Checkliste Verarbeitungsverzeichnis

Die Checkliste zur Erstellung eines Verarbeitungsverzeichnisses

 

Schritt 1: Verantwortlichkeiten

§ Benennen Sie verantwortliche Personen. Wer ist zuständig für die Erstellung und Pflege des Verzeichnisses? Sprechen Sie mit Ihrem Datenschutzbeauftragten, falls Sie einen haben.

§ Informationsquellen identifizieren: Wo und wie werden personenbezogene Daten im Unternehmen erfasst, verarbeitet, gespeichert und weitergegeben?

 

Schritt 2: Allgemeine Angaben

§  Name und Kontaktdaten des Unternehmens/der Organisation** eintragen.

§  Kontaktdaten des Datenschutzbeauftragten** (falls vorhanden) hinzufügen.

 

Schritt 3:  Dokumentation der Verarbeitungstätigkeiten

Für jede Verarbeitungstätigkeit sollte Folgendes dokumentiert werden:

§  Beschreibung der Verarbeitung

§  Bezeichnung der Verarbeitungstätigkeit: Wie lautet der Name oder eine kurze Beschreibung?

§  Zweck der Verarbeitung: Wozu werden die Daten erhoben? (z.B. Personalverwaltung, Marketing)

§  Kategorien der betroffenen Personen: Identifizieren Sie die Personengruppen, deren Daten verarbeitet werden (z.B. Kunden, Mitarbeiter, Lieferanten).

§  Kategorien der verarbeiteten Daten: Ermitteln Sie, welche Datenarten verarbeitet werden (z.B. Namen, Adressen, Telefonnummern, Bankdaten).

§  Kategorien von Empfängern

  • Intern: Welche Abteilungen oder Teams haben Zugriff auf die Daten?
  • Extern: Werden Daten an Dritte weitergegeben? (z.B. Dienstleister, Auftragsverarbeiter)

§  Übermittlung in Drittländer: Überprüfen Sie, ob Daten in Drittländer außerhalb der EU oder des EWR übermittelt werden.

§  Angabe der Länder und der rechtlichen Grundlage: für die Übermittlung (z.B. Standardvertragsklauseln).

§  Löschfristen:   Wie lange werden die Daten aufbewahrt? Wann und wie werden sie gelöscht?

§  Technische und organisatorische Maßnahmen (TOMs): Erklärung der Sicherheitsmaßnahmen zum Schutz der Daten (z.B. Verschlüsselung, Zugangskontrollen, Pseudonymisierung).

 

Schritt 4: Vollständigkeit und Richtigkeit überprüfen

§  Vollständigkeitsprüfung: Sind alle Verarbeitungstätigkeiten im Unternehmen erfasst?

§  Richtigkeit: Stimmen die eingetragenen Informationen mit den tatsächlichen Prozessen überein?

 

Schritt 5: Schulung und Information

§  Mitarbeiter informieren und schulen, damit sie die Bedeutung und Inhalte des Verarbeitungsverzeichnisses verstehen.

 

Schritt 6: Pflege und regelmäßige Aktualisierung

§  Regelmäßige Überprüfung und Aktualisierung: Mindestens einmal im Jahr oder bei Änderungen der Prozesse.

§  Änderungsprotokoll führen: Änderungen und Updates dokumentieren, um eine lückenlose Nachverfolgung sicherzustellen.

Tipp: Fragen Sie uns 😊

 

Autor: Markus Vatter, Head of Compliance, 05.11.2024

Hier erfahren Sie mehr.

Ich berate Sie gerne und freue mich auf Ihre Fragen.

Head of Compliance

Markus Vatter