Was ist ein Verzeichnis von Verarbeitungstätigkeiten und wer benötigt sowas?

Dieser Beitrag soll das gefürchtete Verzeichnis von Verarbeitungstätigkeiten vorstellen, ein wichtiger Part der DSGVO, der zu unrecht von vielen gefürchtet wird.

Kurz gesagt, jeder (Unternehmer) braucht es. Also jeder, der unter das Anwendungsgebiet der DSGVO fällt. (Ja es gibt Ausnahmen, aber die sind eher theoretische Natur).

Die Inhalte sind eigentlich ganz einfach erstellt, denn Art 30 DSGVO liefert direkt schon eine Anleitung und ein Muster für ein Verzeichnis von Verarbeitungstätigkeiten:

1. den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
2. die Zwecke der Verarbeitung;
3. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
4. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
5. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
6. wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
7. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Hier kann man nun ganz praktisch so vorgehen, dass man “der Spur der Daten” folgt und sich so Stück für Stück sein Verzeichnis aufbaut.

Weitere Informationen zu dem Thema:
https://www.lda.bayern.de/de/thema_kleine_unternehmen.html