Einfaches Verfahrensverzeichnis nach DSGVO

Die schnelle Lösung für kleine Unternehmen...

Werbung
So verwalten Sie schnell und unkompliziert ein eigenes Verzeichnis von Verarbeitungstätigkeiten gemäß DSGVO.
So verwalten Sie schnell und unkompliziert ein eigenes Verzeichnis von Verarbeitungstätigkeiten gemäß DSGVO.
☆ Dieser Artikel ist Teil unseres Special Datenschutz: Die DSGVO im Detail…

„Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 DSGVO“ – klingt doch ziemlich harmlos, oder? Aber schon so mancher Kleinunternehmer ist daran verzweifelt, denn die gesetzeskonforme Umsetzung scheint alles andere als simpel zu sein.

Doch aufgeben gilt nicht. Mit einer methodischen Vorgehensweise und unserer auf die Anforderungen von Selbständigen, Freiberuflern und Handwerksbetrieben zugeschnittenen Vorlage, realisieren Sie im Handumdrehen eine eigene Dokumentation.

Übrigens, die Pflicht zur Erstellung einer solchen bestand bereits vor Einführung der DSGVO nach dem alten Bundesdatenschutzgesetz (dort in ähnlicher Form unter dem Begriff „Verfahrensverzeichnis“ gefordert, welchen wir im folgenden synonym verwenden).

Verfahrensverzeichnis – was ist das eigentlich?

In einfachen Worten ausgedrückt handelt es sich dabei um eine Übersicht aller Arbeiten in einem Unternehmen, bei welchen personenbezogene Daten eine Rolle spielen.

Was personenbezogene Daten genau sind, haben wir in einem früheren Artikel bereits näher beleuchtet (klicken Sie auf den Link, um diesen in einem neuen Fenster/Tab zu öffnen).

Artikel 30 Abs. 1 der Datenschutz-Grundverordnung führt praktischerweise gleich eine Liste der zu dokumentierenden Informationen auf. Hier die Kurzfassung:

  • Name und Kontaktdaten des Verantwortlichen
  • Zweck der Verarbeitung
  • Kategorien der betroffenen Personen und deren personenbezogene Daten
  • Kategorien der Empfänger dieser Daten
  • Details bei der Übermittlung dieser Daten in ein Drittland (außerhalb der EU)
  • Fristen für die Löschung der genutzten Daten (falls möglich)
  • Allgemeine Beschreibung von Maßnahmen, welche die Sicherheit der Verarbeitung betreffen (ebenfalls optional)

Wirklich konkret wird die DSGVO jedoch nicht. Das ist aber auch kein Wunder, denn jedes Unternehmen verfolgt seine ganz eigene Organisation, die sich schwerlich in einen allgemeingültigen Gesetzestext pressen lässt. Wie so oft führen viele Wege zum Ziel.

Muss das überhaupt sein?

Ja, es muss. Ein Verfahrensverzeichnis ist für die allermeisten Unternehmen eine mehr oder weniger lästige Pflicht, unabhängig von ihrer Größe, Jahresumsatz oder anderen betrieblichen Kennzahlen.

Zwar schreibt Art. 30 Abs. 5 der DSGVO das Erstellen eines solchen Verzeichnisses erst ab 250 Mitarbeitern vor. Jedoch auch immer dann, wenn eine Verarbeitung personenbezogener Daten regelmäßig erfolgt. Und dies trifft bis auf wenige Ausnahmen für gewöhnlich auf jeden zu.

Allenfalls Kleinstgewerbetreibende (z.B. Markthändler oder „Tante-Emma“-Läden), die weder Angebote noch Rechnungen mit Kundenanschriften erstellen und über keine eigene Website verfügen, dürfen nun das Lesen des Artikels beenden und sich anderen Themen widmen.

Umfang des Verfahrensverzeichnisses

Nachdem nun die allgemeinen Voraussetzungen geklärt wurden, stellt sich die alles entscheidende Frage, wie detailliert das Verarbeitungsverzeichnis nun im konkreten Einzelfall aussehen muss.

