Verarbeitungstätigkeiten sind grob gesagt alle Vorgänge, bei denen personenbezogene Daten verarbeitet werden. Das kann die einfache Eingabe eines Namens in eine Bildschim-Maske sein oder die Abfrage aus einer Datenbank.

Jede Verarbeitung in einem Unternehmen, die personenbezogene Daten erfasst, muss dokumentiert werden – in dem Verzeichnis von Verarbeitungstätigkeiten. Hier müssen diverse Angaben gemacht werden wie z.B.

  • die Kontaktdaten des Verantwortlcihen
  • die Kontaktdaten des Datenschutzbeauftragten
  • die Zwecke der Verarebitung
  • die Beschriebung der Kategorien betroffener Personen, also z.B. Kunden, Lieferanten oder Interessenten
  • die Beschreibung der Datenkategorien, also z.B. Adressdaten, Kontaktdaten, Sozialversicherungsdaten
  • die Empfängerkategorien der Daten, also z.B. Steuerberater, Wirtschaftsprüfer
  • soll eine Übermittlung der Daten außerhalb Europas stattfinden, also z.B. in die USA
  • die Speicherdauer der Daten

und diverse andere Angaben. Das Verzeichnis ist entweder schriftlich zu führen oder aber digital. Um sich die Arbeit insgesamt einfacher zu machen, sollte die Verwendung eines Programmes in Erwägung gezogen werden. Hierzu gibt es eine Reihe sogenannter Datenschutz-Management-Systeme (DSMS), mit deren Hilfe die gesamte Datenschutzdokumentation komfortabel erledigt werden kann.

Um Ihnen die Arbeit zu erleichtern habe ich bereits ca. 140 Verarbeitungstätigkeiten als Muster vorliegen. Die Muster sind mit größter Sorgfalt erstellt worden, benötigen aber eine abschließende Bearbeitung.

Das Verzeichnis von Verarbeitungstätigkeiten erfordert viel Sorgfalt und Zeit und ist der Aufsichtsbehörde auf Verlangen vorzulegen. Da sich die einzelnen Verarbeitungen in der Regel nicht permanent ändern, ist der Aufwand, der hier zu betreiben ist, eher als initial zu betrachten. Steht einmal das Verzeichnis, ist es „nur“ noch aktuell zu halten.

In den Blog Beiträgen ist ein erweitertes Muster für eine Verarbeitungstätigkeit enthalten, welches über die gesetzlichen Anforderungen hinaus Angaben beinhaltet, wie z.B. die Risikoeinschätzung. Diese muss zwar gemacht werden, gehört aber formal nicht in das „amtliche“ Verzeichnis von Verarbeitungstätigkeiten – noch nicht.


Rechtsgrundlage für das Verzeichnis von Verarbeitungstätigkeiten

dejure.org