IT-Support

Verarbeitungsverzeichnis

Was ist zu tun?

verarbeitungsverzeichnis, verfahrensverzeichnis, dsgvo, gdpr
Für Ihr Verarbeitungsverzeichnis nach DSGVO, müssen Sie die Datenflüsse in Ihrem Unternehmen erfassen und analysieren.

Verfahrensverzeichnis und Verarbeitungsübersicht – gehören bald der Vergangenheit an. Mit der EU-Datenschutz-Grundverordnung (DSGVO) gibt es ab Ende Mai nämlich nur noch ein Verzeichnis von Verarbeitungstätigkeiten. Kurz: das Verarbeitungsverzeichnis.

Ob Ihr Betrieb eins führen muss und wenn ja, wie, das erklären wir Ihnen hier.

verarbeitungsverzeichnis, verfahrensverzeichnis, dsgvo, gdpr

Für Ihr Verarbeitungsverzeichnis nach DSGVO müssen Sie die Datenflüsse in Ihrem Unternehmen erfassen und analysieren. Foto: pixabay/ Free Photos

Wann ist ein Verarbeitungsverzeichnis notwendig?

Wann muss ein Verarbeitungsverzeichnis erstellt werden? Laut Gesetzestext müssen Unternehmen mit weniger als 250 Mitarbeitern grundsätzlich KEIN Verarbeitungsverzeichnis führen (vgl. Art. 30 Abs. 5 DSGVO). ABER: Wenn Ihr Unternehmen oder Ihr Auftragsverarbeiter personenbezogene Daten verarbeitet – und das nicht mehr nur gelegentlich – oder auch nur einer der folgenden zwei Punkte zutrifft:

  • Die Daten zählen zu besonders sensiblen bzw. personenbezogenen Kategorien wie Gesundheitsdaten oder strafrechtliche Verurteilungen (vgl. Art. 9 Abs. 1 DSGVO und Art. 10 DSGVO)
  • Es besteht ein Risiko für die Rechte bzw. Freiheiten betroffener Personen (zum Beispiel bei Bewertung und Profilerstellung)

…, dann müssen Sie ein Verarbeitungsverzeichnis erstellen und führen. Das ist bereits der Fall, wenn Sie eine Lieferanten- oder Kundendatenbank haben oder Ihre Mitarbeiterdaten verwalten.

Verarbeitungsverzeichnis – muss ich jetzt oder muss ich nicht?

Der in der DSGVO benutzte Begriff „gelegentlich“ wird im Gesetz selbst nicht weiter ausgeführt. Allerdings legt dieser Begriff nahe, dass künftig auch von kleinen Unternehmen wie Handwerksbetrieben oder Arztpraxen ein Verarbeitungsverzeichnis gefordert wird.

Nach BDSG (alt) waren diese Betriebe häufig von der Meldepflicht befreit und mussten meist in diesem Sinne auch keinen Datenschutzbeauftragten beauftragen (vgl. § 4d Abs. 3 BDSG alt). Diesem neuen Umstand geschuldet, gehen Juristen davon aus, dass die Befreiung von der Dokumentationspflicht in der Praxis nur sehr selten greifen wird.

Ob Ihre Verarbeitungsprozesse eine Datenschutz-Folgenabschätzung erforderlich machen?
Das lesen Sie im Blogbeitrag DSFA – Wann sind Firmen dazu verpflichtet?

Schritt für Schritt zum Verarbeitungsverzeichnis

Das Verarbeitungsverzeichnis nach DSGVO wird in den meisten Unternehmen keine grundlegenden bzw. einschneidenden Veränderungen verursachen. Dennoch sollten Sie nun folgende sechs Schritte vornehmen:

