You are viewing this post: The Best verarbeitungsverzeichnis muster excel New Update
Neues Update zum Thema verarbeitungsverzeichnis muster excel
Table of Contents
Verzeichnis von Verarbeitungstätigkeiten – Tipps zur Umsetzung Update
22/02/2022 · Das Verarbeitungsverzeichnis dient insgesamt dazu, gegenüber der Aufsichtsbehörde nachzuweisen, dass datenschutzrechtliche Maßnahmen im Unternehmen eingeführt und beachtet werden. Diese zusätzlichen Informationen können weitere Prüfungen und Fragen der Aufsichtsbehörden vorweg erledigen. Beispiele und Muster für …
Read more
technisches Papier
Im Tagesgeschäft ist das Verzeichnis der Verarbeitungstätigkeiten oft nur dann ein Thema, wenn sich etwas im Unternehmen verändert – neue Software, neue Mitarbeiter, neue Prozesse
Oder wenn unerwartet eine Anfrage des Betroffenen hereinflattert
Aber auch wenn nichts dringend ist, sollten die Dokumentationspflichten der DSGVO gerade in den ruhigen Minuten thematisiert werden
Das Verzeichnis der Verarbeitungstätigkeiten (VVT) nach der DSGVO
Eine der zentralsten Dokumentationspflichten aus der DSGVO stammt aus Art
30 und schreibt vor, dass ein „Verzeichnis der Verarbeitungstätigkeiten“ (VVT) geführt werden muss, dies wird meist „Verarbeitungsverzeichnis“ genannt
Darin müssen alle Datenverarbeitungen aufgeführt werden, die personenbezogene Daten betreffen
Es dient zunächst der Dokumentation und internen Transparenz
Wenn Sie wissen, welche Verarbeitungen im eigenen Unternehmen stattfinden, können Sie schnell und präzise auf Anfragen von Betroffenen reagieren
Auch das Verarbeitungsverzeichnis ist der Aufsichtsbehörde auf Verlangen vorzulegen
Es wird davon ausgegangen, dass es schon lange existiert und kontinuierlich gepflegt wird
Eine lange Frist für die Vorlage ist seitens der Behörde nicht zu erwarten
Wer braucht ein Verarbeitungsverzeichnis?
Jeder für die Datenverarbeitung Verantwortliche und jeder Datenverarbeiter benötigt das Verarbeitungsverzeichnis
Überall dort, wo personenbezogene Daten (die DSGVO gilt nur dafür) verarbeitet werden, muss diese Verarbeitung auch dokumentiert werden
Die Erhebung, Speicherung und Nutzung von Daten von Mitarbeitern eines Unternehmens ist eine solche Datenverarbeitung, ebenso wie Daten in einer Kundenakte
Auch wer eine Website betreibt, dort IP-Adressen von Website-Besuchern erfasst oder E-Mail-Adressen über ein Kontaktformular erhält, verarbeitet Daten
Alle Datenverarbeitungen werden dokumentiert und zusammengefasst: Das Verarbeitungsverzeichnis
Die Verpflichtung gilt wie alle DSGVO-Verpflichtungen für alle Verantwortlichen und Auftragsverarbeiter mit Sitz oder Niederlassung in Europa sowie für Verantwortliche und Auftragsverarbeiter, die Daten verarbeiten, auf die die DSGVO Anwendung findet
Hat der Verantwortliche oder Auftragsverarbeiter seinen Sitz außerhalb der EU, muss er einen Vertreter in der EU benennen, der dann für die Pflichten aus der DSGVO – einschließlich der Pflicht zur Führung des Verarbeitungsverzeichnisses – verantwortlich ist
Ausnahmen: Wer muss kein Verzeichnis der zu führenden Verarbeitungstätigkeiten führen?
