Home / Insight / DSGVO / Verarbeitungsverzeichnis / Anforderungen

Verarbeitungsverzeichnis

Erstellung eines Verarbeitungsverzeichnisses 

Die Übergangszeit für die Erfüllung der Anforderungen der DSGVO endet am 25. Mai 2018. Ab diesem Zeitpunkt müssen die Verarbeitungen den Anforderungen der DSGVO genügen. Die erste Herausforderung und daher der erste Schritt zu einer datenschutzrechtlich konformen Compliancekette stellt dabei die Erstellung des Verarbeitungsverzeichnisses dar.

Dieses Verarbeitungsverzeichnis soll der Aufsichtsbehörde die Möglichkeit bieten, die betreffenden Verarbeitungsvorgänge zu kontrollieren. Dieses hat zur Konsequenz, dass in diesem Verzeichnis alle Datenverarbeitungen in Ihrem Unternehmen beschrieben werden müssen.  Folglich ist es Ihr Ziel,  alle Datenverarbeitungsprozesse zu identifizieren, diese entsprechend schriftlich oder elektronisch zu dokumentieren, um sie dann kompakt in einem Verzeichnis darzustellen.

Anforderungen

Die Anforderungen an Ihr Unternehmen auf einen Blick

Dynamisches Verzeichnis 
Das Verarbeitungsverzeichnis ist „dynamisch“. Das bedeutet, dass jede identifizierte bzw. definierte Datenverarbeitung in regelmäßigen Abständen darauf hin zu überprüfen ist, ob die Prozesse auch genauso ablaufen, wie ursprünglich festgestellt und dokumentiert. Wenn sich also Verarbeitungstätigkeiten z.B. auf Grund geänderter Anforderungen ändern, sind diese Änderungen auch im Verzeichnis darzustellen. Es ist daher empfehlenswert, ca. einmal jährlich die zuständigen Auskunftspersonen der betroffenen Abteilungen zu konsultieren.

Historie
Ihr Unternehmen trifft die Pflicht (jederzeit) nachweisen zu können, dass die Datenverarbeitung (zu jeder Zeit) rechtskonform erfolgt. Diese Anforderung hat mithin zur Konsequenz, dass dieses Verzeichnis eine zu aktualisierende Historie enthalten muss, um die Einhaltung der Vorgaben auch für einen zurückliegenden Zeitraum nachweisen zu können.

Ansprechpartner
Diesbezüglich sieht die DSGVO zwingend nur den oder die Datenverarbeiter („Verantwortlicher“) sowie deren Vertreter und – sofern vorhanden – den Datenschutzbeauftragten vor. Es erleichtert jedoch die Arbeit einer Aufsichtsbehörde und vermindert die Nachfragen bei einer Überprüfung, wenn zusätzlich zu den explizit geforderten Angaben zumindest die für die entsprechenden Verarbeitungstätigkeiten zuständigen Personen (zB HR-Leiter, IT-Leiter, etc.) im Verzeichnis angeführt werden.

Hauptansprechpartner

Foto vonJohannes Juranek
Johannes Juranek
Managing Partner
Wien
Ines Freitag