  1. Prüfen Sie Ihre Verträge zur Auftragsdatenverarbeitung (ADV-Vertrag), ob sie DSGVO-konform sind.
    → Wenn Sie mit einem Auftragsdatenverarbeiter zusammenarbeiten, sollten Sie wissen, dass auch er dazu verpflichtet ist.
  2. Listen Sie alle eingesetzten Anwendungen auf, in denen personenbezogene Daten gespeichert werden.
    → Das hilft Ihnen, die Datenflüsse in Ihrem Unternehmen zu ermitteln und dient zudem als Basis für ein Verarbeitungsverzeichnis.
  3. Prüfen Sie die Zuverlässigkeit und Vollständigkeit Ihrer bestehenden Dokumentationssysteme und ergreifen Sie Sicherheitsmaßnahmen – technische und organisatorische.
    → Auch kleinere Unternehmen müssen künftig eine Dokumentation nachweisen – auch wenn sie bis dato kein Verfahrensverzeichnis führen mussten. Schon allein die angedrohte Ahndung bei Datenschutzverstößen sollte Sie dazu veranlassen, das Heft des Handelns in die Hand zu nehmen.
  4. Prüfen Sie gegebenenfalls die Datenübermittlung in Drittländer.
    → Wenn Sie Daten in Drittländer übermitteln (alles außerhalb der EU, zum Beispiel die US-Cloud), dann sollten Sie diese Datenübermittlung genau prüfen und dafür sorgen, dass Sie den Aufsichtsbehörden entsprechende Datenschutz-Garantien vorlegen können.
  5. Splitten Sie Ihr Verarbeitungsverzeichnis in Einzelverzeichnisse auf, die jedes Verfahren einzeln abbilden.
    → Bei der Datenverarbeitung in Ihrem Unternehmen kommen unterschiedliche Verfahren zum Einsatz (zum Beispiel Zeiterfassungssystem, CRM-System), die nicht die gleichen Voraussetzungen haben oder Anforderungen stellen, um die DSGVO einzuhalten.
  6. Sensibilisieren Sie Ihre Mitarbeiter für Datenschutz.
    → Datenschutz einzuhalten – das ist in Unternehmen nicht nur die Angelegenheit eines Einzelnen. Teilen Sie daher Ihren Mitarbeitern transparent mit, dass auch sie für die Einhaltung der DSGVO von essentieller Bedeutung sind und motivieren Sie sie, diese Verantwortung dafür mitzutragen.

Sie können Ihr Verarbeitungsverzeichnis selbst erstellen. Es gibt dazu verschiedene Tools, die Sie bei der geforderten Dokumentation unterstützen. Sie können die Umsetzung aber auch in die Hände eines Dienstleisters geben. Das IT-SERVICE.NETWORK unterstützt Sie gern bei der Suche.

Wie sieht ein Verarbeitungsverzeichnis aus?

Das Verarbeitungsverzeichnis wird künftig eine wesentliche Rolle spielen, damit Sie datenschutzrechtliche Vorgaben überhaupt einhalten können. Nur wenn Sie Ihre eigenen Verarbeitungsprozesse kennen, können Sie gezielt Maßnahmen ergreifen, um eine rechtmäßige Verarbeitung personenbezogener Daten sicherzustellen.

Dabei sollten Sie Ihr Augenmerk besonders auf die sogenannten TOMs legen, die technischen und organisatorischen Maßnahmen. Sie müssen im neuen Verarbeitungsverzeichnis aufgenommen werden – wie detailliert das passieren muss, ist allerdings eine Frage, mit der sich aller Voraussicht nach künftig Gerichte befassen werden.

Im Artikel 30 der DSGVO ist lediglich die Rede davon, dass eine allgemeine Beschreibung dieser Maßnahmen möglich ist (vgl. Art. 30 Abs. 1g und Abs. 2d DSGVO). Das Ganze enthält einen weiteren Verweis auf den Artikel 32 DSGVO (Sicherheit der Verarbeitung).

Sie fragen sich, welche Form und welchen Inhalt Ihr Verarbeitungsverzeichnis haben muss?
Dann lesen Sie den Blogbeitrag Verfahrensverzeichnis – Datenverarbeitung nach DSGVO

Beispiel für Verarbeitungsverzeichnis

Als Beispiel für ein Verarbeitungsverzeichnis nach DSGVO stehen Ihnen verschiedene Muster zur Verfügung. Auch eine Arbeitsgruppe der deutschen Aufsichtsbehörden hat dazu bereits eine Vorlage für ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO  erarbeitet. Ein Beispiel für Verfahrensverzeichnisse geben Ihnen die folgenden Leitfäden, Vorlagen und Muster als Anleitung und Ausfüllhilfen.

