Verarbeitungsverzeichnis

Verarbeitungsverzeichnis

Jedes Unternehmen muss grundsätzlich ein Verzeichnis der Verarbeitungstätigkeiten gem. Artikel 30 DSGVO führen.

Achtung Stolperstein! Anfangen ist angesagt – nicht eine komplizierte Matrix ausfüllen.

Das VVT soll einen Überblick geben und nicht den Schlaf rauben. Machen Sie es sich also im ersten Schritt nicht schwerer als es ist. Starten Sie mit den MINDESTANGABEN:

a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

b) die Zwecke der Verarbeitung;

c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;

d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;

e) (wenn Empfänger im Drittland, dann) Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;

f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien und oder die Speicherdauer g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherheit der Verarbeitung und zum Schutz der Daten gem. Art.32 (1) DSGVO.

Sie verarbeiten personenbezogene Daten „im Auftrag“? Dann ist auch hierzu ein Verzeichnis zu führen (Art.30 (2) DSGVO) mit folgenden MINDESTANGABEN:

a) den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten;

b) die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;

c) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;

d) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherheit der Verarbeitung und zum Schutz der Daten gem. Art.32 (1) DSGVO.

Sie bekommen von mir eine kostenfreie Beratungsstunde, wenn Sie mir sagen können, was Sie davon abhält, diese allgemeinen Angaben machen zu können.