Verarbeitungsverzeichnis aktualisieren: So müssen Unternehmen nach DSGVO vorgehen
15.02.2021 | T. Reddel – Online-Redaktion, Forum Verlag Herkert GmbH
Seit Einführung der Datenschutz-Grundverordnung (DSGVO) am 25.05.2018 müssen Unternehmen ein sog. „Verzeichnis von Verarbeitungstätigkeiten“ (Verarbeitungsverzeichnis) führen. Für den Datenschutz ist entscheidend, dass die darin aufgeführten Daten aktuell sind. Doch wie aktualisieren Unternehmen ihr Verzeichnis gemäß den gesetzlichen Vorgaben?
Inhaltsverzeichnis
- Verarbeitungsverzeichnis nach DSGVO
- Verarbeitungsverzeichnis aktualisieren gemäß DSGVO
- Vorteile eines aktualisierten Verarbeitungsverzeichnisses
- Verarbeitungsverzeichnis: Muster
Verarbeitungsverzeichnis nach DSGVO
Unternehmen sind seit 2018 nach Art. 30 DSGVO verpflichtet, ein Verarbeitungsverzeichnis für die automatisierte Verarbeitung personenbezogener Daten zu pflegen. Anhand des Verzeichnisses sollen Unternehmen dokumentieren, wofür sie welche Daten wie verarbeiten.
Allerdings beinhaltet Art. 30 DSGVO nicht nur die generelle Pflicht zum Verarbeitungsverzeichnis. Der Artikel
- definiert, welche Unternehmen zum Führen eines Verzeichnisses verpflichtet sind,
- stellt Anforderungen an die erforderlichen Inhalte,
- gibt Vorschriften zur formalen Ausführung des Verarbeitungsverzeichnisses und
- regelt die rechtlichen Konsequenzen, wenn ein Unternehmen gegen die Vorgaben der Verordnung verstößt.
Eine Zusammenfassung der rechtlichen Vorgaben des Artikels enthält der Fachbeitrag „Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO ersetzt Verfahrensverzeichnis“.
Die Pflicht zum Führen von Verarbeitungsverzeichnissen ist ein Bestandteil der datenschutzrechtlichen Grundlagen für Unternehmen. Können sie die Anforderungen des Datenschutzrechts nicht einhalten, drohen teils hohe Bußgeldstrafen. Bei der praktischen Umsetzung im Betrieb hilft „Das Datenschutz-Paket“. Die aufeinander abgestimmte Sammlung liefert bewährte Vorlagen und Informationen, die Unternehmen zum Erfüllen des aktuellen Datenschutzrechts benötigen.
Damit ein Unternehmen sowohl bei der internen Datenschutzkontrolle wie auch bei einer Kontrolle der verantwortlichen Aufsichtsbehörde ein aktuelles Verarbeitungsverzeichnis vorweisen kann, muss es das Verzeichnis regelmäßig auf den derzeitigen Stand bringen.
Verarbeitungsverzeichnis aktualisieren gemäß DSGVO
Folgende Schritte erleichtern es Unternehmen, das Verarbeitungsverzeichnis zu aktualisieren:
1. Fokus der Datenerhebung festlegen
Grundlegender Bestandteil des Verarbeitungsverzeichnisses sind die vom Unternehmen verarbeiteten personenbezogenen Daten. Doch bevor das Unternehmen die Daten erhebt, sollte es eindeutig festlegen, welche von diesen in das Verzeichnis fließen sollen.
Neben den in Art. 13 DSGVO geforderten Mindestinhalten des Verarbeitungsverzeichnisses kann das Unternehmen im Verarbeitungsverzeichnis zusätzliche Informationen zur weiteren Risikobetrachtung erfassen.
2. Erforderliche Daten besorgen
Ist der Fokus zur Datenerhebung gesetzt, geht es an die tatsächliche Beschaffung der Daten. Sie sind notwendig, um das Verarbeitungsverzeichnis aktualisieren zu können. Auch wenn es mehr Aufwand für das Unternehmen bedeutet, sollte es die Daten möglichst umfangreich und vollständig sammeln.
Das Unternehmen kommt z. B. anhand folgender Quellen an die notwendigen Daten:
- Datenextraktion aus bestehenden Systemen
- internes Prozessverzeichnis, dass die erforderlichen Daten enthält
- angebundene Applikations- oder Assetverzeichnisse
Liegen dem Unternehmen die Daten für das Verarbeitungsverzeichnis jedoch nicht in solcher oder so ähnlicher Form vor, muss es i. d. R. zusätzlichen Aufwand betreiben und die Daten auf anderem Weg beschaffen.
3. Regelprozesse zur Aktualisierung einführen
Um die erforderlichen Daten griffbereit zu haben, sollte das Unternehmen bereits im Voraus einen internen Regelprozess einführen, der das Erstellen und Aktualisieren der Prozesse zur Datenerhebung und -verwaltung regelt.