Warum Verarbeitungsverzeichnis?

Bei Inhalt und Umfang Ihres Verarbeitungsverzeichnises gibt die DSGVO lediglich die Mindestanforderungen vor. Diese können variieren – je nach Art und Größe Ihres Unternehmens. Wenn es allerdings um die Frage nach dem „Warum überhaupt Verarbeitungsverzeichnis?“ geht, ist es immer leicht zu sagen: „Weil das nun einmal die Vorschriften sind“.

Unser Tipp: Machen Sie sich aus der Pflicht eine Kür. Sie können die vorgeschriebene Dokumentationspflicht nämlich auch für Ihr Unternehmen gewinnbringend nutzen, so zum Beispiel für die Kundenbindung. Laut einer Umfrage des britischen Marktforschungsinstituts Vanson Bourne im Auftrag der niederländischen Aktiengesellschaft Gemalto wird mangelnde Datensicherheit von Kunden schnell abgestraft.

Danach würden die meisten Kunden (70 Prozent) nach einem Datenschutzvorfall keine weiteren Geschäfte mit dem verantwortlichen Unternehmen machen.

Verarbeitungsverzeichnis als Chance begreifen

Sie können Ihr Verarbeitungsverfahren auch als Chance begreifen:

  • Für Ihre eigene Informationssicherheit
  • Für Ihre Unternehmenssicherheit
  • Zur vertrauensvollen Vermarktung Ihrer Produkte oder Dienstleistungen

Christian Volkmer, Autor bei Projekt 29 und Sachverständiger für Datenschutz und Informationssicherheit, schlägt darum vor, Ihr Verarbeitungsverzeichnis über die geforderte Dokumentationspflicht hinaus sinnvoll zu nutzen – auch, um künftig Ihre Nerven zu schonen, beispielsweise, um

Unterstützung vom Fachmann

Sie sind sich unsicher, ob Ihr Verarbeitungsverzeichnis DSGVO-konform ist oder brauchen Unterstützung bei der optimalen Erstellung? Ist dies der Fall, dann wenden Sie sich vertrauensvoll an einen Dienstleister des Kompetenzverbunds IT-SERVICE.NETWORK.


Weitere interessante Tipps und alle zentralen sowie relevanten Fakten zur DSGVO erhalten Sie natürlich hier bei uns im Blog.


Geschrieben von

Weiterlesen

Fragen zum Artikel? Frag den Autor
12 Kommentare

SE, 18. April 2018 um 9:16

Rechtschreibfehler-Hinweis: letzte Überschrift – Unersützung

Antworten

    IT-SERVICE.NETWORK, 18. April 2018 um 9:44

    Hallo SE,
    danke für den Hinweis, wir haben den Fehler korrigiert.
    Herzliche Grüße,
    Ihr IT-SERVICE.NETWORK

    Antworten

Werner Gayer, 4. Mai 2018 um 21:05

Hallo,
ja die DSGVO.
Ich habe eine Frage zum Verarbeitungsverzeichnis. Ich habe vier kleine „Nischenwebseiten“, die ich als Partner von Amazon betreibe…. Ich habe nur Affiliate Links. Auf der Seite nutze ich außer Wordfence, noch Updraft als Plugins. Selbst Google Analytics nutze ich nicht mehr. Auf einer Webseite wie z.B. überlebenspaket-kaufen.com wird kein Kontaktformular, noch ein Newsletter angeboten.
Inwiefern macht bei diesem stark abgespecken Internetangebot ein Verarbeitungsverzeichnis Sinn, wenn gar keine Daten der Besucher gesammelt werden bzw. wie kann in einem solchen Fall beispielhaft das Vearbeitungsverzeichnis aussehen und mass muss ich bei Nachfrage dokumentieren?
Über eine Antwort würde ich mich freuen?

Antworten

    IT-SERVICE.NETWORK, 8. Mai 2018 um 8:32

    Hallo Herr Gayer,
    selbst wenn Sie auf den ersten Blick keine Besucherdaten sammeln, ist es grundsätzlich dennoch sinnvoll, eine Liste aller genutzten Anwendungen, in denen möglicherweise persönliche Daten gesammelt werden, anzulegen. Diese dient bereits als Basis für ein Verarbeitungsverzeichnis. Beispiele zum Aussehen des Verarbeitungsverzeichnisses gibt es einige im Netz, etwa im im Artikel verlinkten PDF des Bitkom.
    Ob in Ihrem Fall ein komplettes Verarbeitungsverzeichnis nötig ist, können wir aus der Ferne nicht rechtssicher beurteilen. Wir raten daher dazu, sich im Zweifelsfall von einem Datenschutzexperten beraten zu lassen.
    Herzliche Grüße,
    Ihr IT-SERVICE.NETWORK

    Antworten

Hans, 9. Mai 2018 um 14:57

Hallo,
ich als Fotograf „Nebenberuflich, Einzelunternehmer“) muss ja auch eine TOM erstellen und ein Verarbeitungsverzeichnis führen.
Meine Frage dazu:
Muss ich für jeden Kunden ein einzelnes Verzeichnis führen, heißt ich muss darin beschreiben wann ich welche Daten und wie lange für jeden genannten Kunden sammle und aufbewahre? Und wie die technischen Maßnahmen dazu sind?
Hieße dann grob ein 3 seitiges Pdf ausgedruckt und von mir unterschrieben für jeden Kunden dann abheften bzw. dokumentieren worin die Schritte aufgelistet sind?
Man könnte eine vorlage erstellen, und dann die Felder ankreuzen und die Adresse des Kunden dann jeweils neu hinzufügen, so könnte man eine Vorlage für alle Kunden nutzen, da die Datenverarbeitungsvorgänge meißt immer die selben sind.
Vielen Dank

Antworten

    IT-SERVICE.NETWORK, 15. Mai 2018 um 11:52

    Hallo Hans,
    die Frage, ob für jeden Kunden ein einzelnes Verzeichnis geführt werden muss, ist aktuell laut unserer Recherchen noch nicht eindeutig zu beantworten. So scheint hier die Rechtslage noch unklar, sodass man abwarten muss, wie die Behörden und Gerichte mit dem Thema umgehen werden. Grundsätzlich gilt wohl jedoch: Um auf Nummer sicher zu gehen, empfiehlt es sich, für jeden Kunden ein entsprechendes Verzeichnis zu führen und aufzubewahren.
    An dieser Stelle sei jedoch darauf hingewiesen, dass wir als Redakteure des IT-SERVICE.NETWORK keine verbindliche und rechtsgültige Beratung bieten können. Im Einzelfall ist darum dennoch eine professionelle Beratung, etwa durch einen Datenschutzbeauftragten, sinnvoll.
    Herzliche Grüße,
    IHR IT-SERVICE.NETWORK

    Antworten

Gerald, 17. Mai 2018 um 12:21

Hallo,
ich bin ehrenamtlich in mehreren Vereinen tätig. Ich verstehe nicht genau, was ich dokumentieren muss: Muss ich jede Änderung einer Adresse oder Bankverbindung mit diesem Verzeichnis dokumentieren, oder muss ich nur dokumentieren, wo und wie ich solche Änderungen speichere und verarbeite und wer im Verein dafür zuständig ist?
Danke im voraus

Antworten

    IT-SERVICE.NETWORK, 18. Mai 2018 um 12:03

    Hallo Gerald,
    das Verarbeitungsverzeichnis muss folgende Angaben enthalten:

    • Angaben zum Verantwortlichen und dessen Vertreter sowie, soweit vorhanden, dem Datenschutzbeauftragten
    • Bezeichnung der Verarbeitungstätigkeit
    • Zweck der Verarbeitungs
    • Beschreibung der Kategorien betroffener Personen
    • Beschreibung der Datenkategorien
    • Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offen gelegt worden sind oder noch werden
    • Datenübermittlung
    • Fristen für die Löschung der verschiedenen Datenkategorien
    • Technische und organisatorische Maßnahmen (TOM)
    • Im Netz finden Sie zahlreiche Mustervorlagen, etwa beim Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.. Dort ist genau beschrieben, welche Daten Sie dokumentieren müssen. Wichtig ist in jedem Fall die Angabe, an welchen Stellen Daten erfasst und verarbeitet werden und wer für die Verarbeitung zuständig ist.
      Im Zweifelsfall sollten Sie einen Experten zurate ziehen, der Sie beim Aufbau eines Verarbeitungsverzeichnis unterstützt.
      Herzliche Grüße,
      IHR IT-SERVICE.NETWORK

