Verarbeitungsverzeichnis

Wenn Sie sich an die DSGVO halten, ist eines der ersten Dinge, die Sie tun müssen, das Erstellen eines Verarbeitungsverzeichnisses in dem Sie alle Ihre Aktivitäten, in denen personenbezogene Daten verarbeitet werden, erfassen.

Wie beginnt man mit dem Verarbeitungsverzeichnis?

In einem (Verfahrens- oder) Verarbeitungsverzeichnis müssen Sie für jede Datenanwendung folgende Informationen auflisten (Artikel 30 DSGVO):

  1. Name und Kontaktdaten des Verantwortlichen
  2. falls notwendig: Name und Kontaktdaten des Vertreters und des Datenschutzbeauftragten
  3. Zweck der Datenverarbeitung:
    Buchhaltung, Marketing, Newsletter, Personalverwaltung, Videoüberwachung,...
  4. Rechtsgrund:
    rechtliche Verpflichtung, Erfüllung eines Vertrags, berechtigte Interessen des Verantwortlichen, Einwilligung, Erfüllung lebenswichtiger Aufgaben,...
  5. Kategorie der betroffenen Personen
    Mitarbeiter, Kunden, Lieferanten, Interessenten, ...
    und Kategorien der personenbezogenen Daten:
    Name, Adresse, IP-Adresse, Geburtsdatum, ...
  6. Kategorien von Empfängern:
    Hosting-Anbieter, Cloud-Anbieter, Steuerberater, externe Buchhalter, Behörden, ...
  7. falls zutreffend: Übermittlung der Daten in Drittländer und an internationale Organisationen sowie entsprechende Garantien
  8. Löschfristen:
    Rechnung für 7 Jahre, Webseiten Interessenten 1 Jahr, ...
  9. Beschreibung der technischen und organisatorischen Maßnahmen:
    Verschlüsselung, Pseudonymisierung, Backup, Zugriffskontrollen, ...

Dieses Verarbeitungsverzeichnis ist die Basis für die Einhaltung der DSGVO, weil alle weiteren Analysen, Prozesse und Dokumentation darauf beruhen.

Wenn Sie auch personenbezogene Daten im Auftrag für andere Unternehmen oder Organisationen verarbeiten, dann sind Sie - im Sinne der DSGVO - Auftragsverarbeiter im Auftrag des Verantwortlichen. In diesem Fall müssen Sie auch ein Verarbeitungsverzeichnis als Auftragsverarbeiter führen. Dieses muss folgende Inhalte aufweisen:

  1. Name und Kontaktdaten des Verantwortlichen
  2. Name und Kontaktdaten des Auftraggebers (dessen Verantwortlicher)
  3. falls notwendig: Nameund Kontaktdaten des Vertreters oder Datenschutzbeauftragten
  4. Kategorien von Datenverarbeitungen
  5. falls zutreffend: Übermittlung der Daten an Drittländer oder internationale Organisationen und der geeigneten Garantien
  6. allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

Verarbeitungsverzeichnis ist fertig ... und nun?

Während Sie das Verarbeitungsverzeichnis erstellen, finden Sie heraus welche Daten Sie verarbeiten. Für die DSGVO müssen Sie nun durch geeignete technische und organisatorische Maßnahmen sicherstellen, dass diese personenbezogenen Daten auf sichere Art und Weise gespeichert, verarbeitet, übermittelt,... Speziell, wenn Sie

  • große Mengen von Daten
  • besondere Kategorien von Daten (sensible Daten, Artikel 9 DSGVO)
  • oder nach Ergreifen der TOMs ein hohes Risiko für Freiheit und Rechte der natürlichen Personen bleibt

in diesen Fällen müssen Sie eine DSFA durchführen. In allen anderen Fällen nur, wenn in der Datenverarbeitung ein hohes Risiko bestehen bleibt.

Nach dem Erstellen eines Verarbeitungsverzeichnisses wissen Sie auch, wer Ihre Auftragsverarbeiter sind. Mit diesen müssen Sie vertraglich sicherstellen, dass diese ebenfalls die von Ihnen übermittelten Daten mit entsprechenden technischen und organisatorischen Maßnahmen entsprechend der DSGVO verarbeiten.

Sie müssen auch Ihre Datenschutzerklärung aktualisieren und alle betroffenen Personen in transparenter und verständlicher Art und Weise vor Beginn der Datenverarbeitung über diese sowie die Übermittlung von Daten informieren. Wenn Sie personenbezogene Daten von Dritten erhalten, müssen Sie die betroffenen ebenfalls informieren bevor Sie deren Daten zum ersten Mal verarbeiten - zumindest innerhalb eines Monats.

End of Service

Thank you for your interest in this GDPR tool.

We've decided to quit with this service at end of September 2023.
Former customers can download their PDFs until the end of September 2023.