Teil 3: Die häufigsten Fehler beim Erstellen eines Verfahrensverzeichnisses

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Schön, dass Sie beim 3. Teil noch dabei sind. Heute zeige ich Ihnen die häufigsten Fehler meiner Mandanten.

In der letzten Mail habe ich Ihnen gezeigt, wie Sie anhand eines Beispiels ein Verfahren richtig dokumentieren, hier kommen Sie zurück zum zweiten Teil: Teil 2: Schritt für Schritt zum optimalen Verzeichnis nach DSGVO.

Fehler Nummer 1: Verfahren dokumentieren, die gar keine sind (nach DSGVO)

Es gibt durchaus auch Verarbeitungen, die auf den ersten Blick so wirken, als müssten diese in das Verzeichnis von Verarbeitungstätigkeiten mit aufgenommen werden. Es stellt sich aber heraus, dass diese oft gar keine personenbezogenen Daten verarbeiten und damit auch nicht relevant sind.

Zwei Beispiele:

Bilanzerstellung

Diese Datenverarbeitung stellt keine Verarbeitungstätigkeit im Sinne der DSGVO dar, da regelmäßig keine persönlichen Daten, sondern Finanzkennziffern und aggregierte Daten verarbeitet werden.

Auswertung anonymisierter oder aggregierter Daten

Wenn Daten keinen Personenbezug (mehr) haben, können diese auch ohne weiteres verarbeitet werden und stehen nicht unter dem Schutz der DSGVO.

Fehler Nummer 2: Die Erstellung nicht angehen

Machen Sie nicht den Fehler und erstellen Sie Ihr Verzeichnis erst, wenn Sie es benötigen. Das kann teuer werden und im Zweifel stressig.

Fehler Nummer 3: Zu viel oder zu wenig Detail

Verarbeitung = (…) jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten (…) Art 4 Nr. 2 DSGVO.

Das Gesetz sagt es schon, es muss nicht jedes Tool, Programm oder Tätigkeit genannt werden. Vielmehr sollte sinnvoll abstrahiert werden.

Nicht: „Erstellung Lohnabrechnung für Herrn Mayer“
Sondern: „Lohnabrechnung für Arbeitnehmer“

An sich ist ein zu viel nicht wirklich schädlich, es macht aber das Verzeichnis unnötig unübersichtlich und viel zu detailliert.

Zu wenig Detail kann auch zum Problem werden, z.B. wenn Sie keinen (internen) Verantwortlichen für die Verarbeitung angeben oder keine Löschfristen festlegen.

Fehler Nummer 4: Weitere Dokumentationspflichten ausklammern

Mit dem Verzeichnis von Verarbeitungstätigkeiten ist es leider noch nicht getan. Eine Vielzahl weiterer Dokumentationen sind außerdem wichtig. In dieser Abbildung können Sie die wichtigsten überlicksartig finden:

Alle Dokumentationspflichten nach DSGVO zusammengefasst.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)