Die Checkliste zur Erstellung eines Verarbeitungsverzeichnisses
Schritt 1: Verantwortlichkeiten
§ Benennen Sie verantwortliche Personen. Wer ist zuständig für die Erstellung und Pflege des Verzeichnisses? Sprechen Sie mit Ihrem Datenschutzbeauftragten, falls Sie einen haben.
§ Informationsquellen identifizieren: Wo und wie werden personenbezogene Daten im Unternehmen erfasst, verarbeitet, gespeichert und weitergegeben?
Schritt 2: Allgemeine Angaben
§ Name und Kontaktdaten des Unternehmens/der Organisation** eintragen.
§ Kontaktdaten des Datenschutzbeauftragten** (falls vorhanden) hinzufügen.
Schritt 3: Dokumentation der Verarbeitungstätigkeiten
Für jede Verarbeitungstätigkeit sollte Folgendes dokumentiert werden:
§ Beschreibung der Verarbeitung
§ Bezeichnung der Verarbeitungstätigkeit: Wie lautet der Name oder eine kurze Beschreibung?
§ Zweck der Verarbeitung: Wozu werden die Daten erhoben? (z.B. Personalverwaltung, Marketing)
§ Kategorien der betroffenen Personen: Identifizieren Sie die Personengruppen, deren Daten verarbeitet werden (z.B. Kunden, Mitarbeiter, Lieferanten).
§ Kategorien der verarbeiteten Daten: Ermitteln Sie, welche Datenarten verarbeitet werden (z.B. Namen, Adressen, Telefonnummern, Bankdaten).
§ Kategorien von Empfängern
- Intern: Welche Abteilungen oder Teams haben Zugriff auf die Daten?
- Extern: Werden Daten an Dritte weitergegeben? (z.B. Dienstleister, Auftragsverarbeiter)
§ Übermittlung in Drittländer: Überprüfen Sie, ob Daten in Drittländer außerhalb der EU oder des EWR übermittelt werden.
§ Angabe der Länder und der rechtlichen Grundlage: für die Übermittlung (z.B. Standardvertragsklauseln).
§ Löschfristen: Wie lange werden die Daten aufbewahrt? Wann und wie werden sie gelöscht?
§ Technische und organisatorische Maßnahmen (TOMs): Erklärung der Sicherheitsmaßnahmen zum Schutz der Daten (z.B. Verschlüsselung, Zugangskontrollen, Pseudonymisierung).
Schritt 4: Vollständigkeit und Richtigkeit überprüfen
§ Vollständigkeitsprüfung: Sind alle Verarbeitungstätigkeiten im Unternehmen erfasst?
§ Richtigkeit: Stimmen die eingetragenen Informationen mit den tatsächlichen Prozessen überein?
Schritt 5: Schulung und Information
§ Mitarbeiter informieren und schulen, damit sie die Bedeutung und Inhalte des Verarbeitungsverzeichnisses verstehen.
Schritt 6: Pflege und regelmäßige Aktualisierung
§ Regelmäßige Überprüfung und Aktualisierung: Mindestens einmal im Jahr oder bei Änderungen der Prozesse.
§ Änderungsprotokoll führen: Änderungen und Updates dokumentieren, um eine lückenlose Nachverfolgung sicherzustellen.
Tipp: Fragen Sie uns 😊
Autor: Markus Vatter, Head of Compliance, 05.11.2024