Im Verzeichnis von Verarbeitungstätigkeiten erfassen Sie sämtliche Arbeitsvorgänge, bei denen personenbezogene Daten verarbeitet werden. Es handelt sich also um eine Übersicht und zugleich um ein Nachweispapier, dass Sie z.B. bei Kontrollen durch eine Aufsichtsbehörde oder auch bei einem Audit (z.B. durch einen Auftraggeber) benötigen. Es liegt in der Verantwortung der Unternehmensführung, dass ein solches Verzeichnis erstellt und auch stets aktuell gehalten wird; bei der praktischen Umsetzung wird – sofern vorhanden – der Datenschutzbeauftragte mit seinem Fachwissen eine große Hilfe sein.
Diese Tätigkeiten müssen Sie in das Verzeichnis eintragen
Das Verzeichnis von Verarbeitungstätigkeiten (früher „Verfahrensverzeichnis“ genannt) ist eines der wichtigsten Dokumente in Ihrem Unternehmen für den Bereich Datenschutz: Hierin erfassen Sie sämtliche Arbeitsvorgänge, bei denen personenbezogene Daten verarbeitet werden. Es handelt sich also um eine Übersicht und zugleich um ein Nachweispapier, dass Sie z.B. bei Kontrollen durch eine Aufsichtsbehörde oder auch bei einem Audit (z.B. durch einen Auftraggeber) benötigen. Es liegt in der Verantwortung der Unternehmensführung, dass ein solches Verzeichnis erstellt und auch stets aktuell gehalten wird; bei der praktischen Umsetzung wird – sofern vorhanden – der Datenschutzbeauftragte mit seinem Fachwissen eine große Hilfe sein.
Wer muss ein Verzeichnis führen?
Zwar lässt Artikel 30 Abs. 5 DSGVO einige Ausnahmen zu, unter denen ein Unternehmen von der Führung eines solchen Verzeichnisses befreit ist; allerdings sind die Einschränkungen derart stark, dass faktisch doch fast jedes Unternehmen ein solches Verzeichnis führen muss. Wir gehen daher in der weiteren Betrachtung davon aus, dass auch in Ihrem Unternehmen ein solches Verzeichnis zu führen ist.Im Einzelnen muss jeder Arbeitsvorgang, bei dem personenbezogene Daten verarbeitet werden, zunächst identifiziert (also zur Kenntnis genommen) werden. Dies geschieht meistens in Form einer Vor-Ort-Begehung zusammen mit dem Datenschutzbeauftragten, der dafür zum einen Gespräche mit der Geschäftsführung, Abteilungsleitern, Projektverantwortlichen und weiteren leitenden Angestellten führt und dann die einzelnen Arbeitsplätze inspiziert. Es ist also notwendig, das Unternehmen einführend auf den „Ist“-Zustand hin zu prüfen und das Ergebnis schriftlich festzuhalten.
Diese Zeit sollten Sie einplanen
Je nach Größe des Unternehmens sollten Sie für eine solche Prüfung, wenn sie erstmals erfolgen sollte, mehrere Stunden oder gar Tage einplanen. Die meisten Mitarbeiter können in dieser Phase ganz normal weiterarbeiten, sofern ein erfahrener Datenschutzbeauftragter die Fragerunde pro Arbeitsplatz auf ein Mindestmaß reduziert.Ergänzend zu der Frage, welche personenbezogenen Daten von welchen Personen bzw. Personengruppen verarbeitet werden, muss man klären, ob die Datenverarbeitung überhaupt zulässig ist und wenn ja, zu welchem Zweck die Daten verarbeitet werden und was dafür die Rechtsgrundlage ist.
Datentransfer in Drittländer?
Sollte ein Datentransfer in ein Drittland stattfinden, so muss das ebenso erfasst werden. Grundlegend ist in einem solchen Fall dann auch die Angabe der Garantien, welche den Datenschutz im Drittland auf Niveau der DSGVO gewährleisten. Weiterhin wird geprüft, wer alles Zugriff auf die verarbeiteten Daten hat, wie lange die Daten gespeichert werden und wie sie mit Hilfe von technischen und organisatorischen Maßnahmen vor unbefugtem Zugriff, Verlust oder ungewollter Veränderung geschützt werden.