Verarbeitung nach DSGVO

Verarbeitungsverzeichniss DSGVO | BDSG

Verarbeitung nach DSGVO

Verarbeitung nach DSGVO bedeutet, jeden mit oder ohne Hilfe eines automatisierter Verfahrens ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Verarbeitung nach DSGVO

Verfahrensverzeichnis nach BDSG

Wer im Bundesdatenschutzgesetz nach den Begriff Verfahrensverzeichnis sucht, wird nicht so schnell fündig. Das BDSG unterscheidet zwischen einen internen und externen Verzeichnis (§ 4g Abs. 2 // 5.4e BDSG).

Das öffentliche (externe) Verzeichnis sollte auf der Webseite veröffentlicht werden – ist seit der Einführung der DSGVO aber nicht mehr zwingend erforderlich. Vorteil: Dadurch dass es für jedermann sichtbar ist, werden auch keine Anfragen gestellt werden müssen. Das spart Zeit und Kosten.

Inhalt Verfahrensverzeichnis

  • Name oder Firmierung, sowie Anschrift der verantwortlichen Stelle
  • Gesetzliche Vertreter, Benennung Datenschutzbeauftragten
  • Zweck der Datenerhebung
  • Betroffene Personengruppen
  • Erhobene Datenkategorien
  • Empfänger oder Kategorien von Empfänger der Daten
  • Angaben zu den Löschfristen
  • Angaben zu Übermittlung an Drittstaaten

Verarbeitungsverzeichnisse DSGVO

Im Gegensatz zur BDSG führt die DSGVO existenzbedrohende Strafen für alle ein, die ihre Pflicht nicht nachkommen, ein solches Verzeichnis zu führen und/oder bereitstellen. Art. 30 DSGVO zählt die Punkte auf, die in einem Verarbeitungsverzeichnis enthalten sein müssen. Dies sind im Einzelnen Name und Kontaktdaten des Betriebs, Name und Kontaktdaten des Datenschutzbeauftragten (DSB), Zweck der Verarbeitung, Beschreibung der Kategorien betroffener Personen z.B. Kunden, Lieferanten, Mitarbeiter etc., Beschreibung der Kategorien personenbezogener Daten (pb) z.B. Gesundheitsdaten, Anschrift, Adressdaten, Steuernummer, Krankenkasse etc. und Kategorien von Empfänger z.B. Weitergabe von Daten an Dritten z.B. Creditreform, Krankenkasse, Auftragsverarbeiter etc.

Die DSGVO unterscheidet nicht zwischen einen internen und externen Verarbeitungsverzeichnis. Das Verarbeitungsverzeichnis muss aber allen Aufsichtsbehörden bei Anfrage offengelegt werden. Je nach Unternehmen kann das Verzeichnis für Verarbeitungstätigkeiten sehr umfangreich sein und sollte daher sorgfältig und transparent sowie vollständig sein.

Zusammenfassung

  • Die Verarbeitung personenbezogener Daten ist verboten, sofern sie nicht gesetzlich erlaubt oder von der Einwilligung des Betroffenen gedeckt ist, sie bedarf also immer einer Rechtsgrundlage
  • Daten dürfen nur zu dem Zweck verarbeitet werden und genutzt werden, zu dem sie erhoben wurden. Art und Umfang sowie Dauer sind hinsichtlich des Zwecks zu begrenzen
  • Betroffene haben einen Auskunftsanspruch hinsichtlich ihrerer erhobenen Daten
  • In der Anlage zum BDSG ist ein Maßnahmenkatalog festgeschrieben, der die Umsetzung der Vorschriften des BDSG gewährleisten soll