Das Verfahrensverzeichnis der Datenschutzverordnung

Wer ist vom Verfahrensverzeichnis betroffen? Wie führe ich richtig ein Verfahrensverzeichnis?

Wer ist betroffen?

Das Verzeichnis von Verarbeitungstätigkeiten muss geführt werden,

  • wenn das Unternehmen/die Einrichtung mehr als 250 Mitarbeiter beschäftigt.
  • oder erfasst das Unternehmen/die Einrichtung
    a. Daten mit Risiken für die Rechte und Freiheiten der betroffenen Personen,
    b. insbesondere sensitive Daten oder
    c. personenbezogene Daten über strafrechtliche Verurteilungen ist die  Verarbeitungstätigkeit zu dokumentieren.
  • oder erfolgt die Datenverarbeitung stetig, nicht nur gelegentlich, muss auch
 bei Unternehmen/Einrichtungen mit weniger als 250 Mitarbeitern ein Verzeichnis von Verarbeitungstätigkeiten erstellt werden.

Beispiele (Verfahrensverzeichnis muss geführt werden):

  • Dienstplanung – Erstellung der Diensteinteilungen
  • Lohnverrechnung – Verwaltung und Verrechnung der Mitarbeiter
  • Zeiterfassung – Schriftliche oder elektronische Erfassung der Arbeitszeiten
  • Kundendatenbank (CRM) – Erfassung bisheriger Kundenbeziehungen
  • Fakturierung – Angebots und Rechnungslegung

Was ist zu erfassen und zu dokumentieren?

  1. Name des Vertreter des Verantwortlichen sowie des Datenschutzbeauftragten
  2. Kontaktdaten des Verantwortlichen
  3. Datensicherheitsbeschreibung
  4. Löschkonzept
  5. Name der Datenverarbeitung (Prozess)
  6. Konkreter Zweck der Datenverarbeitung
  7. Kategorien betroffener Personen, deren Daten verarbeitet werden
  8. Kategorien personenbezogener Daten, die verarbeitet werden
  9. Kategorien von Empfängern (tatsächliche, beabsichtigte), denen die personenbezogenen Daten mitgeteilt werden
  10. Drittländer, an die Daten weitergegeben werden, unter Angabe des konkreten Drittlands und bei Ausnahmetransfer die Drittlandsgarantien