Zurück zur Übersicht

Erster Schritt - unser Verzeichnis von Verarbeitungstätigkeiten (DS-GVO)

19.03.2018

Nachdem ich mich nun trotz Erste Hilfe Koffer für die DSGVO doch eine zeitlang ziemlich im Kreis gedreht habe, was den wirklich sinnvollen nächsten Schritt angeht, habe ich beschlossen, dass es für uns das Verzeichnis von Verarbeitungstätigkeiten ist. Ich verspreche mir davon unter anderem, dass ich einen besseren Überblick bekomme, wo genau bei uns noch Regelungen zu treffen oder eventuell sogar noch Veränderungen durchzuführen sind.

Das Verzeichnis von Verarbeitungstätigkeiten ist in der DSGVO für alle Personen, Einrichtungen usw. vorgeschrieben, die personenbezogene Daten verarbeiten. Zwar sind Unternehmen mit weniger als 250 Mitarbeitern theoretisch davon befreit, diese Befreiung gilt jedoch nur, wenn nur eine gelegentliche Verarbeitung erfolgt und auch keine besonderen Themen, wie Gesundheit oder Religion, dabei berührt werden. Alleine durch die Erstellung von Gehaltsabrechnungen für Mitarbeiter ist diese Sonderregelung bereits verletzt - werden hier doch sowohl Religionsthemen (Kirchensteuer) und Gesundheitsthemen (Krankheitstage) verarbeitet. Zudem erfolgt das nicht gelegentlich, sondern regelmäßig. Diese Sonderregelung kann man also in 99,99 % aller Fälle vernachlässigen.

Zum Glück befindet sich in meinem "Erste Hilfe Koffer" ein Muster. Nach mehrmaligem Lesen und zusätzlichen Recherchen habe ich jedoch beschlossen, die Texte nicht einfach nur abzutippen, sondern die Prozesse so zu dokumentieren, dass wir es auch in zwei oder fünf Jahren noch verstehen, und dass es tatsächlich zu uns als Unternehmen passt.

Für das Verzeichnis ist zunächst zu überlegen, welche Arten von personenbezogenen Daten verarbeitet werden. Bei uns sind das natürlich die Daten der Mitarbeiter, außerdem Daten von Bewerbern, Interessenten, Kunden, Newsletter-Lesern sowie Dienstleistern und Lieferanten. Im nächsten Schritt überlegt man sich dann, welche Datenkategorien dafür jeweils zutreffend sind (meist sind das ja "nur" Kontaktdaten), zu welchem Zweck man sie erhebt, also was man damit anfangen will, und wie lange sie zu diesem Zwecke aufgehoben werden müssen.

Ich finde, wenn man sich überwindet und selbst eine Liste dieser Daten erstellt, sieht man ganz schnell, wo noch Ansatzpunkte sind, wo vielleicht Informationspflichten noch nicht 100% erfüllt werden, wo Daten an Dritte weitergegeben werden und eventuell die vertragliche Vereinbarung dazu fehlt. Das Verzeichnis von Verarbeitungstätigkeiten ist also ein gutes Mittel, um sich einen Überblick über die individuelle Situation zu verschaffen und dann die Liste der nächsten Todos zu erstellen.

Ich bin mit unserem Verzeichnis natürlich noch nicht fertig. Das erstellt man nicht mal eben nebenbei an einem Nachmittag. Das ist die schlechte Nachricht. Die gute ist, wenn ich das erledigt habe, habe ich einen großen Teil unserer nötigen Todos erledigt. Und einen guten Überblick über unsere individuelle Situation.

Bei uns wird das Verzeichnis übrigens als Arbeitsanweisung in unser internes Qualitätsmanagement-System eingearbeitet, so dass es nicht nur eine "tote" Dokumentation ist, die nach dem 25. Mai in der Schublade verschwindet, sondern weiterhin bei uns präsent bleibt und weiterentwickelt werden kann.

 


Hat dir dieser Beitrag gefallen oder geholfen ein Problem zu lösen? Dann abonniere jetzt unseren Grips-Letter. Damit bekommst du viele weitere Tipps und Infos, kostenlos frei Haus.


Kategorien: Recht & Sicher | Schlagworte: DSGVO, Qualitätsmanagement

Beitrag kommentieren

Wie alle anderen Websites verwendet auch unsere Cookies. Wenn du unsere Website verwendest, stimmst du dem zu.

Mehr Infos

Folgende Cookies zulassen:

Einverstanden!

Welche Cookies werden gesetzt?

Notwendig
PHPSESSID Behält die Einstellungen der Seite des Benutzers bei allen Seitenanfragen bei.
robin_marketing_popup Sorgt dafür, dass das Marketing-Popup nicht bei jedem Seitenwechsel erneut aufpoppt.
dwa_cookie_noticed Speichert die Einwilligungen zu den Cookies für ein Jahr. Dieser Cookie kann zurückgesetzt werden, wenn die Einwilligung entzogen werden soll.
Statistik
_pk_id Matomo - Cookie zum Speichern einiger Details über den Benutzer, z. B. der eindeutigen Besucher-ID (anonymisiert), notwendig zum Zählen wiederkehrender Besucher. - Speicherdauer 13 Monate
_pk_ses Matomo-Cookie zur Speicherung Sessionabhängiger Nutzerdaten - Speicherdauer 30 Minuten