Verarbeitungsverzeichnis – Dokumentationspflicht nach DSGVO

Dokumentationspflicht: Verarbeitungsverzeichnis

Eine neue Pflicht im Rahmen der DSGVO? Nein, denn schon nach dem alten Bundesdatenschutzgesetz (BDSG) waren Unternehmer in der Pflicht ein sogenanntes Verfahrensverzeichnis anzufertigen.

Der Verantwortliche eines Unternehmens hat ein schriftliches Verfahrensverzeichnis für jeden Vorgang anzulegen, um es im Fall einer Datenpanne oder Datenschutzkontrolle der Aufsichtbehörde vorlegen zu können. Somit ist dies ein Nachweis darüber, dass das Unternehmen die Vorschriften der DSGVO (Art. 30 Abs. 4 DSGVO) einhält.

Die Verpflichtung zur Führung eines Verarbeitungsverzeichnisses ergibt sich aus Art. 30 DSGVO. Danach muss grundsätzlich jeder Verantwortliche ein Verarbeitungsverzeichnis führen. Die Pflicht gilt übrigens gemäß Art. 30 Abs. 2 DSGVO auch für den Auftragsverarbeiter.

Welche Inhalte sind in einem Verarbeitungsverzeichnis wichtig?

Hier macht Art. 30 Abs. 1 DSGVO klare Vorgaben:

“Das Verarbeitungsverzeichnis muss mindestens folgende Inhalte aufweisen:
‣ den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
‣ die Zwecke der Verarbeitung
‣ eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
‣ die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
‣ gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentation geeigneter Garantien
‣ wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
‣ wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1”

Auf die technisch-organisatorische Maßnahmen TOM gemäß Art. 32 DSGVO sollten Unternehmen besonderen Wert legen, welche technischen und organisatorischen Sicherheitsvorkehrungen getroffen werden.

Das Verarbeitungsverzeichnis betrifft alle automatisierten Verarbeitung sowie nichtautomatisierten Verarbeitungen personenbezogener Daten, die in Datenbanken oder in ein Dateisystem gespeichert werden.

Für jede einzelnen Verarbeitungstätigkeit ist ein Dokumentation nach Maßgabe des Art. 30 DSGVO anzufertigen.

BEST SPEAKERS DATENSCHUTZ unterstützt Sie im Rahmen der DSGVO mit der Erstellung von Verarbeitungsverzeichnissen und daraus resultierenden technischen und organisatorischen Maßnahmen oder Datenschutz-Folgenabschätzungen in Ihrem Unternehmen.

Das Expertenteam und unsere Fachanwälte steht Ihnen jederzeit gerne für Ihre Fragen zur Verfügung.

Rufen Sie uns an unter +49 861 213 94 95 88 (Beratung bundesweit) oder nutzen Sie unseren kostenlosen Rückruf-Service.

Auch per Email sind wir jederzeit für Sie da info@datenschutz-bestspeakers.de