Mehr Infos
Menü Zum Kontakt Telefon: +49 6151 - 99 55 0

Löschkonzept DSGVO

 
 
 
 

Werden personenbezogene Daten verarbeitet, so muss hierüber in vielen Fällen ein Verarbeitungsverzeichnis geführt werden.

In dem Verarbeitungsverzeichnis wird unter anderem dokumentiert, wie und für welche Zwecke ein Unternehmen personenbezogene Daten verwendet.

Darüber hinaus werden die vorgenommenen Sicherheitsvorkehrungen und Schutzmaßnahmen dargelegt.

Die Aufsichtsbehörde prüft oft das Verarbeitungsverzeichnis zu allererst. Ein guter Eindruck und eine rechtskonforme Datenverarbeitung sind also das A und O, um hohe Bußgelder zu vermeiden.


Das Wichtigste auf einen Blick

  • Jede datenverarbeitende Stätte muss ein Verarbeitungsverzeichnis führen
  • Es gilt die Schriftform – die elektronische Form kann ebenfalls verwendet werden
  • Inhaltliche Vorgaben sind in Art. 30 Abs. 1 S. 2 lit. a) bis g) DS-GVO aufgeführt


1. Was ist ein Verarbeitungsverzeichnis?

Gemäß Art. 30 DS-GVO hat fast jeder Verantwortliche beim Umgang mit personenbezogenen Daten ein Verarbeitungsverzeichnis zu führen.

In dem Verarbeitungsverzeichnis werden alle Verarbeitungsvorgänge des Unternehmens in Kategorien eingeteilt und dokumentiert. Dabei werden auch die Rechtsgrundlage und der Datenspeicherungszeitraum sowie mögliche Datenübermittlungen und vorhandene Schutzmaßnahmen angegeben.

Das Verarbeitungsverzeichnis ist daher genau an das jeweilige Unternehmen anzupassen und nicht zu verallgemeinern.

Wie bereits erwähnt, trifft diese Pflicht jeden Verantwortlichen eines datenverarbeitenden Unternehmens. Ist ein Auftragsverarbeiter bestellt, so gilt die Pflicht auch für ihn.

Ein Verarbeitungsverzeichnis kann von der zuständigen Person selbst erstellt werden. Bei der Erstellung sind alle inhaltlichen Anforderungen des Art. 30 Abs. 1 lit. a) – g) DS-GVO umzusetzen.

Für eine in diesem Bereich unerfahrene Person, kann dies sehr aufwändig sein. Darüber hinaus sind die selbst erstellten Verarbeitungsverzeichnisse oft anfällig für Fehler. Aufgrund der möglichen Bußgelder ist die Selbstvornahme auch mit einem hohen Risiko verbunden. 

Die Beauftragung eines Experten für die Erstellung und Verwaltung eines Verarbeitungsverzeichnis ist zwar kostenintensiver, aber zugleich der sicherste Weg. 
Ein weitere, sehr gute Möglichkeit ist die persönliche Erstellung eines Verzeichnisses unter der Nutzung eines Datenschutz-Management-Systems.

In beiden Fällen beraten wir Sie gerne und suchen zusammen mit Ihnen nach einer Lösung, die zu Ihren Unternehmen passt.

Bitte verwenden Sie keine Muster aus dem Internet, da diese oft veraltet, zu allgemein oder fehlerhaft sind.

2. Wann muss ein Verarbeitungsverzeichnis erstellt werden?

Grundsätzlich muss ein Verzeichnis bei jedem Unternehmen erstellt werden, welches personenbezogene Daten verarbeitet.

Die Pflicht zur Erstellung eines Verarbeitungsverzeichnis gilt nach Art. 30 Abs. 5 DS-GVO nicht für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen.  

Es sei denn:

  • die vorgenommene Verarbeitung bringt ein Risiko für die Rechte und Freiheiten von Betroffenen mit sich
  • die Verarbeitung erfolgt nicht nur gelegentlich
  • es werden besonders sensiblen Daten nach Art. 9 Abs. 1 DS-GVO verarbeitet
  • es werden personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DS-GVO verarbeitet

Unklarheiten gibt es vor allem bei der Frage nach dem Begriff der „gelegentlichen“ Verarbeitung. Diese liegt vor, wenn zwischen den einzelnen Verarbeitungen größere Zeitabstände liegen oder die Verarbeitung unvorhersehbare Folge des eigentlichen Betriebs ist.

Wir helfen Ihnen gerne dabei herauszufinden, ob Sie ein Verarbeitungsverzeichnis führen müssen.

3. Inhalt des Verarbeitungsverzeichnisses

Die inhaltlichen Anforderungen ergeben sich aus Art. 30 Abs. 1 S. 2 lit. a) – g) DS-GVO.

Jede Tätigkeit, die im Zusammenhang mit der Datenverarbeitung steht, muss aufgeführt werden.

Angegeben werden müssen außerdem: 

  • Name und die Kontaktdaten des Verantwortlichen und ähnlicher Personen
  • Zweck der Verarbeitung
  • die Beschreibung der Kategorien der Betroffenen und der personenbezogenen Daten
  • Bei einer Datenübermittlung: die Kategorien des Empfängers und wenn gegeben des Landes der Übermittlung
  • Wenn möglich: Löschfristen
  • Wenn möglich: allgemeine Beschreibung der technisch-organisatorischen Maßnahmen (TOM’s)

Etwaige Änderungen im Verzeichnis müssen ebenfalls erfasst werden.

Die Tiefe und der Umfang des Verzeichnisses sind gesetzlich nicht bestimmt. Sie werden im Einzelfall, abhängig von den Verarbeitungsvorgängen des Unternehmers festgelegt.

Bei einem unvollständigen oder gänzlich fehlenden Verzeichnis drohen nach Art. 84 Abs. 4a DS-GVO hohe Bußgelder.

4. Form des Verarbeitungsverzeichnisses

Das Verzeichnis ist schriftlich zu führen. Gemäß Art. 30 Abs. 3 DS-GVO ist die elektronische Form genehmigt.

5. Fazit

In den meisten Fällen muss ein Unternehmen ein Verarbeitungsverzeichnis vorweisen. Die Verantwortlichen sollten sich dieser Pflicht bewusst sein und sie wahrnehmen.

Das Verzeichnis ist nicht nur wichtig, um gesetzlichen Vorschriften einzuhalten, sondern bietet dem Unternehmen darüber hinaus einen guten Überblick über alle Verarbeitungsvorgänge und ihre Folgen.

Es kann sehr hilfreich sein, einen Experten zur Seite zu ziehen, um Fehler und Ungenauigkeiten zu vermeiden.

Wir helfen Ihnen sehr gerne bei allen Fragen rund um das Thema Verarbeitungsverzeichnis.

 
 
 
Call Now ButtonKontakt aufnehmen