Verarbeitungs­verzeichnis für Datenschutzprofis – So geht's!

Min. Lesezeit

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist eines der wichtigsten Dokumente, um als Unternehmen konform mit der Datenschutz-Grundverordnung (DSGVO) zu sein. Es ist die Grundlage für eine strukturierte Datenschutzdokumentation und sollte in deinem Unternehmen nicht fehlen. Ansonsten musst du mit empfindlichen Bußgeldern rechnen. Zudem unterstützt es den Verantwortlichen, seine Rechenschaftspflichten nach Art. 5 Abs. 2 einzuhalten und ist die Grundlage für eine strukturierte Datenschutzdokumentation.

Verarbeitungsverzeichnis mit einer Hand welche ein Schild mit Schloss hält

Was ist ein Verarbeitungsverzeichnis?

Zu den Hintergründen: Das Verarbeiten von personenbezogenen Daten ist ein heikles Thema. Mittlerweile sollte sich durchgesprochen haben, dass es in Deutschland und der EU Pflicht ist, eine Datenschutzerklärung und ein Impressum zu führen. Zudem muss beispielsweise für viele Cookies eine Nutzer-Einwilligung eingeholt werden. Wenn du das auf deiner Webseite noch nicht angelegt hast, dann hast du wirklich etwas Wesentliches verpasst. Und das könnte teuer werden.


 

tip

Shop-Tiefenprüfung

Wir prüfen deine Präsenz bis ins Detail und gehen dabei auch auf die klassischen Abmahnfallen wie unzureichende Preisangaben oder mangelhafte Angaben zum Widerrufsrecht ein. Wir sehen uns den Bestellablauf an, überprüfen stichprobenartig Produkte und vieles Weiteres mehr.

 

 

 

hb-iconset-stoerer-info-2Tipp: In unseren Mitgliedschaftspaketen Unlimited und Professional ist die Shop-Tiefenprüfung bereits enthalten. Zusätzlich profitierst du von weiteren Benefits, wie internationalen Rechtstexten, kompetenter Rechtsberatung und Soforthilfe bei Abmahnung. So bist du durch und durch abgesichert.

Vorgeschrieben wird die Nutzung eines Verarbeitungsverzeichnisses von der EU-Datenschutz-Grundverordnung (DSGVO) in Art. 30. Jeder Verantwortliche, der mit der Verarbeitung personenbezogener Daten zu tun hat, muss seine Verarbeitungsvorgänge in einem ausführlichen "Verzeichnis der Verarbeitungstätigkeiten" dokumentieren.

 

Welche Art von Unternehmen oder Organisationen benötigen ein Verarbeitungsverzeichnis?

Nach der DSGVO muss fast jeder Unternehmer ein Verarbeitungsverzeichnis führen. 

hb-iconset-stoerer-achtung-2Achtung: Für kleinere Unternehmen gibt es zwar Ausnahmen. Ausnahmen greifen nur, wenn die personenbezogenen Daten „nicht nur gelegentlich“ verarbeitet werden.


Ein Unternehmen mit weniger als 250 Mitarbeitern ist zum Beispiel nur in folgenden Fällen von der Pflicht befreit:

  1. Datenverarbeitung birgt kein Risiko für die Rechte und Freiheiten der Betroffenen
  2. Datenverarbeitung erfolgt gelegentlich
  3. keine Datenverarbeitung von besonderen Kategorien von personenbezogenen Daten im Sinne von Art. 9 Abs. 1 DSGVO und Art. 10  DSGVO
  4. Unabhängig davon und aufgrund der Komplexität der DSGVO-Regelungen ist es jedoch im Interesse jedes Unternehmens, ein VVT zu führen. Denn mit dem VVT belegen Sie, dass Ihr Unternehmen datenschutzkonform arbeitet und behalten die Übersicht über alle internen Datenverarbeitungen.

 

Warum ist ein Verarbeitungsverzeichnis wichtig für den Datenschutz?

