Im letzten Jahr haben wir Ihnen eine Maßnahmenliste zum Thema DSGVO im Unternehmen vorgestellt, die Sie als Unternehmen bereits umgesetzt haben sollten.
Im heutigen Artikel widmen wir uns dem „Verzeichnis von Verarbeitungstätigkeiten“.
Verzeichnis von Verarbeitungstätigkeiten
Die Dokumentationspflicht ist ein wichtiger Bestandteil der DSGVO. Unternehmen müssen eine Vielzahl an Dokumenten anfertigen, die auf Anfrage von Aufsichtsbehörden, Kunden oder Partnern vorgelegt werden müssen. Falls das nicht geschieht, drohen Bußgelder.
Zu diesen Dokumenten gehört das in Artikel 30 DSGVO beschriebene Verzeichnis von Verarbeitungstätigkeiten.
Es müssen alle Geschäftsabläufe, in denen personenbezogene Daten verarbeitet werden, dokumentiert werden.
Zu jeder Verarbeitungstätigkeit müssen verschiedene Informationen bereitgestellt werden.
Die zu bereitstellenden Informationen:
- Der Zweck der Verarbeitung Hier muss der genaue Zweck beschrieben werden, für den die Daten erhoben und verarbeitet werden. Sobald dieser entfällt, dürfen die Daten nicht mehr genutzt werden. Die Daten dürfen dann nicht zu einem anderen Zweck weiterverwendet werden
- Rechtliche Verarbeitungsgrundlage Dieser Punkt hängt mit dem Zweck der Verarbeitung zusammen. In der Datenschutzgrundverordnung heißt es, dass personenbezogene Daten nur in bestimmten Fällen verarbeitet werden dürfen. Diese befinden sich in Artikel 6 DSGVO. So zählt beispielsweise eine Einwilligung der betroffenen Person, oder die Erfüllung eines Vertrages als rechtliche Verarbeitungsgrundlage.
- Verantwortliche Hier steht die Person, die für die jeweilige Verarbeitungstätigkeit verantwortlich ist. Sie ist auch der Ansprechpartner für den Datenschutzbeauftragten.
- Betroffene Personen Bei der Datenverarbeitung können verschiedene Personengruppen, wie zum Beispiel Kunden, Mitarbeiter oder Lieferanten betroffen sein.
- Art der Daten Unter diesem Punkt werden die Datensätze beschrieben. Welche Daten werden genau erfasst und fallen diese unter die Kategorie der besonderen Daten, wie beispielsweise Gesundheitsdaten oder Informationen zur religiösen oder politischen Zugehörigkeit.
- Löschfristen Für alle Datensätze müssen die Löschfristen definiert werden. Die Löschung erfolgt entweder sobald der Zweck entfällt oder keine Aufbewahrungsfrist mehr gilt. Es kann auch auf ein Löschkonzept verwiesen werden, in dem die Fristen genauer definiert werden.
- Technische Maßnahmen Hier müssen die Maßnahmen beschrieben werden, welche zum Schutz der Daten eingesetzt werden. Da diese in dem Dokument zu den technischen und organisatorischen Maßnahmen ausführlich beschrieben werden müssen, ist es hier ausreichend auf das Dokument zu verweisen.
- Datenweitergabe Falls die Daten weitergegeben werden, müssen die Empfänger so genau wie möglich aufgeführt werden. Bei den Empfängern kann es sich beispielsweise um Subunternehmer handeln. Werden die Daten in Drittstaaten weitergegeben, muss auch das hier stehen.
Zu beachten ist, dass das Verzeichnis von Verarbeitungstätigkeiten regelmäßig, bei Änderungen oder Ergänzungen, aktualisiert werden muss.
Es ist wichtig, eine Versionsverwaltung vorzunehmen, um einzusehen, wer wann welche Änderung vorgenommen hat.
DSGVO-Serie: So geht es weiter
In den kommenden Wochen werden wir alle weiteren Maßnahmen zur Umsetzung der Datenschutzgrundverordnung erläutern.
Den ersten Artikel der Serie Datenschutzgrundverordnung – 6 Monate DSGVO und nun? finden Sie unter dem angegebenen Link.
Die nötigen Maßnahmen sind:
- Stellung eines Datenschutzbeauftragten
- Verzeichnis von Verarbeitungstätigkeiten
- Webseitencheck
- Technische und organisatorische Maßnahmen
- Abschluss von Auftragsdatenverarbeitungsverträgen
- Prozesse von Datenpannen und Betroffenenanfragen
- Lösch- und Backupkonzept
- Sensibilisierung der Mitarbeiter
Es gilt genau hinzuschauen und die Prozesse im Unternehmen intensiv zu hinterfragen. Holen Sie sich Hilfe und Informationen bei Experten und lassen Sie sich beraten. Setzen Sie auf moderne Systeme und Lösungen, die Sie bei der Einhaltung der DSGVO unterstützen, wie zum Beispiel unseren DSGVO-Manager -Die Toolbox für eine erfolgreiche Umsetzung der EU-Datenschutzgrundverordnung.
Der DSGVO-Manager
Unser DSGVO-Manager unterstützt Sie vor allem bei der Dokumentation aller nötigen Maßnahmen. Hier haben Sie die Möglichkeit nicht nur Ihre Prozesse zu dokumentieren und die Verantwortlichen aufzulisten, Sie können auch Kundenanfragen, wenn es um Auskunft oder Löschung geht, im DSGVO-Manager nachhalten. Zudem unterstützt unser Tool bei der Beauskunftung gegenüber der Datenschutzbehörde im Rahmen einer Unternehmensprüfung.
Anmerkung: Eine juristische Beratung stellt unser Angebot nicht dar. Dazu nehmen Sie bitte mit einem Anwalt Kontakt auf und sprechen Sie mit Ihrem Datenschutzbeauftragten.