03 Sep 2021

Verarbeitungsverzeichnis erstellen und aktuell halten

Artikel 30 der DSGVO verlangt das Erstellen und Führen eines Verzeichnisses aller Verarbeitungstätigkeiten mit personenbezogenen Daten. Des Weiteren dient es der „Rechenschaftspflicht“, also der Nachweispflicht des Unternehmers gem. Artikel 5 Absatz 2 der DSGVO.

Darüberhinaus ist es Ihre Kommandozentrale und gibt Ihnen eine gute Übersicht welche personenbezogene Daten bei Ihnen in der Organisation von wem, wo, wie, womit und warum verarbeitet werden.

Es hat sich bewährt eine oder beide dieser Vorgehensweisen zu wählen um die Prozesse, bzw. Verarbeitungstätigkeiten zu bestimmen:

  1. Schauen Sie Anhand Ihrer Aufbauorganisation (Organigramm) welche Abteilungen Sie haben und überlegen, ggf. mit den Leitern dieser Bereiche, welche Prozesse dort vorkommen, bei denen personenbezogene Daten verarbeitet werden. Noch einfacher ist es, wenn Sie auch eine Ablauforganisation (Prozess- oder Wertschöpfungskette) beschrieben haben.
  2. Schauen Sie, welche DV-Systeme Sie im Einsatz haben und welche Daten dort verarbeitet werden.

Je nach Größe der Organisation kann die Dokumentation zentral in einer Excel-Tabelle erstellt werden. Bei größeren Organisationen mit mehreren Bereichen und Verantwortlichkeiten empfiehlt es sich entweder pro (Prozess-)Verantwortlichem die Verarbeitungstätigkeiten einzeln zu dokumentieren.

Unser Tipp: Es gibt keine Vorschrift wie es zu dokumentieren ist, lediglich dass es getan werden muss, und einzelne Bestandteile, was das Verzeichnis enthalten muß, sind vorgegeben. Also sind Sie frei und können es nach Ihrem Belieben, ob klein in Excel und oder dezentral in eigenen Systemen gestalten. I.d.R. kommt man, auch als kleine GmbH, recht schnell auf 20-30 Verfahren.

Beispiele für jedes Modell erhalten Sie natürlich hier von uns.

Als Dateien wären zu nehmen: