Das DSGVO Verfahrensverzeichnis
Jedes Unternehmen, jede Arztpraxis, jeder Verein, der regelmäßig personenbezogene Daten verarbeitet, muss den Umgang mit diesen Daten dokumentieren, nicht erst mit Wirkung der neuen DSGVO. Für diese Dokumentation gibt es das Verfahrensverzeichnis, oder auch Verzeichnis von Verarbeitungstätigkeiten genannt.
Das Verzeichnis von Verarbeitungstätigkeiten dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen dabei, gemäß Art. 5 Abs. 2 der DSGVO nachzuweisen, dass und wie die Vorgaben der DSGVO eingehalten werden (Rechenschaftspflicht).
Es stellt somit ein wesentliches Element für die Etablierung eines umfassenden Datenschutz- und Informationssicherheits-Managementsystems (DSMS) dar. Dieses Verzeichnis betrifft sämtliche ganz oder teilweise automatisierte Verarbeitungen sowie nichtautomatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (also auf Papier oder elektronisch!).
Für jeden wiederkehrenden Prozess der Verarbeitungstätigkeit ist eine entsprechende Beschreibung nach Maßgabe des Art. 30 DS-GVO anzufertigen (z.B. Kundenkartei, E-Mail, Banksoftware). Als Verarbeitungstätigkeit wird im Allgemeinen ein Geschäftsprozess auf geeignetem Abstraktionsniveau verstanden. Es ist ein strenger Maßstab anzulegen, so dass jeder neue Zweck der Verarbeitung eine eigene Verarbeitungstätigkeit darstellt. Bei einer nur geringen Zweckänderung muss geprüft werden, ob eine bereits bestehende Beschreibung einer Verarbeitungstätigkeit angepasst werden muss oder ob eine vollständig neue Beschreibung anzufertigen ist.
Die Summe der Einzelbeiträge ergibt das Verzeichnis von Verarbeitungstätigkeiten. Jeder Verantwortliche und Auftragsverarbeiter ist verpflichtet, mit der Aufsichtsbehörde zusammenzuarbeiten und dieser auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die einzelnen Verarbeitungsvorgänge bzw. –verfahren anhand dieser Verzeichnisse geprüft und bewertet werden können.
Das hört sich zunächst komplizierter an, als es tatsächlich ist. Man beginnt einfach mit einer kurzen Analyse der Verarbeitungen personenbezogener Daten und dokumentiert diese dann auf entsprechenden Formularen. Für die Dokumentation gibt es auch schon vorgefertigte Formulare des LDI-NRW, die Sie auch gerne bei uns anfordern können.
Am Ende des Artikels fiinden Sie ein Beispiel für die Verfahrensbeschreibung beim Einsatz einer ERP-Software
Sollten Sie keine Zeit und Muße für dieses Procedere haben, dann führen wir dies gerne für Sie durch. Rufen Sie uns hierzu an und fordern Sie ein unverbindliches Angebot für die Umsetzung an. Wählen Sie unsere Serviceline: 0221 820 089 0 oder schreiben Sie eine E-Mail an: dsb@engels-fagel.de