News

Das Verarbeitungsverzeichnis – wozu wird es benötigt?

26/05/2020

Die DSGVO schreibt vor, dass der Unternehmer in seinem Betrieb alle Verarbeitungstätigkeiten in einem schriftlichen Verzeichnis aufführen muss. Diese Pflicht besteht zwar nach dem Wortlaut des Gesetzes nicht für Unternehmen mit weniger als 250 Mitarbeitern. Wenn allerdings die Verarbeitung von personenbezogenen Daten nicht nur gelegentlich erfolgt, oder aber besonders sensible Daten verarbeitet werden, gilt die Pflicht zur Führung des Verarbeitungsverzeichnisses auch unabhängig von der Mitarbeiterzahl. Da regelmäßig auch kleine und mittelständische Unternehmen (KMU) Mitarbeiter- und Kundendaten regelmäßig verarbeiten, spielt die Ausnahme von der Pflicht zur Führung des Verarbeitungsverzeichnisses in der Praxis kaum eine Rolle. Auf Anfrage muss der zuständigen Aufsichtsbehörde das Verzeichnis zur Verfügung gestellt werden, damit sie die betreffenden Verarbeitungsvorgänge notfalls kontrollieren kann.

Für den Betrieb gilt, dass jeder Verantwortliche ein Verzeichnis derjenigen Verarbeitungstätigkeiten führen muss, die in seiner Zuständigkeit liegen. Verarbeitungstätigkeiten sind dabei alle betrieblichen Tätigkeiten, die die Erfassung, Speicherung, Verarbeitung, Änderung, Löschung oder Übermittlung von personenbezogenen Daten beinhalten. Das kann also zum Beispiel die Bearbeitung von Kundenanfragen oder -aufträgen sein, ein Newsletter, der an Interessenten verschickt wird oder die Bearbeitung von Mitarbeiterdaten für die Gehaltsabrechnung.

Im Verarbeitungsverzeichnis werden regelmäßig folgende Angaben geführt:

  • Name und Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten,
  • Zweck(e) der jeweiligen Verarbeitung,
  • eine Beschreibung der Kategorien der von der Verarbeitung betroffenen Personen,
  • eine Beschreibung der Kategorien der personenbezogenen Daten,
  • die Kategorien von Empfängern, gegenüber denen personenbezogene Daten offengelegt worden sind oder noch werden,
  • Übermittlungen von personenbezogenen Daten an ein Drittland, bzw. eine internationale Organisation,
  • die vorgesehenen Löschfristen der unterschiedlichen Datenkategorien,
  • eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.

Was jeder tun kann

Um den Verantwortlichen zu unterstützen, soll jeder Mitarbeiter eine Aufstellung seiner Tätigkeiten machen, bei denen er mit personenbezogenen Daten arbeitet. Damit helfen Sie sehr, das gesetzlich geforderte Verarbeitungsverzeichnis zu vervollständigen und aktuell zu halten.


Alle Artikel anzeigen