In Kunst
30 Absatz 5 DSGVO gibt es Ausnahmen für diejenigen, die kein Verzeichnis der Verarbeitungstätigkeiten führen müssen – aber alle, die sich schon beim Überfliegen darüber freuen, dass die Pflicht nicht greift, wenn „weniger als 250 Beschäftigte“ in dem arbeiten Unternehmen ist leider zu früh, um sich zu freuen
Dies gilt nur, wenn die Verarbeitung „nur gelegentlich“ erfolgt und Daten aus den besonderen Kategorien des Art
9 Abs
1 DSGVO werden niemals verarbeitet (z
B
Gesundheitsdaten)
Aber was bedeutet „gelegentlich“ in diesem Zusammenhang? Die „nicht nur gelegentliche“ Verarbeitung von Daten ist in der heutigen Zeit der absolute Normalfall
Handwerker haben Websites, handhaben Kundentelefonnummern auf Smartphones, selbst kleine Produktionsbetriebe haben ihre Mitarbeiterdaten mittlerweile in elektronischen Akten und wickeln ihre Geschäfte per E-Mail ab
All dies ist mehr als nur eine „gelegentliche“ Datenverarbeitung, sodass auch in kleinen Unternehmen regelmäßig eine VVT erstellt werden muss
Jeder, der es mit besonders geschützten Daten zu tun hat, etwa ein Pflegedienst, der Gesundheitsdaten speichert, oder eine kleine Beratungsstelle, die etwa in Diskriminierungsfällen auch schnell Informationen zur ethnischen Herkunft oder Weltanschauung verarbeitet
Werden besondere Kategorien von Daten verarbeitet, muss immer ein Verarbeitungsverzeichnis erstellt werden, unabhängig davon, wie „gelegentlich“ eine Verarbeitung erfolgt oder wie viele Mitarbeiter es gibt
Wer führt das Verarbeitungsverzeichnis im Unternehmen?
Für die Pflege und Erstellung des Verarbeitungsverzeichnisses ist der Verantwortliche persönlich verantwortlich
Dies ist regelmäßig der Inhaber oder gesetzliche Vertreter eines Unternehmens
Bei Unternehmen außerhalb der EU ist dies deren benannter Vertreter in der EU
Wie bei allen Datenschutzfragen sollte natürlich der betriebliche Datenschutzbeauftragte mit Rat und Tat zur Seite stehen
Die Verantwortung liegt jedoch bei der Geschäftsführung, also dem Geschäftsführer oder Inhaber
Die Inhalte des Verzeichnisses, also welche Daten in den einzelnen Abteilungen eines Unternehmens wie verarbeitet werden, müssen von den einzelnen Abteilungen bereitgestellt werden
Außerhalb der Abteilung fehlt es oft einfach an Detailkenntnissen, wie hier gearbeitet wird
Das Bearbeitungsverzeichnis ist also ein To-do für das gesamte Unternehmen
Was gehört in ein Verzeichnis der Verarbeitungstätigkeiten?
Der Inhalt des Verzeichnisses der Verarbeitungstätigkeiten ist in Art
30 Abs
1 dargestellt, hier sind insbesondere die Pflichtangaben aufgeführt
Die VVT ist „schriftlich“ zu führen, es reicht aber auch eine digitale Version
Wie detailliert das Verarbeitungsverzeichnis sein muss, hängt davon ab, wie komplex das Unternehmen ist und wie viele verschiedene Verarbeitungsarten es gibt
Wo bereits Konzepte und Prozessbeschreibungen (z
B
für TOMs) vorhanden sind, müssen diese nicht dupliziert werden, sondern können beigefügt oder referenziert werden
Die Pflichtangaben sind:
Namen und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten
Verarbeitungszwecke,
Beschreibung der Kategorien betroffener Personen und betroffener Daten,
Kategorien von Empfängern von Datenübermittlungen
Offenlegung aller Datenübermittlungen in Drittländer (außerhalb der EU) einschließlich aller dafür erforderlichen Garantien
Soweit möglich, die vorgesehenen Löschfristen für die Daten
Beschreibung der allgemeinen technischen und organisatorischen Maßnahmen
