Verzeichnis Verarbeitungstätigkeiten

Um personenbezogenen Daten nach Maßgaben der EU-DSGVO schützen zu können, muss das verantwortliche Unternehmen zunächst ermitteln, in welchen Fällen personenbezogene Daten – z.B. von Kunden, Lieferanten oder Beschäftigten – erhoben und verarbeitet werden. Als erster Anhaltspunkt bietet es sich an, alle Systeme bzw. Tools im Unternehmen aufzulisten, in welchen personenbezogenen Daten gespeichert werden.

Eine solche Vorgehensweise ist aus zwei Gründen sinnvoll. Einerseits können dadurch die Datenflüsse im Unternehmen ermittelt und definiert werden. Andererseits wird ein erster Grundstein für das Verzeichnis von Verarbeitungstätigkeiten gelegt.

Eine Unterscheidung zwischen dem öffentlichen und internen Verfahrensverzeichnis wird es nach der Datenschutz-Grundverordnung nicht mehr geben. Nach Art. 30 DSGVO ist der Verantwortliche verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. In diesem Verzeichnis sind die wesentlichen Informationen zu Datenverarbeitungstätigkeiten zusammenzufassen, insbesondere also Angaben zum Zweck der Verarbeitung und eine Beschreibung der Kategorien der personenbezogenen Daten, der betroffenen Personen und der Empfänger.

Da eine Übersicht über alle Datenverarbeitungsvorgänge in einem Dokument schnell unübersichtlich wird, wird das Verzeichnis in der Praxis in der Regel aus vielen verschiedenen Einzelverzeichnissen bestehen. So sollte für jedes Tool bzw. System (z.B. IT-System (EDV), Zeiterfassungssystem, CRM-System, HR-Managementtool, etc.) ein eigenes Verzeichnis der Verarbeitungstätigkeiten (Word-Datei) oder in einer Tabelle (Excel-Datei) erstellt werden.

Die neuen Verzeichnisse von Verarbeitungstätigkeiten ähneln inhaltlich den bisherigen internen Verfahrensverzeichnissen nach dem alten BDSG. Daher dürften für Unternehmen, die bereits jetzt über strukturierte Verfahrensübersichten verfügen, die Vorgaben des Art. 30 DSGVO keine größeren Probleme bereiten.

Wir beraten Sie zum Thema „VVT“ ausführlich und unterstützen Sie dabei mit entsprechenden Dokumenten sowie Handlungsempfehlungen für eine datenschutzkonforme Umsetzung.

t+e engineering GmbH

Nauweg 3

01665 Klipphausen