Das Verarbeitungsverzeichnis hat auch Vorteile, denn mit einem zuverlässig geführten VVT kannst du dich als Unternehmer im Zweifelsfall gegen falsche Vorwürfe wehren und dich entlasten. Mit Hilfe des VVT kann nachweislich die datenschutzrechtliche Konformität der Datenverarbeitung belegt werden.

Wie trägt ein Verarbeitungsverzeichnis zur Transparenz und Rechenschaftspflicht bei?

So fördert das Verarbeitungsverzeichnis Transparenz und Rechenschaftspflicht:

Dokumentation von Verarbeitungstätigkeiten: Das Verarbeitungsverzeichnis erfordert, dass eine Organisation alle relevanten Informationen über die Verarbeitung personenbezogener Daten erfasst und dokumentiert. Dazu gehören beispielsweise der Zweck der Verarbeitung, die Kategorien von betroffenen Personen und personenbezogenen Daten, die Empfänger der Daten und die geplante Speicherdauer. Diese Dokumentation schafft Transparenz über die Datenverarbeitungsvorgänge.

Überprüfung der Rechtmäßigkeit: Das Verarbeitungsverzeichnis hilft dabei sicherzustellen, dass die Verarbeitung personenbezogener Daten rechtmäßig erfolgt. Es erfordert, dass die rechtlichen Grundlagen für die Verarbeitung (z. B. Einwilligung, Vertragserfüllung, rechtliche Verpflichtung) dokumentiert werden. Auf diese Weise unterstützt es die Rechenschaftspflicht der Organisation und ermöglicht eine Überprüfung der Konformität mit den Datenschutzbestimmungen.

Identifizierung von Risiken und Schutzmaßnahmen: Das Verarbeitungsverzeichnis ermöglicht es einer Organisation, potenzielle Datenschutzrisiken zu erkennen und angemessene Schutzmaßnahmen zu ergreifen. Durch die Dokumentation der Verarbeitungstätigkeiten können Schwachstellen oder mögliche Verletzungen des Datenschutzes identifiziert und entsprechende Maßnahmen ergriffen werden, um diese Risiken zu minimieren.

Kommunikation mit Betroffenen und Aufsichtsbehörden: Das Verarbeitungsverzeichnis erleichtert die Kommunikation mit betroffenen Personen und Datenschutzaufsichtsbehörden. Es bietet eine umfassende Übersicht über die Verarbeitungstätigkeiten, die von einer Organisation durchgeführt werden, und ermöglicht es Betroffenen, Informationen über die Verarbeitung ihrer Daten anzufordern. Aufsichtsbehörden können das Verarbeitungsverzeichnis als Referenz verwenden, um die Einhaltung der Datenschutzbestimmungen zu überprüfen.

 

Datenschutz-Paket Pro

  • Externer Datenschutzbeauftragter
  • Anwaltliches Beratungsgespräch
  • Rechtssichere Datenschutzdokumente
  • Persönliche Datenschutzschulung
Mit einem Experten sprechen Jetzt buchen
datenschutz-paket-pro

 

 

Welche Auswirkungen kann es haben, wenn ein Unternehmen kein Verarbeitungsverzeichnis führt?

Ein Verstoß gegen die gesetzlichen Vorgaben gem. Art. 30 DSGVO für das Verarbeitungsverzeichnis kann teuer werden. Unter Umständen wird es von der zuständigen Aufsichtsbehörde mit einem Bußgeld von bis zu 10 Millionen Euro geahndet. Oder im Unternehmensfall bedeutet das ein Bußgeld von bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres-
Je nachdem, welcher der Beträge höher ist, vgl. Art. 83 Abs. 4 lit. a) DSGVO.