Was sind Verarbeitungstätigkeiten im Sinne der DSGVO? Die Verarbeitungstätigkeit unterscheidet sich von der Datenverarbeitung, sie ist weiter gefasst: Als Verarbeitungstätigkeit gilt jede Datenverarbeitung, die zu einem bestimmten Zweck erfolgt
Bei einer sehr kleinen Organisationseinheit kann dies auch bedeuten, dass beispielsweise die Personalabteilung als eine Verarbeitungstätigkeit zusammengefasst werden kann
In größeren Unternehmen sind damit meist einzelne Vorgänge gemeint, die zu einem bestimmten Zweck stattfinden, wobei auch mehrere Datenverarbeitungen stattfinden können
Verarbeitungsliste: Tipps zur Umsetzung
Liegt bisher keine datenschutzrechtliche Dokumentation vor, muss zunächst festgestellt werden, in welchen Fällen personenbezogene Daten beispielsweise von Kunden, Lieferanten oder Mitarbeitern erhoben und verarbeitet werden
Als erster Anhaltspunkt sollen hier alle im Unternehmen genutzten Anwendungen und Tools aufgelistet werden, in denen personenbezogene Daten gespeichert werden
Dies hilft auch, die Datenflüsse im Unternehmen zu ermitteln (Datenmapping)
Wenn Sie besonders viele miteinander verknüpfte Datenflüsse haben, können Sie diese zur besseren Übersicht in Datenflussdiagrammen darstellen
Diese Informationen dienen dann auch als Grundlage für das Verzeichnis der Verarbeitungstätigkeiten
In der Praxis wird dies der Übersichtlichkeit halber meist aus mehreren Verzeichnissen für verschiedene Verarbeitungstätigkeiten bestehen (z
B
Zeiterfassungssystem, CRM-System, Personalinformationssystem).
Wie detailliert das Ganze sein muss, ist umstritten
In der Praxis haben sehr kleine Unternehmen oft nur bis zu 10 Einträge im Verarbeitungsverzeichnis
In mittelständischen Unternehmen können das schnell 30 oder 40 Verarbeitungstätigkeiten umfassen
Das hängt auch davon ab, wie viele Prozesse digitalisiert werden und ob viele verschiedene Tools zum Einsatz kommen
In sehr großen Unternehmen sind 100 oder mehr Einträge möglich
Allerdings ist hier aufgrund des großen Angriffsfeldes für Beschwerden und Kontrollen durch Aufsichtsbehörden eine gute Dokumentation besonders wichtig
Für einen vertiefenden Einstieg bieten sich die GDD-Praxishilfe und der Bitkom-Leitfaden zum Verzeichnis der Verarbeitungstätigkeiten an
■ Was sind die Empfehlungen der Datenschutzaufsichtsbehörden?
Verarbeitet das Unternehmen besonders kritische oder besonders große Datenmengen, sollte neben der bloßen Auflistung der Verarbeitungstätigkeiten auch eine Dokumentation der internen Rechtmäßigkeitsprüfungen hinsichtlich der Verarbeitungstätigkeiten in Erwägung gezogen werden
Es wurden auch andere Schutzmaßnahmen für die betroffenen Datenverarbeitungstätigkeiten getroffen
Insgesamt dient das Verarbeitungsverzeichnis dazu, gegenüber der Aufsichtsbehörde nachzuweisen, dass im Unternehmen Datenschutzmaßnahmen eingeführt und eingehalten wurden
Diese zusätzlichen Informationen können weiteren Prüfungen und Fragen der Aufsichtsbehörden vorgreifen
Beispiele und Vorlagen für die Bearbeitung von Datensätzen
Die Pflichtangaben, die für jede Verarbeitungstätigkeit im VVT aufgeführt werden müssen, lassen sich nur umständlich aus dem Text der Verordnung ablesen
Mit einer Mustervorlage für ein Verzeichnis der Verarbeitungstätigkeiten lässt sich das Ganze auch von Verantwortlichen ohne große Rechtsabteilung managen
Auch wer als Auftragsverarbeiter tätig ist, muss etwas andere Pflichtangaben machen als ein Verantwortlicher
