Aufbau eines Verarbeitungsverzeichnisses nach der DS-GVO
Über das „Verzeichnis von Verarbeitungstätigkeiten“ gibt es viele Schauermärchen im Internet zu lesen. Es sei viel zu kompliziert. Es sei ein Bürokratiemonster. „Die da“ in Europa könnten sich überhaupt nicht vorstellen, wie viele Stunden, ja Wochen man daran arbeiten müsse…
Dabei hilft ein einfacher Blick in das Gesetz, um erstaunt festzustellen, dass das „Verarbeitungsverzeichnis“, wie es vereinfacht genannt wird, genau 8 Einträge pro Tätigkeit verlangt:
- Der/Dir Verantwortliche und, wenn vorhanden, der/die Datenschutzbeauftragte mit Kontaktdaten
- Der Zweck der Verarbeitung
- Die Kategorien der von der Verarbeitung Betroffenen
- Die Kategorien der personenbezogenen Daten
- Die Empfänger der personenbezogenen Daten
- Ob die Daten in Drittländer übermittelt werden und wenn ja, wie dort der Schutzstatus ist
- Eine eventuelle Löschfrist
- Ein allgemeiner Hinweis auf die technischen und organisatorischen Maßnahmen
Nach meiner Erfahrung fällt es den Menschen erstaunlich leicht, den Rest des Verzeichnisses selbst in wenigen Minuten zu erstellen, nachdem sie mit mir gemeinsam die ersten zwei Einträge erstellt haben. Das Ausfüllen der wenigen geforderten Zeilen ist dabei meist nicht das größte Hindernis.
Wie lässt sich also die Hürde der ersten zwei Einträge ohne teure persönliche Beratung durch einen Datenschutz-Praktiker nehmen? Die folgende Checkliste soll Ihnen dabei eine praktische Unterstützung sein.
Zuvor sollten wir noch kurz klären, was eigentliche eine zu beschreibende Verarbeitung personenbezogene Daten ist. Denn daran scheitern nach meiner Erfahrung die meisten Menschen, weil ihnen dieser Begriff viel zu Abstrakt ist. Verarbeitungen personenbezogener Daten sind beispielsweise:
- Der E-Mail-Verkehr
- Die Personalverwaltung
- Die Arbeitszeiterfassung
- Urlaubspläne
- Telefonlisten
- Geburtstagskalender
- Dienstpläne
- Vertriebsaktivitäten (Telefonische Terminvereinbarung)
- Auftragsabwicklung (sofern personenbezogene Daten dabei eine Rolle spielen)
- …
Um sich ein Verarbeitungsverzeichnis zu erstellen schlage ich Ihnen vor, dies in Form einer Excel-Tabelle zu tun. In diese tragen Sie den Verantwortlichen ein, dessen Kontaktdaten sowie die entsprechenden Daten eines eventuellen Datenschutzbeauftragten (Grundeinträge). In die Spaltenüberschriften gehören die oben aufgezählten 8 Einträge. Eine Spalte für die Daten der Überprüfungen gehört in jedes Verarbeitungsverzeichnis. Zu den Daten sollten Sie Namenskürzel dazuschreiben, damit später nachvollzogen werden kann, wer die Einträge vorgenommen bzw. überprüft hat. Ans Ende der Tabelle gehört eine Legende dazu.
Zu den einzelnen Einträgen:
- Der/Dir Verantwortliche und, wenn vorhanden, der/die Datenschutzbeauftragte mit Kontaktdaten
- Name und Anschrift des Unternehmens/des Vereins/ der Stiftung usw., Daten des/der zuständigen Geschäftsführers/Geschäftsführerin, Name und Kontaktdaten der/des Datenschutzbeauftragten, alle Einträge können oberhalb der eigentlichen Tabelle eingetragen werden
- Der Zweck der Verarbeitung
- Der E-Mail-Verkehr
- Die Personalverwaltung
- Die Arbeitszeiterfassung
- Urlaubspläne
- Telefonlisten
- Geburtstagskalender
- Dienstpläne
- Vertriebsaktivitäten (Telefonische Terminvereinbarung)
- Auftragsabwicklung (sofern personenbezogene Daten dabei eine Rolle spielen)
- …
- Die Kategorien der von der Verarbeitung Betroffenen
- MitarbeiterInnen, MitarbeiterInnen von Lieferanten, Dienstleistern, Kunden, Interessenten. Kunden, Interessierte, Klienten, Patienten usw. (Betroffene)
- Die Kategorien der personenbezogenen Daten
- Name, Titel, Anschrift, Sozialversicherungsnummer, Kirchenzugehörigkeit, Arbeitszeiten, Vorlieben, Kundenhistorie usw.
- Die Empfänger der personenbezogenen Daten
- Externe Lohnbuchhaltung, Auftragsverarbeiter, Steuerbüro, Banken usw. Jede(r), der/die die Daten für welchen Zwecke auch immer bekommt bzw. Einsicht hat
- Ob die Daten in Drittländer übermittelt werden und wenn ja, wie dort der Schutzstatus ist
- Drittländer sind alle Länder außerhalb des Europäischen Wirtschaftraums (EU plus Norwegen, Liechtenstein, Island), siehe dazu meine Ausarbeitung „Drittländerverkehr“
- Eine eventuelle Löschfrist
- Wann müssen die Daten gelöscht werden (evtl. beim Steuerberater zu erfragen oder „googeln“.
- Ein allgemeiner Hinweis auf die technischen und organisatorischen Maßnahmen
- Hier bitte eintragen, wo die TOM (technischen und organisatorischen Maßnahmen) zu finden sind, siehe dazu meine Ausarbeitung „Technische und organisatorischen Maßnahmen – TOM“
Checkliste Verarbeitungsverzeichnis
- Excel-Liste erstellen
- Grundeinträge vornehmen
- Spalten anlegen
- Laufende Nummer in die erste Spalte
- Tag der ersten Eintragung in die zweite Spalte
- Kürzel der/des Eintragenden
- 8 Einträge als Spaltenüberschriften anlegen
- Eine Spaltenüberschrift für die Daten der Überprüfungen
- Legende für die Namenskürzel unter die Tabelle schreiben
- Tabelle unter einem „sprechenden Namen“ in ein Datenschutz-Verzeichnis auf dem Server legen
- Einträge vornehmen (siehe oben „Zu den einzelnen Einträgen)
- Tabelle, wenn gewünscht, ausdrucken und abheften