 

 

tip

Unser Tipp

Wegen eines Datenschutzverstoßes kannst du übrigens auch eine wettbewerbsrechtliche Abmahnung riskieren. Mitbewerber und Interessenverbände können dich abmahnen lassen, wenn du dich nicht an die Datenschutzbestimmungen hältst. Die Begründung liegt darin, dass du es dir ohne Einhaltung der Vorgaben leichter machen und somit wettbewerbsrechtliche Vorteile erlangen kannst. Solltest du eine Abmahnung wegen Datenschutz erhalten, stehen dir unsere erfahrenen Rechtsanwälte jederzeit mit Rat und Tat zur Seite.

 

 

Wie erfüllt ein Verarbeitungsverzeichnis die rechtlichen Anforderungen der DSGVO?

Ein Verarbeitungsverzeichnis erfüllt die rechtlichen Anforderungen der Datenschutz-Grundverordnung (DSGVO), indem es eine transparente und umfassende Dokumentation aller Verarbeitungstätigkeiten personenbezogener Daten einer Organisation bereitstellt. Es ermöglicht den Nachweis der Einhaltung der Datenschutzbestimmungen und dient als Grundlage für die Zusammenarbeit mit Datenschutzbehörden.

So erfüllt das VVT die rechtlichen Anforderungen der DSGVO:

Transparenz: Das Verarbeitungsverzeichnis liefert eine klare und verständliche Übersicht über die Verarbeitungstätigkeiten einer Organisation. Es informiert betroffene Personen darüber, wie ihre Daten verwendet werden.

Dokumentationspflicht: Gemäß Artikel 30 DSGVO sind Organisationen verpflichtet, ein Verarbeitungsverzeichnis zu führen und es den Datenschutzbehörden auf Anfrage vorzulegen. Das Verarbeitungsverzeichnis erfüllt diese Dokumentationspflicht, indem es alle relevanten Informationen zu den Verarbeitungstätigkeiten enthält.

Rechenschaftspflicht: Ein Verarbeitungsverzeichnis ermöglicht es einer Organisation, ihre Einhaltung der Datenschutzprinzipien gemäß Artikel 5 DSGVO nachzuweisen. Es zeigt, dass angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten ergriffen wurden.

Datenschutz-Folgenabschätzung (DPIA): Ein Verarbeitungsverzeichnis kann auch Informationen über durchgeführte Datenschutz-Folgenabschätzungen enthalten. Die DSGVO fordert in bestimmten Fällen eine DPIA, um potenzielle Risiken für die Rechte und Freiheiten betroffener Personen zu bewerten. Das Verarbeitungsverzeichnis dient als Nachweis dafür, dass eine DPIA durchgeführt wurde, wenn erforderlich.

Zusammenarbeit mit Datenschutzbehörden: Wenn Datenschutzbehörden die Einhaltung der DSGVO überprüfen, können sie das Verarbeitungsverzeichnis als wichtige Referenz nutzen. Es ermöglicht einen Überblick über die Verarbeitungstätigkeiten einer Organisation und erleichtert die Kommunikation und Zusammenarbeit.

Welche rechtlichen Vorgaben und Bestimmungen der DSGVO beziehen sich auf das Verarbeitungsverzeichnis?

Das Verarbeitungsverzeichnis wird in verschiedenen Artikeln der Datenschutz-Grundverordnung erwähnt. Im Folgenden sind die relevanten rechtlichen Vorgaben und Bestimmungen aufgelistet, die sich auf das Verarbeitungsverzeichnis beziehen:

