News
🛡️ Datenschutz im Unternehmen – Deine Pflichten auf einen Blick: Verarbeitungsverzeichnis
🗂️ Was ist das Verarbeitungsverzeichnis?
Ein Verarbeitungsverzeichnis oder Verzeichnis von Verarbeitungstätigkeiten, ist eine schriftliche oder elektronische Dokumentation. Unternehmen listen hier alle Abläufe auf, bei denen personenbezogene Daten verarbeitet werden. Es dient als Nachweis dafür, dass die Vorgaben der DS-GVO im Unternehmen eingehalten werden. Für die Erstellung und regelmäßige Aktualisierung des Verarbeitungsverzeichnisses ist das Unternehmen selbst verantwortlich.
❗ Warum ist das Verarbeitungsverzeichnis wichtig?
• Vorlage an die Aufsichtsbehörde: Bei Prüfungen muss das Verzeichnis auf Anfrage der Aufsichtsbehörde vorgelegt werden.
• Vermeidung von Bußgeldern: Fehlende oder unvollständige Verzeichnisse können Sanktionen nach sich ziehen.
• Rechenschaftspflicht: Unternehmen müssen nachweisen können, dass sie die DS-GVO Vorgaben einhalten. Das geht nur mit einer schriftlichen Dokumentation.
• Bearbeitung von Betroffenenanfragen: Die Dokumentation erleichtert die Auskunft an Betroffene bei einer Anfrage.
• Übersicht über interne Prozesse: Dokumentierte Datenflüsse schaffen Klarheit was im Unternehmen passiert und ermöglichen es Verarbeitungen zu prüfen.
• Einarbeitung & Übergaben: Dokumentierte Tätigkeiten helfen neuen Mitarbeitern Verarbeitungen schneller zu erfassen.
🧾 Was muss im Verarbeitungsverzeichnis stehen?
Folgende Angaben sind nach Art. 30 DS-GVO erforderlich:
Wer verarbeitet die Daten?
• Name und Kontaktdaten des Verantwortlichen z. B. Firmenanschrift
Wofür werden die Daten verwendet?
• Zweck der Verarbeitung, wie z. B. Arbeitszeiterfassung
Welche Arten von Daten werden verarbeitet?
• Kategorien der Datenverarbeitung beschreiben, wie z. B. Arbeitszeitdaten, Stammdaten der Mitarbeiter
Welche Personen sind betroffen?
• Kategorien betroffener Personen auflisten, wie z. B. Mitarbeiter
Wer empfängt die Daten?
• Alle Empfänger, an die personenbezogenen Daten weitergegeben werden (inkl. Empfänger in Drittländern) z. B. Anbieter des Zeiterfassungsprogramms
Wann werden die Daten wieder gelöscht?
• Soweit möglich voraussichtliche Fristen für die Löschung angeben
📂 Wann wird kein Verarbeitungsverzeichnis benötigt?
In der Praxis greifen die Ausnahmen (Art. 30 Abs. 5 DS-GVO) kaum – nahezu jedes Unternehmen muss ein Verarbeitungsverzeichnis führen, da in einem Unternehmen beim Verkauf von Waren oder dem Angebot von Dienstleistungen fast immer personenbezogene Daten verarbeitet werden und diese Verarbeitungen ein Risiko für die betroffenen Personen darstellen können.
💡 Hinweis: Der BfDI stellt Hinweise sowie Musterformulare für das Verarbeitungsverzeichnis zur Verfügung. Unternehmen sind aber frei darin wie sie das Verzeichnis anlegen und führen wollen, auf Papier, digital oder in einer Datenschutz-Management-Software (DSMS).
📘 Muss bald kein Verarbeitungsverzeichnis mehr geführt werden?
Die EU Kommission plant mit dem vierten Omnibuspaket, die Ausnahmegrenze in Art. 30 DS-GVO von 250 auf 750 Mitarbeitende anzuheben. Andernfalls liegt man darunter müsste das Verzeichnis nur geführt werden, wenn ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Ziel ist es, die Bürokratie für kleine und mittlere Unternehmen zu reduzieren.
Trotz der Anpassung bleibt das Verarbeitungsverzeichnis weiterhin wichtig, denn es:
• schafft eine klare Übersicht über Verarbeitungstätigkeiten im Unternehmen.
• hilft, rechtliche Risiken frühzeitig zu erkennen und zu minimieren.
• bildet die Grundlage für die Erfüllung der Informationspflichten und Rechenschaftspflicht. Nur wenn klar ist, welche Daten im Unternehmen zu welchem Zweck aufgrund welcher Rechtsgrundlage verarbeitet und weitergegeben werden, kann das Unternehmen prüfen, ob diese Datenverarbeitung auch rechtmäßig ist.
Auch künftig werden Unternehmen daher ihre Verarbeitungstätigkeiten in irgendeiner Form auflisten müssen, um dem Überblick zu behalten und der Aufsichtsbehörde bei Anfrage eine vollständige Übersicht ihrer Datenverarbeitungen und der Rechtmäßigkeit dieser Datenverarbeitungen bereitstellen zu können.
Selbst wenn das nicht mehr in Gestalt des Verarbeitungsverzeichnisses erfolgen muss, wird eine ähnliche Lösung benötigt.
🔜 Im Slide findest du hierzu alle Infos.
✨ Ich hoffe, die Informationen haben dir weitergeholfen!
Für mehr Tipps rund um:
🔍 IT-Forensik
🛡️ IT-Sicherheit
📜 Datenschutz
👉 Folge uns für regelmäßige Updates.
