Dieser Beitrag ist Teil 3 von 6 der Artikel-Serie DSGVO-Tagebuch

Nachdem ich mich nun trotz Erste Hilfe Koffer für die DSGVO doch eine zeitlang ziemlich im Kreis gedreht habe, was den wirklich sinnvollen nächsten Schritt angeht, habe ich beschlossen, dass es für uns das Verzeichnis von Verarbeitungstätigkeiten ist. Ich verspreche mir davon unter anderem, dass ich einen besseren Überblick bekomme, wo genau bei uns noch Regelungen zu treffen oder eventuell sogar noch Veränderungen durchzuführen sind.

Das Verzeichnis von Verarbeitungstätigkeiten ist in der DSGVO für alle Personen, Einrichtungen usw. vorgeschrieben, die personenbezogene Daten verarbeiten. Zwar sind Unternehmen mit weniger als 250 Mitarbeitern theoretisch davon befreit, diese Befreiung gilt jedoch nur, wenn nur eine gelegentliche Verarbeitung erfolgt und auch keine besonderen Themen, wie Gesundheit oder Religion, dabei berührt werden. Alleine durch die Erstellung von Gehaltsabrechnungen für Mitarbeiter ist diese Sonderregelung bereits verletzt – werden hier doch sowohl Religionsthemen (Kirchensteuer) und Gesundheitsthemen (Krankheitstage) verarbeitet. Zudem erfolgt das nicht gelegentlich, sondern regelmäßig. Diese Sonderregelung kann man also in 99,99 % aller Fälle vernachlässigen.

Zum Glück befindet sich in meinem „Erste Hilfe Koffer“ ein Muster. Nach mehrmaligem Lesen und zusätzlichen Recherchen habe ich jedoch beschlossen, die Texte nicht einfach nur abzutippen, sondern die Prozesse so zu dokumentieren, dass wir es auch in zwei oder fünf Jahren noch verstehen, und dass es tatsächlich zu uns als Unternehmen passt.

Für das Verzeichnis ist zunächst zu überlegen, welche Arten von personenbezogenen Daten verarbeitet werden. Bei uns sind das natürlich die Daten der Mitarbeiter, außerdem Daten von Bewerbern, Interessenten, Kunden, Newsletter-Lesern sowie Dienstleistern und Lieferanten. Im nächsten Schritt überlegt man sich dann, welche Datenkategorien dafür jeweils zutreffend sind (meist sind das ja „nur“ Kontaktdaten), zu welchem Zweck man sie erhebt, also was man damit anfangen will, und wie lange sie zu diesem Zwecke aufgehoben werden müssen.

Ich finde, wenn man sich überwindet und selbst eine Liste dieser Daten erstellt, sieht man ganz schnell, wo noch Ansatzpunkte sind, wo vielleicht Informationspflichten noch nicht 100% erfüllt werden, wo Daten an Dritte weitergegeben werden und eventuell die vertragliche Vereinbarung dazu fehlt. Das Verzeichnis von Verarbeitungstätigkeiten ist also ein gutes Mittel, um sich einen Überblick über die individuelle Situation zu verschaffen und dann die Liste der nächsten Todos zu erstellen.

Ich bin mit unserem Verzeichnis natürlich noch nicht fertig. Das erstellt man nicht mal eben nebenbei an einem Nachmittag. Das ist die schlechte Nachricht. Die gute ist, wenn ich das erledigt habe, habe ich einen großen Teil unserer nötigen Todos erledigt. Und einen guten Überblick über unsere individuelle Situation.

Bei uns wird das Verzeichnis übrigens als Arbeitsanweisung in unser internes Qualitätsmanagement-System eingearbeitet, so dass es nicht nur eine „tote“ Dokumentation ist, die nach dem 25. Mai in der Schublade verschwindet, sondern weiterhin bei uns präsent bleibt und weiterentwickelt werden kann.

 

kostenloses eBook SEO für OXID eShop

10 SEO Tipps für Ihren OXID eShop - kostenlos

Suchmaschinen-Optimierung für OXID eShop ist kein Buch mit sieben Siegeln, wenn man einige Dinge weiß und beachtet. Wie Sie SEO optimal und mit geringem Aufwand in Ihrem Shop umsetzen, verrät Ihnen unser kostenloses eBook (PDF).

Hier können Sie das eBook direkt herunterladen.

 

Thema: Recht & Sicher | Stichworte: ,