Früher sprach man von Verarbeitungsverzeichnis, heute heißt es offiziell Verzeichnis von Verarbeitungstätigkeiten. Das ist eine Auflistung, zum Beispiel in Ihrer Tabellenkalkulation, die alle Ihre Datenverarbeitungstätigkeiten umfasst. Diese Liste sollten Sie haben, denn Sie müssen sie haben. Gesetz! Wobei, das stimmt nicht ganz: Sie müssen dieses Verzeichnis lt. DSGVO haben, wenn Sie "nicht nur gelegentlich" Daten verarbeiten. Also im Prinzip immer.
Aber die meisten Gesetze gibt es ja nicht ohne Grund. Diese Liste verschafft Ihnen selbst jederzeit einen Überblick, was in Ihrem Unternehmen oder in Ihrem Verein alles an Daten verarbeitet wird, was der Zweck ist, wer die Daten bekommt und so weiter. Überhaupt wäre es ja gut, wenn Sie wüssten, was Sie da eigentlich alles so haben, an Datenverarbeitung. Mit dieser Liste sind Sie zwar noch nicht bereit für eine ISO-Zertifizierung, aber es ist ja mal ein Anfang. Und, im Ernst, das ist weniger Aufwand, als Sie denken.
Was steht drin?
Die DSGVO fordert neben der Angabe, dass Sie der oder die Verantwortliche sind, nur um die 10 weitere Angaben zu jeder Verarbeitung. Das passt sogar noch auf DIN A4 und ist schnell gemacht. Fangen Sie doch damit an. Lesen Sie auch mal Artikel 30 der DSGVO, da steht nämlich alles drin, was rein muss:
- die Zwecke der Verarbeitung,
- wer betroffen ist, z.B. alle Beschäftigten oder Website-Besucher,
- wer die Daten zu Gesicht bekommt, z.B. Ihr Steuerberater oder Ihr Website-Administrator,
- ob Sie personenbezogene Daten an eine internationale Organisation oder in ein Drittland, z.B. die USA, übermitteln - diese müssen Sie dann benennen, und welche Garantien es gibt, dass das "sicher" ist, zum Beispiel Abkommen, wie "Privacy Shield",
- wenn möglich, wann sie die Daten wieder löschen werden und
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen, wie Sie den Schutz der Daten gewährleisten wollen.
Wenn Sie nicht Verantwortlicher sind, sondern für andere Daten im Auftrag verarbeiten, dann sind es ein paar Punkte weniger.
Musterverzeichnisse
Inzwischen gibt es im Web eine ganze Menge guter Beispiele von vorausgefüllten Verarbeitungsverzeichnissen. Besonders hervorheben möchte ich hier die vom Bayrischen Landesamt für Datenschutz. Denn diese Beispiele sind gesondert ausgeführt für Vereine, Kleinunternehmer, Webshop-Betreiber und so weiter. Zusätzlich gibt es hier auch noch weitere Informationen, zum Beispiel, was die jeweiligen Anforderungen angeht. Sehr schön gemacht!
Lesen Sie weiter über ADV-Verträge, technische und organisatorische Maßnahmen und Risikobetrachtung bzw. Schutzniveau.