 

hb-iconset-paragraph
Artikel 30 - Verzeichnis von Verarbeitungstätigkeiten
Gemäß Artikel 30 Absatz 1 der DSGVO müssen Verantwortliche und Auftragsverarbeiter ein Verzeichnis von Verarbeitungstätigkeiten führen. Das Verzeichnis enthält Informationen über die Verarbeitung personenbezogener Daten, wie den Zweck der Verarbeitung, die Kategorien von betroffenen Personen und personenbezogenen Daten, die Empfänger der Daten und die geplante Speicherdauer.
hb-iconset-paragraph
Artikel 30 Absatz 2 - Ausnahmen für kleine Unternehmen
Artikel 30 Absatz 2 enthält Ausnahmen für kleine Unternehmen mit weniger als 250 Mitarbeitern. Diese Unternehmen sind nicht verpflichtet, ein Verarbeitungsverzeichnis zu führen, es sei denn, die Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, ist nicht gelegentlich oder betrifft besondere Kategorien von personenbezogenen Daten.
hb-iconset-paragraph
Artikel 30 Absatz 4 - Zusammenarbeit mit der Aufsichtsbehörde
 Gemäß Artikel 30 Absatz 4 müssen Verantwortliche und Auftragsverarbeiter der Aufsichtsbehörde das Verarbeitungsverzeichnis auf Anfrage zur Verfügung stellen. Dies dient der Überprüfung der Einhaltung der Datenschutzbestimmungen durch die Aufsichtsbehörde.
hb-iconset-paragraph
Erwägungsgrund 82 - Dokumentation der Verarbeitungstätigkeiten
Erwägungsgrund 82 betont die Bedeutung der Dokumentation der Verarbeitungstätigkeiten zur Erfüllung der Rechenschaftspflicht gemäß der DSGVO. Das Verarbeitungsverzeichnis ist ein Instrument, um diese Dokumentation sicherzustellen.

 

Gibt es spezifische Anforderungen für bestimmte Branchen oder Arten von Datenverarbeitung?

Ja, die DSGVO enthält Bestimmungen und Anforderungen, die spezifische Branchen oder Arten von Datenverarbeitung betreffen. Hier sind einige Beispiele:

Gesundheitsdaten: Die Verarbeitung von Gesundheitsdaten unterliegt besonderen Anforderungen gemäß Artikel 9 der DSGVO. Solche sensiblen Daten, die Informationen über die physische oder mentale Gesundheit einer Person enthalten, erfordern in der Regel eine ausdrückliche Einwilligung der betroffenen Person oder es muss eine rechtliche Grundlage gemäß Artikel 9 Absatz 2 der DSGVO vorliegen.

Kinderdaten: Die DSGVO enthält spezifische Bestimmungen zum Schutz der personenbezogenen Daten von Kindern, insbesondere in Bezug auf Online-Dienste. Die Verarbeitung von Daten von Kindern unterliegt strengeren Anforderungen, wie beispielsweise die Einholung der Zustimmung der Eltern oder Erziehungsberechtigten.

Mitarbeiterdaten: Die Verarbeitung personenbezogener Daten von Mitarbeitern unterliegt bestimmten Bestimmungen, insbesondere im Hinblick auf die Einhaltung der Datenschutzrechte der Arbeitnehmer. Arbeitgeber müssen sicherstellen, dass sie die erforderlichen rechtlichen Grundlagen haben, um personenbezogene Daten von Mitarbeitern zu verarbeiten, und angemessene Sicherheitsmaßnahmen ergreifen, um die Vertraulichkeit und Integrität dieser Daten zu gewährleisten.

Videoüberwachung: Die Verarbeitung von personenbezogenen Daten durch Videoüberwachungssysteme unterliegt bestimmten Anforderungen gemäß Artikel 13 und Artikel 14 der DSGVO. Betroffene Personen müssen über die Überwachung informiert werden, es sei denn, es besteht eine gesetzliche Ausnahme. Zudem müssen angemessene Sicherheitsvorkehrungen getroffen werden, um die Integrität und Vertraulichkeit der aufgezeichneten Daten zu gewährleisten.

 

Wie ist ein Verarbeitungsverzeichnis aufgebaut und strukturiert?

In einem Verarbeitungsverzeichnis müssen alle Verarbeitungstätigkeiten von personenbezogenen Daten dokumentiert werden. Die Anforderungen an den Inhalt des Verzeichnisses sind in Art. 30 DSGVO beschrieben. Unterschieden wird zwischen 

  1. dem VVT, das datenschutzrechtlich Verantwortliche führen müssen und deutlich umfangreicher ist,
  2. und dem Verzeichnis für Auftragsverarbeiter.
Da die offizielle Amtssprache in Deutschland Deutsch ist, können deutsche Aufsichtsbehörden von international tätigen Unternehmen auch ein Verzeichnis von Verarbeitungstätigkeiten auf Deutsch verlangen.

So könnte der Aufbau eines VVT ausziehen: 

  1. Deckblatt:

    1. Name der Organisation
    2. Datum der Erstellung des Verarbeitungsverzeichnisses
    3. Kontaktdaten des Verantwortlichen oder der Organisation

  2. Einleitung:

    1. Zweck des Verarbeitungsverzeichnisses
    2. Verweis auf die rechtliche Grundlage (z. B. DSGVO)

  3. Zusammenfassung der Verarbeitungstätigkeiten:
     
    1. Eine kurze Übersicht über die wichtigsten Aspekte der Verarbeitungstätigkeiten

  4. Verantwortlicher:

    1. Name und Kontaktdaten des Verantwortlichen (Organisation oder Person)
    2. Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)

  5. Verarbeitungszwecke:

    1. Klare Beschreibung der Zwecke, für die personenbezogene Daten verarbeitet werden
    2. Legitime Interessen, Verträge oder rechtliche Verpflichtungen, die die Verarbeitung rechtfertigen

  6. Kategorien betroffener Personen:

    1. Auflistung oder Beschreibung der Gruppen von Personen, deren Daten verarbeitet werden (Kunden, Mitarbeiter, etc.)

  7. Kategorien personenbezogener Daten:

    1. Auflistung der verschiedenen Arten von personenbezogenen Daten, die verarbeitet werden (Name, Adresse, Geburtsdatum, etc.)

  8. Kategorien von Empfängern:

    1. Auflistung der Kategorien von Empfängern, denen personenbezogene Daten offengelegt werden können (Dienstleister, Behörden, etc.)

  9. Übermittlung an Drittländer:

    1. Information über die Übermittlung personenbezogener Daten an Länder außerhalb der Europäischen Union (sofern zutreffend)

  10. Aufbewahrungsfristen:

    1. Zeiträume, für die personenbezogene Daten gespeichert werden, oder Kriterien für die Festlegung der Aufbewahrungsdauer

  11. Technische und organisatorische Maßnahmen:

    1. Beschreibung der Sicherheitsmaßnahmen, die ergriffen wurden, um personenbezogene Daten zu schützen (Verschlüsselung, Zugriffskontrollen, etc.)

  12. Datenschutz-Folgenabschätzung:

    1. Hinweis darauf, ob eine Datenschutz-Folgenabschätzung durchgeführt wurde und gegebenenfalls eine Zusammenfassung der Ergebnisse

  13. Aktualisierungen und Änderungen:

    1. Vermerk über die Aktualisierung des Verarbeitungsverzeichnisses und Änderungen an den Verarbeitungstätigkeiten

 

Welche Informationen sollten im Verarbeitungsverzeichnis enthalten sein?

Im Grunde geht es um Datenschutzvorgänge und Datenkategorien an sich, bei denen personenbezogene Daten gespeichert oder verarbeitet werden. Du listest für das Verzeichnis also keine konkreten Adressen oder Telefonnummern auf, sondern Tätigkeiten und Datenarten wie beispielsweise: 

  1. Verarbeitung von Bewerber- und Personaldaten
  2. interne und externe Unternehmenskommunikation
  3. Kundenbetreuung
  4. Marketing
  5. Videoüberwachung
  6. Datenvernichtung
  7. Social Media Auftritte
  8. Finanzen und Buchhaltung

safe-harbour-abkommen

 

Gibt es eine bestimmte Struktur oder Vorlage, die für ein Verarbeitungsverzeichnis verwendet werden sollte?

Ja, es gibt eine empfohlene Struktur oder Vorlage für ein Verarbeitungsverzeichnis gemäß der Datenschutz-Grundverordnung (DSGVO). Das Verarbeitungsverzeichnis ist eine Dokumentation, in der eine Organisation alle Verarbeitungstätigkeiten personenbezogener Daten festhält.

Obwohl es keine festgelegte Vorlage gibt, sollte ein Verarbeitungsverzeichnis normalerweise die folgenden Informationen zur Einhaltung der DSGVO enthalten:

  1. Name und Kontaktdaten der Organisation, die für die Datenverarbeitung verantwortlich ist.

  2. Beschreibung des Zwecks oder der Zwecke, für die die Daten verarbeitet werden.

  3. Kategorien/Beschreibung der Personengruppen, deren Daten verarbeitet werden.

  4. Auflistung der Arten von personenbezogenen Daten, die verarbeitet werden.

  5. Angabe der Empfänger, denen die personenbezogenen Daten offengelegt werden können, z. B. externe Dienstleister oder andere Organisationen.

  6. Falls personenbezogene Daten in Drittländer übermittelt werden, sollten diese aufgeführt werden.

  7. Angabe der Zeiträume, für die die personenbezogenen Daten gespeichert werden.

  8. Beschreibung der Sicherheitsmaßnahmen, die ergriffen werden, um die personenbezogenen Daten zu schützen.

  9. Wenn erforderlich, sollte angegeben werden, ob eine Datenschutz-Folgenabschätzung durchgeführt wurde.

  10. Falls vorhanden, sollten die Kontaktdaten des Datenschutzbeauftragten aufgeführt werden.

Erstellst du dein Verarbeitungsverzeichnis selbst, kann das als rechtlich unerfahrener Ersteller zeitaufwändig, fehleranfällig und auch risikoreich bezüglich Bußgeld sein. 

Du kannst auch einen auf Datenschutz spezialisierten Rechtsanwalt für die Erstellung beauftragen – jedoch ist hierbei mit hohen Kosten zu rechnen. 

Eine weitere Alternative ist die Nutzung eines Datenschutz-Tools oder eines Datenschutz-Management-System (DSMS). Mit diesen Tools bist du auch auf der sicheren Seite. Sie sind zudem kostengünstiger als ein Anwalt. 


hb-iconset-dokument
Mustervorlage für das Verzeichnis von Verarbeitungstätigkeiten

Mit unserer Mustervorlage wird es einfach. Anhand praktischer Beispiele erläutern wir, von welcher Personengruppe Daten anfallen, wie du diese verarbeiten musst und wann du sie löschen musst. 

Zur Mustervorlage

 

Wie kann man die erforderlichen Informationen ermitteln, insbesondere bei komplexen Datenverarbeitungsprozessen?

Um die erforderlichen Informationen für das Verarbeitungsverzeichnis zu ermitteln, insbesondere bei komplexen Datenverarbeitungsprozessen, können folgende Schritte hilfreich sein:

Bestandsaufnahme der Datenflüsse: Identifiziere alle Datenquellen, Datenempfänger und internen Prozesse, die personenbezogene Daten verarbeiten. Dies kann Interviews mit den relevanten Mitarbeitern, Überprüfung von vorhandenen Dokumentationen und Analyse der Systeme und Prozesse umfassen.

Dokumentation der Datenkategorien: Kategorisiere die personenbezogenen Daten nach Art und Sensibilität (z. B. Kontaktdaten, Finanzdaten, Gesundheitsdaten usw.). Dies hilft dabei, die Art der personenbezogenen Daten zu verstehen, die in den Verarbeitungsprozessen verarbeitet werden.

Beschreibung der Verarbeitungsvorgänge: Dokumentiere detailliert, wie die personenbezogenen Daten in den verschiedenen Prozessen verarbeitet werden. Dies beinhaltet die Identifizierung der Zwecke der Verarbeitung, die beteiligten Stakeholder, die Rechtsgrundlage für die Verarbeitung, die Datenübermittlungen an Dritte und die Aufbewahrungsfristen.

Bewertung der Risiken: Analysiere die potenziellen Risiken für die Datenschutzrechte und -freiheiten der betroffenen Personen im Zusammenhang mit den Verarbeitungsprozessen. Dies kann auch eine Datenschutz-Folgenabschätzung beinhalten, um potenzielle Risiken zu bewerten und geeignete Maßnahmen zur Risikominderung zu identifizieren.

Aktualisierung und Pflege: Das Verarbeitungsverzeichnis sollte regelmäßig überprüft und aktualisiert werden, insbesondere bei Änderungen in den Verarbeitungsprozessen oder bei neuen Datenverarbeitungsaktivitäten.

 

Gibt es Best Practices oder Tools, die bei der Erstellung eines Verarbeitungsverzeichnisses helfen können?

Ja, es gibt Best Practices und Tools, die bei der Erstellung eines Verarbeitungsverzeichnisses helfen können:

Verwendung von Vorlagen: Es gibt verschiedene Vorlagen und Muster für Verarbeitungsverzeichnisse, die als Ausgangspunkt dienen können. Diese Vorlagen enthalten typischerweise die erforderlichen Informationen gemäß Artikel 30 der DSGVO und können angepasst werden, um den spezifischen Anforderungen deiner Organisation gerecht zu werden.

Zusammenarbeit mit den relevanten Abteilungen: Um ein umfassendes Verarbeitungsverzeichnis zu erstellen, ist es wichtig, mit den verschiedenen Abteilungen und Teams in deiner Organisation zusammenzuarbeiten, die personenbezogene Daten verarbeiten. Dies kann die IT-Abteilung, die Personalabteilung, das Marketing-Team usw. umfassen. Sie sollten Informationen über ihre Verarbeitungstätigkeiten sammeln und in das Verzeichnis aufnehmen.

Dokumentation aller Verarbeitungstätigkeiten: Stelle sicher, dass du alle relevanten Informationen zu den Verarbeitungstätigkeiten dokumentierst, einschließlich des Zwecks der Verarbeitung, der Kategorien von betroffenen Personen und personenbezogenen Daten, der Empfänger der Daten, der geplanten Speicherdauer usw. Dies kann mithilfe von Tabellen oder Datenbanken erfolgen.

Regelmäßige Aktualisierung und Pflege: Das Verarbeitungsverzeichnis sollte regelmäßig aktualisiert werden, um sicherzustellen, dass es immer auf dem neuesten Stand ist. Neue Verarbeitungstätigkeiten sollten dokumentiert und gegebenenfalls Änderungen in den bestehenden Verarbeitungstätigkeiten aktualisiert werden.

Verwendung von Datenschutzmanagement-Tools: Es gibt verschiedene Datenschutzmanagement-Tools und Softwarelösungen auf dem Markt, die bei der Erstellung und Verwaltung eines Verarbeitungsverzeichnisses unterstützen können. Diese Tools bieten oft Funktionen wie automatische Generierung von Verzeichnissen, Aktualisierungsbenachrichtigungen und Berichterstellung.

 

hb-iconset-faq-1FAQ Verarbeitungsverzeichnis

 

Wer hat die Pflicht, ein Verarbeitungsverzeichnis zu führen?

Grundsätzlich sind Unternehmen, Behörden, Personen und Vereine dazu verpflichtet, ein Verarbeitungsverzeichnis zu führen, wenn sie mit personenbezogenen Daten arbeiten.

Auftragsverarbeiter und du als Verantwortlicher müssen ein solches Verzeichnis selbst erstellen und führen. 

Wer ist nicht verpflichtet ein Verarbeitungsverzeichnis zu führen?

Nur Unternehmen mit weniger als 250 Mitarbeitern sind von der Pflicht, ein Verarbeitungsverzeichnis zu führen, befreit, wenn sie bestimmte Anforderungen erfüllen.

Was sind Verarbeitungstätigkeiten?

Dafür gibt es in der DSGVO keine klare Definition. Kein Wunder, dass es zu Unklarheiten bei der Dokumentation im Verarbeitungsverzeichnis kommt. Eine Verarbeitungstätigkeit kann man als ein Paket von Verarbeitungsschritten betrachten, das einem einheitlichen, übergeordneten Zweck dient.

Beispiele für Verarbeitungstätigkeiten:

  1. Nutzung spezieller Software oder Geräte, mit denen Mitarbeiterdaten erfasst, gespeichert oder ausgewertet werden
    1. Zeiterfassungssystem
    2. digitale Personalakten
    3. elektronisches Zugangskartensystem
    4. Videoüberwachung

  2. Standardisierte interne Abläufe, bei denen Mitarbeiterdaten kontinuierlich oder systematisch erfasst oder gespeichert werden. 

Wer erstellt ein Verarbeitungsverzeichnis?

Verantwortlich für das Verarbeitungsverzeichnis bist du als Unternehmer bzw. Geschäftsführer des Unternehmens. Im Rahmen der Dokumentationspflicht der DSGVO musst du sämtliche Verarbeitungstätigkeiten dokumentieren.

Wer darf das Verarbeitungsverzeichnis einsehen?

Die genaue Zugriffsregelung auf das Verarbeitungsverzeichnis kann je nach Unternehmen variieren. Zugriff sollten Personen haben, die an der Verarbeitung personenbezogener Daten innerhalb der Organisation beteiligt sind. Oder für die Überwachung der Einhaltung der Datenschutzvorschriften verantwortlich sind. 
Dazu gehören beispielsweise:

  1. Datenschutzbeauftragter eines Unternehmens 
  2. Verantwortliche Personen für die Verarbeitung personenbezogener Daten
  3. Datenschutzaufsichtsbehörden

 

Unsere Mitgliedschaftspakete

  • Abmahnsichere Rechtstexte in 8 Sprachen schon ab 9,90 Euro*
  • Sichere Cookie-Banner-Lösung
  • Rechtsberatung (ab Premium)
  • Shop-Tiefenprüfung (Unlimited und Professional)
  • Soforthilfe bei Abmahnung** (Unlimited und Professional)
Paketberater starten Pakete im Überblick
mitgliedschaftspakete-4er

 

Das könnte dich auch interessieren

  1. Telefonische Rechtsberatung für Unternehmer
  2. Kostenlose Mustervorlage zur Datenschutz-Richtlinie für HomeOffice/Telearbeit (HB Marketplace)
  3. Das sind die häufigsten Datenschutz-Fehler im Online-Shop
  4. Rechtssichere Datenschutzerklärung erstellen lassen
  5. VertragsCheck
  6. Rechtssichere AGB mit dem AGB-Generator
hb-iconset-hb-logo
Alles für Online-Händler

Du willst im E-Commerce Erfolge feiern? Mit unseren Lösungen unterstützen wir dich als Online-Händler bei den täglichen Herausforderungen des E-Commerce.

E-Commerce-Lösungen entdecken
hb-iconset-rechtsberatung
Rechtsberatung vom Profi

Du hast rechtliche Fragen? Wir beantworten sie. Unsere auf E-Commerce-Recht spezialisierten Anwälte stehen dir bei rechtlichen Fragen gern zur Seite.

Zur Rechtsberatung
hb-iconset-video-audio-1
Mehr Tipps gibt es auf YouTube

Der Händlerbund YouTube-Kanal hält noch viele weitere Informationen und Tipps bereit, um das Thema Online-Handel erfolgreich und rechtssicher zu gestalten.

Praxistipps entdecken