Verzeichnis der Verarbeitungstätigkeiten

VVT - des Pudels Kern (nach DSGVO)

Was ist das Verarbeitungsverzeichnis?

Die Informationspflichten bringen viele Verantwortliche in Verlegenheit. Dabei ist die zentrale Frage häufig: Wie lassen sich die abstrakten Vorgaben ganz praktisch umsetzen? Das Muster vereinigt Verzeichnis der Verarbeitungstätigkeiten und Informationen nach Art. 13 DSGVO. Gemäß Art. 30 DSGVO ist von der verantwortlichen Stelle ein Verarbeitungsverzeichnis über alle Verarbeitungstätigkeiten personenbezogener Daten zu erstellen - damit ist das Verarbeitungsverzeichnis Nachfolger des Verfahrensverzeichnisses (§ 4e BDSG).

Im Vergleich zum alten Verfahrensverzeichnis, welches öffentlich zugänglich sein musste, besteht diese Pflicht bei den Verzeichnissen der Verarbeitungstätigkeiten nur noch gegenüber der Aufsichtsbehörde. Es wird nicht mehr zwischen einem öffentlichen und einem internen Verzeichnis unterschieden. Es müssen aber weiterhin die wesentlichen Angaben zur Datenverarbeitung gemacht werden. Zusätzlich müssen nun zu den verantwortlichen Stellen auch die Stellen, die nur im Auftrag der verantwortlichen Stelle Daten verarbeiten, Verarbeitungsverzeichnisse führen.

Kernfunktion bzw. Anforderung an das Verarbeitungsverzeichnis

  • Beschreibung des Zwecks der Datenverarbeitung
  • Beschreibung der Kategorien und betroffenen Personen
  • Beschreibung der Empfänger, denen die personenbezogenen Daten zugänglich gemacht wurden
  • Übermittlung personenbezogener Daten in ein Drittland oder internationale Organisationen (falls erforderlich)
  • Vorgesehene Fristen zur Löschung der personenbezogenen Daten bzw. der entsprechenden Kategorien

Zudem ein Kapitel die technischen und organisatorischen Maßnahmen (TOM). Also die Themen IT-Sicherheit, Richtlinien und Regelungen, Arbeitsanweisungen und Betriebsvereinbarungen.

Für was bzw. wann ist ein Verzeichnis zu erstellen?

Grundsätzlich müssen Unternehmen mit weniger als 250 Mitarbeiter kein Verarbeitungsverzeichnis führen. Wenn ein Unternehmen aber personenbezogene Daten verarbeitet und vor allem, wenn besonders sensible Daten verarbeitet werden (wie z.B. Gesundheitsdaten) oder ein Risiko für die Rechte und Freiheiten Betroffener besteht, wird ein Verzeichnis der Verarbeitungstätigkeiten gefordert. Wenn Sie also Ihre Mitarbeiterdaten verwalten, sind Sie schon dazu verpflichtet, ein Verarbeitungsverzeichnis zu führen.

Wie muss das Verzeichnis geführt werden?

Das Verzeichnis ist schriftlich zu führen (auch die elektronische Form ist möglich). Inhaltlich sollten Sie Ihr Augenmerk besonders auf die sogenannten TOMs legen, die technischen und organisatorischen Maßnahmen. Sie müssen im Verarbeitungsverzeichnis aufgenommen werden. Mit Einführung der DSGVO sind Verantwortliche nun verpflichtet, unter gewissen Voraussetzungen ein Verarbeitungsverzeichnis zu führen. Ansonsten droht ein Bußgeld. Die Angaben müssen jederzeit und vollständig den Aufsichtsbehörden vorgezeigt werden können.
Als Grundlage für das Verzeichnis von Verarbeitungstätigkeiten und zur Ermittlung der Datenflüsse im Unternehmen, hilft eine Auflistung mit allen innerhalb des Unternehmens eingesetzten Anwendungen, in denen personenbezogene Daten gespeichert werden.

Unterstützung vom Fachmann

Sie sind sich unsicher, ob Ihr Verarbeitungsverzeichnis DSGVO-konform ist oder brauchen Unterstützung bei der optimalen Erstellung? Dann wenden Sie sich vertrauensvoll an uns!

Dein Ansprechpartner

Jörg ter Beek Portraitfoto

Jörg ter Beek
+49 251 2979474-1
jtb@cortina-consult.de

Schreiben Sie uns:
0251 29794740 Schreiben Sie uns