    Antworten

Berger, 27. Mai 2018 um 20:42

Hallo,
Ich bin Kosmetikerin und bekomme die persönlichen Daten meiner Kundinnen für Terminabsprachen und von einigen für Zusendung von Angebotszetteln.
Muss ich mir von jeder Kundin eine schriftliche Erlaubnis dazu holen???
Was muss da draufstehen? Gibt es irgendwo solche Beispiel-Zettel?

Antworten

    IT-SERVICE.NETWORK, 29. Mai 2018 um 14:46

    Hallo Berger,
    grundsätzlich gilt, dass die Datennutzung nur zulässig ist, wenn diejenigen, deren Daten verarbeitet werden sollen, in die Nutzung der Daten einwilligen oder wenn eine gesetzliche Vorschrift die Datennutzung erlaubt. Das ist zum Beispiel der Fall, wenn die Daten zur Erfüllung eines Vertrags erforderlich sind oder die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist.
    Inwieweit bei Ihnen die gesetzlichen Vorschriften greifen, können wir im Einzelnen aus der Ferne nicht beurteilen und keine verbindliche, rechtsgültige Aussage treffen. Daher empfehlen wir immer noch einmal eine Beratung durch einen Datenschutzexperten, damit Sie auf der sicheren Seite sind.
    Muster für die Einwilligungserklärung finden Sie an verschiedenen Stellen im Internet, etwa beim Zentralverband des Deutschen Handwerks.
    Herzliche Grüße,
    Ihr IT-SERVICE.NETWORK

    Antworten

Sebastian, 13. Juni 2018 um 12:25

Hallo,
ich bin ehrenamtlich in einem Verein tätig.
Reicht es denn auch aus, das Verarbeitungsverzeichnis ins Impressum unserer Website mit aufzunehmen? Bzw. ist das überhaupt sinnvoll?

Antworten

    IT-SERVICE.NETWORK, 13. Juni 2018 um 14:04

    Hallo Sebastian,
    das Verarbeitungsverzeichnis muss laut unserer Recherchen nicht auf der Website öffentlich zugänglich gemacht werden. Daher ist es nicht sinnvoll bzw. nötig, das Verarbeitungsverzeichnis ins Impressum Ihrer Webseite mit aufzunehmen. Es ist allerdings den Aufsichtsbehörden auf Nachfragen vorzulegen.
    Herzliche Grüße,
    Ihr IT-SERVICE.NETWORK

    Antworten

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Support

IT-Support

Windows-Papierkorb

Die 10 häufigsten Fragen und Antworten

von • 08.12.2023

Ein Dokument oder eine Datei wird nicht mehr benötigt. Was passiert? Sie wandert in den Papierkorb. Klingt einfach, ist es eigentlich auch. Dennoch wirft der Windows-Papierkorb immer wieder Fragen au...

Weiterlesen
IT-Support

IT-Monitoring

5 Gründe warum Unternehmen von der Überwachung ihrer IT-Infrastruktur profitieren

von • 13.11.2023

Was wäre, wenn es in Ihrem Unternehmen zu einem IT-Ausfall kommen würde? Vermutlich würden sehr, sehr viele Prozesse zum Erliegen kommen. Genau deshalb ist das IT-Monitoring so wichtig.  Wir er...

Weiterlesen
IT-Support

Laptop-Lüfter laut

Tipps gegen hochdrehende und laute Lüfter

von • 28.06.2023

Wenn der Laptop-Lüfter laut ist – und das übermäßig häufig und stark – kann das ein Hinweis auf ernstzunehmende Probleme mit der Hardware sein. Manchmal helfen aber auch einige Tricks. Wir...

Weiterlesen