Eure Melissa 💙
#comforit #dorfen #kmu #mittelstand #datenschutz #DSGVO #Verarbeitungsverzeichnis
Ein Verarbeitungsverzeichnis oder Verzeichnis von Verarbeitungstätigkeiten, ist eine schriftliche oder elektronische Dokumentation. Unternehmen listen hier alle Abläufe auf, bei denen personenbezogene Daten verarbeitet werden. Es dient als Nachweis dafür, dass die Vorgaben der DS-GVO im Unternehmen eingehalten werden. Für die Erstellung und regelmäßige Aktualisierung des Verarbeitungsverzeichnisses ist das Unternehmen selbst verantwortlich.
❗ Warum ist das Verarbeitungsverzeichnis wichtig?
• Vorlage an die Aufsichtsbehörde: Bei Prüfungen muss das Verzeichnis auf Anfrage der Aufsichtsbehörde vorgelegt werden.
• Vermeidung von Bußgeldern: Fehlende oder unvollständige Verzeichnisse können Sanktionen nach sich ziehen.
• Rechenschaftspflicht: Unternehmen müssen nachweisen können, dass sie die DS-GVO Vorgaben einhalten. Das geht nur mit einer schriftlichen Dokumentation.
• Bearbeitung von Betroffenenanfragen: Die Dokumentation erleichtert die Auskunft an Betroffene bei einer Anfrage.
• Übersicht über interne Prozesse: Dokumentierte Datenflüsse schaffen Klarheit was im Unternehmen passiert und ermöglichen es Verarbeitungen zu prüfen.
• Einarbeitung & Übergaben: Dokumentierte Tätigkeiten helfen neuen Mitarbeitern Verarbeitungen schneller zu erfassen.
🧾 Was muss im Verarbeitungsverzeichnis stehen?
Folgende Angaben sind nach Art. 30 DS-GVO erforderlich:
Wer verarbeitet die Daten?
• Name und Kontaktdaten des Verantwortlichen z. B. Firmenanschrift
Wofür werden die Daten verwendet?
• Zweck der Verarbeitung, wie z. B. Arbeitszeiterfassung
Welche Arten von Daten werden verarbeitet?
• Kategorien der Datenverarbeitung beschreiben, wie z. B. Arbeitszeitdaten, Stammdaten der Mitarbeiter
Welche Personen sind betroffen?
• Kategorien betroffener Personen auflisten, wie z. B. Mitarbeiter
Wer empfängt die Daten?
• Alle Empfänger, an die personenbezogenen Daten weitergegeben werden (inkl. Empfänger in Drittländern) z. B. Anbieter des Zeiterfassungsprogramms
Wann werden die Daten wieder gelöscht?
• Soweit möglich voraussichtliche Fristen für die Löschung angeben
📂 Wann wird kein Verarbeitungsverzeichnis benötigt?
In der Praxis greifen die Ausnahmen (Art. 30 Abs. 5 DS-GVO) kaum – nahezu jedes Unternehmen muss ein Verarbeitungsverzeichnis führen, da in einem Unternehmen beim Verkauf von Waren oder dem Angebot von Dienstleistungen fast immer personenbezogene Daten verarbeitet werden und diese Verarbeitungen ein Risiko für die betroffenen Personen darstellen können.
💡 Hinweis: Der BfDI stellt Hinweise sowie Musterformulare für das Verarbeitungsverzeichnis zur Verfügung. Unternehmen sind aber frei darin wie sie das Verzeichnis anlegen und führen wollen, auf Papier, digital oder in einer Datenschutz-Management-Software (DSMS).
📘 Muss bald kein Verarbeitungsverzeichnis mehr geführt werden?
Die EU Kommission plant mit dem vierten Omnibuspaket, die Ausnahmegrenze in Art. 30 DS-GVO von 250 auf 750 Mitarbeitende anzuheben. Andernfalls liegt man darunter müsste das Verzeichnis nur geführt werden, wenn ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Ziel ist es, die Bürokratie für kleine und mittlere Unternehmen zu reduzieren.
Trotz der Anpassung bleibt das Verarbeitungsverzeichnis weiterhin wichtig, denn es:
• schafft eine klare Übersicht über Verarbeitungstätigkeiten im Unternehmen.
• hilft, rechtliche Risiken frühzeitig zu erkennen und zu minimieren.
• bildet die Grundlage für die Erfüllung der Informationspflichten und Rechenschaftspflicht. Nur wenn klar ist, welche Daten im Unternehmen zu welchem Zweck aufgrund welcher Rechtsgrundlage verarbeitet und weitergegeben werden, kann das Unternehmen prüfen, ob diese Datenverarbeitung auch rechtmäßig ist.
Auch künftig werden Unternehmen daher ihre Verarbeitungstätigkeiten in irgendeiner Form auflisten müssen, um dem Überblick zu behalten und der Aufsichtsbehörde bei Anfrage eine vollständige Übersicht ihrer Datenverarbeitungen und der Rechtmäßigkeit dieser Datenverarbeitungen bereitstellen zu können.
Selbst wenn das nicht mehr in Gestalt des Verarbeitungsverzeichnisses erfolgen muss, wird eine ähnliche Lösung benötigt.
🔜 Im Slide findest du hierzu alle Infos.
✨ Ich hoffe, die Informationen haben dir weitergeholfen!
Für mehr Tipps rund um:
🔍 IT-Forensik
🛡️ IT-Sicherheit
📜 Datenschutz
👉 Folge uns für regelmäßige Updates.
Eure Melissa 💙
#comforit #dorfen #kmu #mittelstand #datenschutz #DSGVO #Verarbeitungsverzeichnis