Vorlage: Verarbeitungstätigkeiten effizient und übersichtlich dokumentieren
Nach unserem letzten Beitrag zum Thema Verarbeitungstätigkeiten legen wir heute mit einer Vorlage nach, mit der Sie effizient und übersichtlich Ihre Verfahren bzw. Verarbeitungstätigkeiten dokumentieren können. Die Vorlage können Sie als Word Datei (Format docx) herunterladen, Fragen dazu können Sie uns per E-Mail stellen.
Die uns am häufigsten Fragen gestellten Fragen beantworten wir hier in Kürze:
- Welche Verarbeitungstätigkeiten müssen dokumentiert werden?
Alle Prozesse, bei denen personenbezogene Daten involviert sind. Sie können – wenn es sinnvoll ist – auch mehrere Prozessschritte in einem Verfahren beschreiben. Wir sind aber der Meinung, dass eine feingliedrige Dokumentation besser ist. Zwar haben Sie dann zuerst einen höheren Aufwand bei der Dokumentation, können aber bei Änderungen einzelne Prozesse gezielt anpassen. - Was sind den beispielhafte Verarbeitungstätigkeiten?
An dieser Stelle verweisen wir Sie auf unseren Blogbeitrag „Verzeichnis der Verarbeitungstätigkeiten – Übersicht mit Struktur“ – in diesem finden Sie viele Beispiele – um einige an dieser Stelle zu nennen: Personaldatenverwaltung, Zeiterfassung, Bewerbungsprozess, Lohnbuchhaltung, Kundenkarte, Newsletter, Benutzerverwaltung und so weiter. Ein wichtiger Hinweis dazu: Auch Softwareanwendungen, die das Vorhandensein eines Benutzerkontos voraussetzen, sind Verarbeitungstätigkeiten mit Relevanz, auch wenn in der eigentlichen Software (zum Beispiel Adobe Photoshop) nicht zwingend personenbezogene Daten verarbeitet werden können. - Warum muss zu jedem Verfahren die Rechtsgrundlage genannt werden, wenn es nicht in der DSGVO gefordert wird?
Das neue Bundesdatenschutzgesetz, welches im Zuge der DSGVO in Deutschland eingesetzt wurde, konkretisiert die DSGVO und verlangt die Nennung der Rechtsgrundlage, hier geht das BDSG neu über die Anforderungen der DSGVO hinaus. - Müssen Löschfristen im Verzeichnis der Verarbeitungstätigkeiten angegeben werden?
Nicht zwingend, Sie können auch auf Ihr Löschkonzept verweisen und die Löschfristen nicht nochmal extra im Verzeichnis aufführen. Wir fahren hier zweigleisig, Löschfristen werden der Übersicht halber ausführlich im Löschkonzept und in Stichworten im Verzeichnis aufgeführt. - Muss die in den Verarbeitungstätigkeiten eingesetzte Software beschrieben werden?
Grundsätzlich nicht, es macht aber im Sinne einer vollständigen Übersicht Sinn. Auch beugt eine Nennung der Software eventuellen Rückfragen vor, sollte es zu einer Prüfung kommen. - Wie konkret müssen die Empfänger von Daten beschrieben werden?
Hier ist es anzuraten, Datenempfänger konkret zu benennen. Beispielsweise wenn Sie einen Auftragsverarbeiter einsetzen, nennen Sie die Firma und schreiben nicht einfach Auftragsverarbeiter rein. Muss zwar nicht sein, hilft aber beim Behalten der Übersicht. Ergänzend sollten Sie darüber hinaus ohnehin eine Übersicht halten, welche Dienstleister oder Behörden von Ihnen Daten erhalten. - Warum gibt es hier kein umfangreiches mit vielen beispielhaften Verarbeitungstätigkeiten?
Natürlich haben wir eine riesige Sammlung an verschiedenen Verarbeitungstätigkeiten, diese können wir hier aber nicht kostenlos zum Download anbieten. In vielen Jahren als Datenschutzbeauftragte haben wir uns eine umfassende Datenbank aufgebaut, die es uns eine effiziente und zeitsparende Beratung im Sinne unserer Kunden ermöglicht. Wenn wir diese zum Download anbieten, würden wir uns selbst einen Teil unserer Geschäftsgrundlage kaputt machen. Daher bitten wir um Ihr Verständnis, dass wir nur Ausschnitte und Methoden verfügbar machen.
Am Ende kann Ihr Verzeichnis der Verarbeitungstätigkeiten in etwa so aussehen, wie hier im Beispiel.
Sie brauchen Unterstützung? Wir helfen Ihnen gerne weiter!
Wenn Sie Unterstützung brauchen, helfen wir Ihnen gerne weiter. Schreiben Sie uns Ihr Anliegen, wir beraten kompetent und erfahren in allen Branchen.
Herzliche Grüße
Fabian Henkel