daten zu tun haben könnten. Dokumentieren Sie alles und fassen Sie die gefunden Strukturen in geeignete Verarbeitungstätigkeiten zusammen. Hilfreich sind auch vorgefertigte Listen von typischen Tätigkeiten. Hier jetzt alles zu nennen sprengt den Rahmen des möglichen.

10 Beispiele für Tätigkeiten finden Sie im Fachbeitrag: Verarbeitungstätigkeiten nach DSGVO.

Schritt 3: Dokumentieren Sie Ihre Verarbeitungstätigkeiten in einem Verzeichnis

Am besten lässt sich die Dokumentation anhand eines Beispiels zeigen. Da jeder, der personenbezogene Daten verarbeitet auch Betroffenenrechte wahrnehmen muss, wird hier beispielhaft das Verfahren “Wahrung von Betroffenenrechten auf Anfrage nach Art. 15-18 DSGVO” durchleuchtet.

Die DSGVO gibt den Betroffenen von Datenverarbeitung eine Reihe von Rechten in Artikel 15 bis 18 DSGVO. Danach ist jedes Unternehmen dazu verpflichtet, eine solche Anfrage des Betroffenen beantworten. Diese Verarbeitungstätigkeit muss damit unbedingt in das Verzeichnis aufgenommen werden.

• Name der Verarbeitungstätgkeit: “Wahrung von Betroffenenrechten auf Anfrage nach Art. 15-18 DSGVO”
• Datum der letzten Überprüfung des Verfahrens: 01.01.2020.
• Verantwortliche Abteilung innerhalb des Unternehmens: Kundensupport.
• Zwecke der Verarbeitungstätigkeit: Wahrung von Betroffenenrechten nach DSGVO, Dokumentation der Einhaltung.
• Typische Betroffenengruppen: Beschäftigte, Lieferanten, Kunden / Nutzer, Interessenten, Bewerber.
• Typische Datenpunkte/ -kategorien: Name/ Vorname, Geburtsdatum, Geschlecht, Adresse, Kontaktdaten, Bankverbindung, Rechnungsdaten.
• Typische Empfänger/ Kategorien von Empfängern: Weitere Mitarbeiter und Abteilungen des Unternehmens.
• Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung notwendig (Art 6 (1) Buchst. c) DSGVO).
• Interessenabwägung: Keine Interessenabwägung notwendig.
• Transfer in Drittstaaten: Keine geplant oder erfolgt.
• Spezielle Löschfristen: Keine, es gilt das unternehmensweit gültige Löschkonzept.
• Spezielle technische und organisatorische Maßnahmen: Keine, es gelten die unternehmensweit gültigen technischen und organisatorischen Maßnahmen.

Schritt 4: Prüfung und Prozesse etablieren

Nach der Erstellung sollten Sie die Richtigkeit nochmals mit den Fachabteilungen prüfen oder selbst checken, wenn Sie Einzelkämpfer sind.

Im Anschluss sollten Sie das Dokument möglichst revisionssicher ablegen und speichern.

Prüfen Sie Ihr Verzeichnis regelmäßig, mindestens einmal pro Jahr sollten Sie die Angaben prüfen und anschließend eine neue Version erstellen.

Im nächsten Teil zeige ich Ihnen typische Fallstricke auf, die Ihnen helfen werden, die häufigsten Fehler nicht zu begehen.