Wie Sie ein Verzeichnis von Verarbeitungstätigkeiten nach DSGVO praktisch umsetzen. Inklusive Mindestanforderungen und Beispielen. Es werden auch Informationen zum Hauptblatt, den technischen und organisatorischen Maßnahmen sowie zur Risikoanalyse vorgestellt.
2. Vorbemerkung
• Das Verzeichnis von Verarbeitungstätigkeiten ist grundsätzlich Pflicht
für jeden, der nicht nur gelegentlich personenbezogene Daten
verarbeitet (Art. 30 (5) DSGVO)
• Der Verantwortliche (z.B. Geschäftsführer, juristische Person oä) ist
verpflichtet das Verzeichnis zu führen
• Es sollte aktuell sein und dem IST-Stand im Unternehmen
entsprechen
• Es kann elektronisch geführt werden (z.B. in Excel oder Word)
06.11.2018 Quelle: dsgvo-vorlagen.de 2
3. Gesetzliche Mindestangaben nach DSGVO
• Name und Kontaktdaten des
Verantwortlichen, ggf. des Vertreters und des
Datenschutzbeauftragten (Art. 30 (1) a)
DSGVO)
• Die Zwecke der Verarbeitung (Art. 30 (1) b)
DSGVO)
• Kategorien von Betroffenen und die
personenbezogenen Daten (Art. 30 (1) c)
DSGVO)
• Kategorien von Empfängern, an die die Daten
übertragen werden, insbesondere, wenn dies
im Ausland geschieht, Dokumentation von
Garantien (Art. 30 (1) d) und e) DSGVO)
• Löschfristen für die Datenkategorien (Art. 30
(1) f) DSGVO)
• Dokumentation der technischen und
organisatorischen Maßnahmen (Art. 30 (1) g)
DSGVO)
• Die Rechtsgrundlage der Verarbeitung (§ 70
(1) Nr. 7 BDSG)
• Darüber hinaus gehend bieten sich zahlreiche
weitere Dokumente an.
06.11.2018 Quelle: dsgvo-vorlagen.de 3
5. In der Praxis bietet sich eine Gliederung in 3
Bereiche an
• Hauptteil (allgemeine Informationen zum Verantwortlichen)
• Das eigentliche Verzeichnis (Alle Verarbeitungstätigkeiten im
Unternehmen) in den meisten Unternehmen unter 40 Stück
• Technische und organisatorische Maßnahmen (Sicherheit der
Verarbeitung) sowie Risikoanalyse
06.11.2018 Quelle: dsgvo-vorlagen.de 5
6. Hauptblatt (Hauptteil)
• An sich selten veränderte Informationen
• Anschrift der Verantwortlichen Stelle inkl. ggf. Vertretern
• Informationen über Niederlassungen in der EU (wenn
Verantwortlicher nicht aus der EU kommt)
• Informationen zum DSB
• Hinweise auf Datenlöschung, TOMs und grundsätzliches Verfahren bei
Auftragsverarbeitung und Übermittlung in Drittstaaten
06.11.2018 Quelle: dsgvo-vorlagen.de 6
7. Beispiel für ein Hauptblatt aus dem Tool
06.11.2018 Quelle: dsgvo-vorlagen.de 7
8. Verzeichnis der Verarbeitungstätigkeiten
• Beschreibung des Verfahrens
• Name der eingesetzten Programme oder Dienstleister
• Beginn der Nutzung
• Letzte Überprüfung des Verfahrens (normalerweise Datum der Ersterstellung oder Datum des Inkrafttretens der DSGVO)
• Verantwortliche Abteilung bzw. Kontaktdaten des Ansprechpartners
• Zwecke der Verarbeitung (Wieso wird verarbeitet)
• Betroffenengruppen
• Datenpunkte und –kategorien
• Rechtsgrundlage der Verarbeitung
• Übermittlung in Drittstaaten und ggf. Nachweis von Garantien
• Spezielle Löschfristen oder technische und organisatorische Maßnahmen
• Unterschrift des Verantwortlichen bzw. sein gesetzlicher Vertreter
06.11.2018 Quelle: dsgvo-vorlagen.de 8
9. Beispiel für ein Verzeichnis der
Verarbeitungstätigkeiten aus dem Excel Tool
06.11.2018 Quelle: dsgvo-vorlagen.de 9
10. Technische und organisatorische Maßnahmen
und Risikoanalyse
• Die sog. TOMs können mit Hilfe von Listen erstellt werden, in die nach
den gesetzlich vorgegebenen Kriterien Maßnahmen abgetragen
werden
• Z.B. Verschlüsselung, Zutrittskontrollen usw.
• Die Risikoanalyse kann direkt dafür verwendet werden zu ermitteln,
ob eine Datenschutzfolgenabschätzung notwendig ist oder nicht
• Z.B. über eine Risikomatrix (Eintrittswahrscheinlichkeit x Schadenshöhe)
• Über die „Datenschutzgruppe nach Artikel 29“ (G29) festgelegten Kriterien
06.11.2018 Quelle: dsgvo-vorlagen.de 10
14. Kostenlose Vorlagen der
Datenschutzbehörden
• Der Bayrische Landesdatenschutzbeauftragte bietet umfangreiche
(aber leere) Vorlagen an:
• https://www.lda.bayern.de/de/kleine-unternehmen.html
• Word Download der WKO:
• https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-
muster-verarbeitungsverzeichnis-verantwortliche.html
06.11.2018 Quelle: dsgvo-vorlagen.de 14
15. Generator, Excel und Word Vorlage
(vorausgefüllt)
• Der Generator für die Dokumentation bietet sich für preisbewusste
Kunden an, welche Schritt für Schritt durch den Prozess geführt
werden wollen:
• https://www.digistore24.com/product/209825
• Die Excel und Word Vorlagen bieten sich an, wenn man unabhängig
von Cloud Lösungen arbeitet und etwas größere Datenschutzprojekte
betreuen möchte:
• Word: https://www.digistore24.com/product/240342
• Excel: https://www.digistore24.com/product/216935
06.11.2018 Quelle: dsgvo-vorlagen.de 15
16. Folgen bei Nichterstellung
• Ordnungswidrigkeit, welche mit einem hohen Bußgeld bestraft wird
• 10.000.000 € oder 2% des Jahresumsatz möglich
• Sollte vorher erstellt werden, also bevor die Behörde anfragt
• Anfragen können auf verschiedene Arten erfolgen
06.11.2018 Quelle: dsgvo-vorlagen.de 16