Verzeichnis von Verarbeitungstätigkeiten
Das sogenannte Verzeichnis von Verarbeitungstätigkeiten dient in erster Linie zum Nachweis, dass die Vorgaben aus der DS-GVO auch eingehalten werden.
In übersichtlicher Form sind alle ganz oder teilweise automatisierten Verarbeitungen und nicht-automatisierte Verarbeitungen von personenbezogenen Daten, die in einem Dateisystem gespeichert werden, zu dokumentieren.
Für jede Verarbeitungstätigkeit ist also ein eigenes Verzeichnis zu fertigen
– auch jeder neue Zweck kann eine eigene Verarbeitungstätigkeit darstellen.
Jeder Verantwortliche ist verpflichtet, diese Verzeichnisse auf Verlangen der Aufsichtsbehörde vorzulegen.
Das Verzeichnis ist jedoch nicht allein für die Aufsichtsbehörde zu führen. Es bietet sich an, diese Dokumentation u.a. auch für Folgendes einzusetzen:
» Nachweis der Rechtmäßigkeit der Verarbeitung
» Nachweis der Datenminimierung
» Nachweis über die Richtigkeit und Aktualität der Daten
» zur Erfüllung von Betroffenenrechten
» zum Nachweis getroffener technischer und organisatorischer Maßnahmen
Form
» Die Verzeichnisse müssen in deutscher Sprache vorgelegt werden können.
» Die Verzeichnisse sind schriftlich zu führen (elektronisch also möglich!)
» Änderungen sollten dokumentiert werden (wer war wann Verantwortlicher bzw. Datenschutzbeauftragter etc.)
Der geforderte Inhalt eines solchen Verzeichnisses ist im Gesetz, Art. 30 DS-GVO, aufgelistet.
Beispiele für Verarbeitungstätigkeiten
Personalaktenführung
Videoüberwachung
Auftragsmanagement
Bewerbung
Gewinnspiele
Lohnbuchhaltung
Mahnwesen
Eingesetzte Software
Unternehmenswebseite
Umfragen
Arbeitszeiterfassung
Kundenverwaltung
E-Mail / Kalender / Adressbuch
Newsletterversand
uvm.