Vom Verfahrensverzeichnis zum Verarbeitungsverzeichnis

Obwohl einige Firmen bereits ein Verfahrensverzeichnis haben, fällt es den Verantwortlichen manchmal schwer, dieses als Grundlage für das Verarbeitungsverzeichnis der DSGVO zu verwenden. Dabei ist ein großer Teil bereits gemacht und kann ohne Einschränkung weiterverwendet werden. Dieser kurze Artikel soll hier in paar Tipps geben, wie ich das Thema angepackt habe.

Deckblatt

Gleich geblieben sind hier die Angaben zu den Verantworlichen. D.h. hier sollten

  • Rechtsform
  • Anschrift und weitere Kontaktdaten (Telefon, eMail)

eingegeben werden.

Für ein Verzeichnis von Auftragsverarbeitungen sollte der Begriff des Auftragsverarbeiters anstelle des Verantwortlichen verwendet werden.

Es folgen die Angaben zu den Geschäftsführern sowie die Angaben zum Datenschutzbeauftragten.

Es entfällt die bisherige Benennung des IT-Leiters.

Einleitung

Es empfielt sich eine kurze Einleitung zu schreiben, in der auf die Rechtsgrundlage f+r das Verzeichnis sowie dem Inhalt des Verzeichnisses verwiesen wird. Hier kann auch auf ein gemeinsames Deckblatt sowie eine gemeinsame Beschreibung von TOMs oder ein Datenschutzmanagement verwiesen werden.

Angaben zu Verarbeitungen

Auch hier sind die ersten Veränderungen marginal, d.h. hier können die bisherigen Texte zu Pflichtangaben wie folgt ersetzt werden:

Bezeichnung im BDSG VerfahrensverzeichnisBezeichnung im DSGVO Verarbeitungsverzeichnis
Zweckbestimmung der Datenerhebung, -verarbeitung oder -nutzung durch „Zwecke der VerarbeitungZwecke der Verarbeitung
Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder DatenkategorienBeschreibung der Kategorien betroffener Personensowie

sowie

Beschreibung der Kategorien personenbezogener Daten

(Ich habe diese Angabe in zwei Angaben aufgeteilt, da ich so eine bessere Übersicht erreiche)

Empfänger oder Kategorien von Empfängern der DatenKategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden
Datenübermittlung in DrittländerÜbermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation
Regelfristen für die Löschung der DatenFristen für die Löschung der verschiedenen Datenkategorien
Beschreibung der getroffenen technischen und organisatorischen MaßnahmenAllgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1

Damit sind die Pflichtangaben verwendet.

Zusatzangaben

Ich habe aber auch bereits im Verfahrensverzeichnis häufig folgende Angaben noch ergänzt (da diese das Management des Datenschutz vereinfachen):

  • Rechtsgrundlage der Verarbeitung (hier kommen primär die Artikel 6 Abs. 1 die Punkte a) (Einwilligung), b) (Vertrag), c)(andere gesetzl. Grundlage) und f)(Wahrung berechtigter Interessen) und §26 BDSG-neu (Beschäftigungsverhältnis)
  • Dienstleister, die Daten im Auftrag verarbeiten
  • Eingesetzte Software
  • Schutzbedarfklasse

Als Darstellung habe ich festgestellt, dass eine Tabellenform (in einer Textverarbeitung) die Übersicht und Lesbarkeit erhöht und sich im Rahmen eines kontinuierlichen Verbesserungsprozesses am besten erweitern lässt. Wie man die TOMs umwandelt beschreibe ich in einem gesonderten Artikel.