Es gibt eine Vielzahl von Vorlagen von Aufsichtsbehörden, darunter kostenlose Vorlagen für Vereine, Handwerksbetriebe, Arztpraxen, Onlineshops, Autowerkstätten, Beherbergungsbetriebe wie Hotels oder Ferienwohnungen, aber auch für WEG-Verwaltungen
Bearbeitung erstellen und pflegen Verzeichnis mit Software
Eine Alternative zu den Vorlagen, die auch auf Papier und handschriftlich ausgefüllt werden können, ist eine Datenschutzmanagement-Software
Auch bei diesen werden die Verarbeitungstätigkeiten nach den Pflichtangaben eingetragen, hier besteht aber auch die Möglichkeit, Textbausteine zu verwenden
Die digitale Struktur erleichtert das Suchen, Gruppieren und Sortieren gerade bei längeren Bearbeitungsverzeichnissen
Wird im Unternehmen überwiegend digital gearbeitet, ist diese Handhabung unter Umständen auch einfacher zu handhaben als Eingaben in einem PDF, Excel-Sheet oder Word-Dokument
Bußgelder für unzureichende oder fehlende Verarbeitungsnachweise
Wird auf Verlangen einer Aufsichtsbehörde kein Verarbeitungsverzeichnis vorgelegt, droht ein Bußgeld, Art
83 Abs
4a DSGVO
Der rechtliche Rahmen der Bußgelder ist wie der übliche Rahmen der DSGVO: Bis zu 10 Millionen Euro oder bis zu 2 % des Jahresumsatzes für Unternehmen sind möglich
Im September 2021 verhängte die italienische Datenschutzaufsichtsbehörde ein Bußgeld in Höhe von 800.000 Euro, weil die mit der Bereitstellung von Parkuhren betrauten Betreibergesellschaften völlig chaotische Datenflüsse hatten und zudem keine Verarbeitungsverzeichnisse vorlegen konnten
Schritt für Schritt mit der Auflistung der Verarbeitungstätigkeiten beginnen Schritt
Das Verarbeitungsregister klingt zunächst nach einer Mammutaufgabe, aber wenn Sie sich einmal damit beschäftigt haben, werden Sie auch diesen einschüchternden Teil der Dokumentationspflicht bewältigen können
Jeder weg beginnt mit dem ersten Schritt
Sich als stetiger Gang durch alle Abteilungen an das Bearbeitungsregister heranzutasten, führt eher zum Erfolg, als im Ernstfall hektisch sprinten zu müssen, nachdem die Aufsichtsbehörde bereits mit Bußgeldern droht
Ein Datenschutzmanagementsystem hilft hier sehr, um richtig zu strukturieren und einen sauberen Rahmen zu haben
Wer keine verwenden kann oder will, kann auch die Vorlagen nutzen, um die Informationsflut in den Griff zu bekommen
Einmal angelegt, ist die weitere Pflege bei Veränderungen im Unternehmen kein großes Thema mehr – und alle späteren Datenschutzthemen sind einfacher zu handhaben!
DSGVO erklärt Folge 16: Muster Verarbeitungsverzeichnis Art 30 DSGVO Update
Weitere hilfreiche Informationen im Thema anzeigen verarbeitungsverzeichnis muster excel
Mit Hilfe welcher Dokumente erstelle ich das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO? Unser Video gibt Tipps und Hinweise für die praktische Umsetzung.
In unserer mehrteiligen Serie über die Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 DSGVO heute das Thema \”Strukturierung des Verzeichnisses der Verarbeitungstätigkeiten\” noch einmal, jetzt aber mit konkreten Beispielen.
In \”DSGVO erklärt\” erhalten Sie jeden Mittwoch Praxistipps für die Umsetzung der gesetzlichen Anforderungen in Ihrem Unternehmen oder Ihrer Behörde.
verarbeitungsverzeichnis muster excel Ähnliche Bilder im Thema
Sie können weitere Informationen zum Thema anzeigen verarbeitungsverzeichnis muster excel
Updating
Schlüsselwörter nach denen Benutzer zum Thema gesucht habenverarbeitungsverzeichnis muster excel
Updating
Danke dass Sie sich dieses Thema angesehen haben verarbeitungsverzeichnis muster excel
Articles compiled by Msi-thailand.com. See more articles in category: Blog