Beginnen Sie am besten damit, allgemeine Strukturen und Abläufe Ihres Unternehmens auf ein Blatt Papier zu bringen und notieren sich, welche Arbeiten regelmäßig anfallen, also beispielsweise…

  • allgemeine Geschäftsaufgaben
  • Buchhaltung
  • Personalverwaltung
  • Werbung und Marketing

Dann überlegen Sie für jeden Punkt, ob und falls ja, welche Art von personenbezogenen Daten zu welchem Zweck verarbeitet werden. Zum Beispiel für den Bereich „allgemeine Geschäftsaufgaben“:

  • Kommunikation mit Kunden (Angebote, Rechnungen, Mahnungen, Newsletter)
  • Paketversand (Lieferung von Bestellungen an Kunden, Retouren)
  • Beschaffung (Einkauf von Waren)

So langsam sollte sich nun eine Liste aller betrieblichen Tätigkeiten ergeben, für deren Ausführung personenbezogene Daten eine Rolle spielen.

Für jeden Eintrag dieser Liste, also für jede Tätigkeit, beantworten Sie abschließend die in Art. 30 Abs. 1 DSGVO genannten Punkte an zu dokumentierenden Informationen.

Eine gewisse Abstrahierung ist möglich und schon allein aus Gründen der späteren Nutzbarkeit im Geschäftsalltag sinnvoll:

So verlangt der Punkt „Kategorien von Empfängern personenbezogener Daten“ nicht die konkrete Auflistung mit Namen und Adressen, sondern nur die Zuordnung zu einer Kategorie (also beispielsweise „Hausbank X mit Sitz in Deutschland“ oder „Europäische Lieferanten laut Adressverzeichnis“).

Tipp: Das Verfahrensverzeichnis hilft auch bei der Beantwortung der Frage, mit welchen Geschäftspartnern Auftragsverarbeitungs-Verträge nach Artikel 28 DSGVO geschlossen werden müssen.

Verfahrensverzeichnis – „work in progress“

Wie detailliert die Aufstellung der einzelnen Verarbeitungstätigkeiten ausfällt, obliegt erst einmal Ihnen. Grundsätzlich ist wichtig, alle Prozesse zu benennen, welche personenbezogene Daten nutzen.

Stellt sich später heraus, dass bestimmte Arbeitsabläufe nur unzureichend abgebildet werden, können Sie diese immer noch in zwei oder mehr voneinander unabhängige Einträge splitten.

Das Verzeichnis der Verarbeitungstätigkeiten sollte regelmäßig geprüft und aktualisiert werden (am besten in jährlichem Rhythmus).

Vorlage für ein Verfahrensverzeichnis

In welcher Form das Verzeichnis der Verarbeitungstätigkeiten geführt wird, spielt für die Einhaltung der DSGVO eine untergeordnete Rolle, da der Gesetzgeber hier bewusst keine Vorschriften macht.

Gängige Varianten sind zum einen die blockweise Darstellung der Verarbeitungstätigkeiten (jede Tätigkeit wird in sich abgeschlossen beschrieben) und zum anderen die Auflistung in Tabellenform.

Die Implementierung als Liste bietet sich besonders für kleinere Unternehmen an, da diese mit wenig Aufwand umsetzbar und zudem sehr übersichtlich ist.

Unter dem folgenden Link finden Sie eine von uns entworfene kostenlose Vorlage zum Herunterladen. Sie können diese gerne im Rahmen Ihrer geschäftlichen Tätigkeit frei nutzen.

Download: Vorlage für ein Verzeichnis der Verarbeitungstätigkeiten (.ods, OpenDocument-Tabelle)


Stand der Informationen: März 2019
Wichtig: Bitte beachten Sie die Nutzungsbedingungen und rechtlichen Hinweise für diesen Beitrag!

Werbung