Die "Landkarte" im Datenschutz
Das Verarbeitungsverzeichnis wird auch „Verzeichnis von Verarbeitungstätigkeiten“ genannt und ist ein Dokument, das gemäß der Datenschutz-Grundverordnung (DSGVO) von Unternehmen oder Organisationen geführt werden muss, um die Verarbeitung personenbezogener Daten transparent zu dokumentieren.
Es ist ein wichtiger Bestandteil des Datenschutzmanagements und hilft Unternehmen, den Überblick über ihre Datenverarbeitungsprozesse zu behalten und die Einhaltung der DSGVO nachzuweisen.
Was gehört in ein Verarbeitungsverzeichnis?
Ein Verarbeitungsverzeichnis enthält folgende Informationen:
-
Name und Kontaktdaten des Verantwortlichen: Hier finden sich Angaben zum Unternehmen oder der Organisation, die die Daten verarbeitet. Falls vorhanden, auch die Kontaktdaten des Datenschutzbeauftragten.
-
Zweck der Verarbeitung: Hier sollen Beschreibungen dokumentiert werden, warum personenbezogenen Daten verarbeitet werden (z.B. Personalverwaltung, Kundenbetreuung, Marketing).
-
Kategorien betroffener Personen: Dies ist die Beschreibung der Gruppen von Personen, deren Daten verarbeitet werden (z.B. Kunden, Mitarbeiter, Lieferanten).
-
Kategorien personenbezogener Daten: Dies beschreibt die Art der erhobenen Daten (z.B. Name, Adresse, E-Mail, Bankverbindungen).
-
Kategorien von Empfängern: Dies dokumentiert, wer Zugriff auf die Daten (z.B. interne Abteilungen, externe Dienstleister, Auftragsverarbeiter) erhält?
-
Übermittlung in Drittländer: Werden Daten an Länder außerhalb der EU oder des EWR übertragen, ist dies hier zu beschreiben. Falls ja, muss beschrieben werden welche Daten, an wen versendet werden und auf welcher Grundlage.
-
Löschfristen: Dokumentation der Zeiträume, nach denen die Daten gelöscht oder überprüft werden.
-
Technische und organisatorische Maßnahmen: Hier finden sich Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung (z.B. Verschlüsselung, Zugangskontrollen).
Was ist sonst noch zu beachten?
-
Vollständigkeit und Aktualität: Das Verzeichnis muss vollständig und aktuell sein. Alle Verarbeitungstätigkeiten sollten erfasst werden, und Änderungen müssen zeitnah eingetragen werden.
-
Klarheit und Verständlichkeit: Die Einträge im Verzeichnis sollten klar und verständlich sein, damit auch Dritte (z.B. Aufsichtsbehörden) nachvollziehen können, wie die Datenverarbeitung abläuft.
-
Zusammenarbeit mit Datenschutzbeauftragten: Falls ein Datenschutzbeauftragter bestellt ist, sollte er bei der Erstellung und Pflege des Verzeichnisses einbezogen werden.
-
Schulung und Sensibilisierung: Mitarbeiter sollten über das Verarbeitungsverzeichnis und dessen Bedeutung informiert werden, damit sie sich an die Vorgaben halten.
-
Regelmäßige Überprüfung: Es sollte regelmäßig überprüft werden, ob das Verarbeitungsverzeichnis noch korrekt und aktuell ist.
Ein gut gepflegtes Verarbeitungsverzeichnis hilft nicht nur bei der Einhaltung der DSGVO, sondern auch beim effizienten Management der Datenverarbeitung im Unternehmen.
Autor: Markus Vatter, Head of Compliance, 28.10.2024