In der Praxis sind z. B. folgende Vorgehensweisen möglich:
- Das vorhandene Verarbeitungsverzeichnis wird einmal jährlich vom Datenschutzbeauftragten manuell überprüft.
- Das Unternehmen nutzt eine Software, die selbstständig überprüft, wie regelmäßig die Daten im Verarbeitungsverzeichnis aktualisiert und entsprechend neu eingepflegt werden.
Zudem sollten die Daten für das Verzeichnis von Verarbeitungstätigkeiten regelmäßig überprüft werden. So lassen sich Ungenauigkeiten in der Erhebung oder Aktualisierung vermeiden, die häufig Nacharbeiten oder Korrekturen erfordern.
Unabhängig von automatisierter oder manueller Prüfung der Daten sollten Datenschutzbeauftragte und Verantwortliche i. S. d. Art. 4 Nr. 7 DSGVO eng zusammenarbeiten. Für das Führen und Aktualisieren des Verarbeitungsverzeichnisses sind jedoch die Verantwortlichen gemäß DSGVO zuständig, nicht der Datenschutzbeauftragte.
Vorteile eines aktualisierten Verarbeitungsverzeichnisses
Für viele ist die Aktualisierung des Verarbeitungsverzeichnisses eine notwendige Formalität. Allerdings kommt ein Unternehmen, dass sein Verzeichnis regelmäßig aktualisiert, nicht nur seiner Erfüllungspflicht aus der DSGVO nach. Es bietet weitere, bereichsübergreifende Vorteile, von denen das Unternehmen profitieren kann.
Umfangreicheres (Datenschutz-)Risikomanagement
Hält ein Unternehmen sein Verarbeitungsverzeichnis aktuell, kommt es seiner Pflicht aus Art. 32 DSGVO nach, technische und organisatorische Maßnahmen zu treffen, die die Rechte und Freiheiten der Personen schützen, von denen das Unternehmen Daten erhebt und verarbeitet.
Die erforderlichen Maßnahmen basieren u. a. auf Art, Umfang, Zweck und spezifischer Risikosituation der Datenverarbeitung. Besitzt das Unternehmen kein aktualisiertes Verarbeitungsverzeichnis, lassen sich nur allgemeine oder anlassbezogene Maßnahmen festlegen. Dadurch ist keine ganzheitliche Risikoanalyse des Unternehmens möglich, mit der es datenschutzrechtliche Risiken ermittelt.
Meist ist es nur mit einem entsprechenden Datenschutz-Risikomanagement auf Basis eines aktuellen Verarbeitungsverzeichnisses möglich, verarbeitungsspezifische Risiken genau zu identifizieren, zu bewerten und Schutzmaßnahmen abzuleiten.
Mehrfachkontrollen vermeiden und Kosten sparen
Neben einem aktuellen Verarbeitungsverzeichnis sollten Verantwortliche im Datenschutz prüfen, ob sie abgesehen vom Datenschutzbeauftragten auch für andere Risikofunktionen im Unternehmen entsprechende Verzeichnisse pflegen oder aktualisieren müssen.
Durch solche Überschneidungen ist eine effektivere Zusammenarbeit mit Datenschutz-, Informations- oder IT-Sicherheit sowie Krisen- und Auslagerungsmanagement möglich. So profitiert das Unternehmen v. a. in der Datenqualität, kann mehrfach vorhandene Kontrollen und Doppelprüfungen vermeiden und letztlich Kosten sparen.
An welcher Position sich das Unternehmen außerdem Zeit und Aufwand sparen kann, ist bei der Dokumentation. Führt es einheitliche Veranstaltungsverzeichnisse, lassen sich daraus schneller Ergebnisse ableiten und Kontrollen durch die Aufsichtsbehörde können reibungsloser ablaufen.
Entsprechende Mustervorlagen für Verarbeitungsverzeichnisse unterstützen Unternehmen bei der einheitlichen Datenschutzdokumentation.
Verarbeitungsverzeichnis: Muster
Das Verarbeitungsverzeichnis ist ein für Unternehmen verpflichtendes Dokument und essenzieller Bestandteil der Datenschutzdokumentation. Verantwortliche im Datenschutz finden hier als Beispiel ein Muster für ein Verarbeitungsverzeichnis nach DSGVO.
GRATIS DOWNLOAD
Erleichtern Sie sich die Aktualisierung Ihres Verarbeitungsverzeichnisses mit dem „Muster Verarbeitungsverzeichnis gem. Art. 30 DSGVO“. Jetzt Mustervorlage kostenlos herunterladen!
Das Muster zum Verarbeitungsverzeichnis bietet Verantwortlichen eine Vorlage, mit der sie das Verzeichnis nach aktuellem Datenschutzrecht anfertigen können. Außerdem berücksichtigt es alle gesetzlichen Vorgaben aus Art. 30 DSGVO. Dadurch ist das Verarbeitungsverzeichnis gleichzeitig als zentrales Nachweismittel zur Datenschutzorganisation verwendbar.
Quelle: „Infodienst Datenschutz für Praktiker“: 06/2020