Zum Inhalt springen
Startseite » Unser Blog » Datenschutz » Verarbeitung nach DSGVO

Verarbeitung nach DSGVO

Nachhaltigkeit SAQ 5.0

Bei Buchung von SAQ 5.0 Assessment Questionaire - erhalten Sie Rabatt auf unser Hinweisgebersystem

Verarbeitung nach DSGVO
Verarbeitung nach DSGVO

Verarbeitung nach DSGVO​

Verarbeitung nach DSGVO bedeutet, mit oder ohne Hilfe eines automatisierter Verfahrens ausgeführten Vorgang der im Zusammenhang mit personenbezogenen Daten steht. Beispielsweise das Erheben, das Erfassen, die Organisation, das ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung oder Verbreitung. Oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten.

Die Datenschutz-Grundverordnung (DSGVO) regelt europaweit, wie personenbezogene Daten verarbeitet werden dürfen. Ein zentrales Element dieser Verordnung ist Art. 5 DSGVO, der die Grundsätze für die Verarbeitung personenbezogener Daten festlegt. Für Unternehmen, Institutionen und Organisationen ist es entscheidend, diese Vorgaben im Alltag umzusetzen, um rechtliche Risiken zu minimieren und das Vertrauen von Kunden, Geschäftspartnern und Mitarbeitern zu erhalten.

Verfahrensverzeichnis nach BDSG​

Wer im Bundesdatenschutzgesetz nach den Begriff Verfahrensverzeichnis sucht, wird nicht so schnell fündig. Das BDSG unterscheidet zwischen einen internen und externen Verzeichnis (§ 4g Abs. 2 // 5.4e BDSG). Das öffentliche (externe) Verzeichnis sollte auf der Webseite veröffentlicht werden – ist seit der Einführung der DSGVO aber nicht mehr zwingend erforderlich. Vorteil: Dadurch dass es für jedermann sichtbar ist, werden auch keine Anfragen gestellt werden müssen. Das spart Zeit und Kosten.

Grundsätze des Art. 5 DSGVO im Überblick

  1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz
    • Nach Art. 5 Abs. 1 lit. a DSGVO müssen personenbezogene Daten rechtmäßig, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Das bedeutet, dass es immer eine gültige Rechtsgrundlage (z. B. Einwilligung, Vertragserfüllung oder berechtigtes Interesse) geben muss. Gleichzeitig ist für die Betroffenen ersichtlich zu machen, wofür ihre Daten verwendet werden und wie lange die Speicherung dauert.
  2. Zweckbindung
    • Die DSGVO verlangt, dass personenbezogene Daten nur für klar festgelegte und legitime Zwecke erhoben werden (Art. 5 Abs. 1 lit. b). Eine Weiterverarbeitung zu anderen Zwecken ist nur dann erlaubt, wenn diese mit dem ursprünglichen Zweck vereinbar sind oder eine neue Rechtsgrundlage vorliegt. Ziel ist es, Missbrauch und Zweckentfremdung von Daten zu verhindern.
  3. Datenminimierung
    • Der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c) besagt, dass nur solche Daten erhoben werden dürfen, die für den jeweiligen Verwendungszweck tatsächlich benötigt werden. Durch konsequente Anwendung dieses Prinzips reduzieren Unternehmen ihr Risikopotenzial, denn je weniger Daten gespeichert sind, desto geringer ist die Angriffsfläche für potenzielle Datenlecks oder Missbrauch.
  4. Richtigkeit
    • Nach Art. 5 Abs. 1 lit. d müssen die verarbeiteten Daten sachlich richtig und auf dem neuesten Stand sein. Unternehmen sollten daher Routinen oder technische Prozesse einführen, um falsche oder veraltete Datensätze zu erkennen und zu korrigieren. Dies trägt dazu bei, dass Entscheidungen auf einer validen Datenbasis getroffen werden.
  5. Speicherbegrenzung
    • Der Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) fordert, dass personenbezogene Daten nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Nicht mehr benötigte Daten sind konsequent zu löschen oder zu anonymisieren. Diese Maßnahme verringert das Risiko von Verstößen und reduziert den organisatorischen Aufwand bei der Datenpflege.
  6. Integrität und Vertraulichkeit
    • Art. 5 Abs. 1 lit. f verpflichtet Verantwortliche, personenbezogene Daten gegen unbefugte oder unrechtmäßige Verarbeitung sowie gegen unbeabsichtigten Verlust, Zerstörung oder Schädigung zu schützen. Dazu gehören technische und organisatorische Maßnahmen (TOM) wie Zugangsbeschränkungen, Verschlüsselungen oder regelmäßige Sicherheitsüberprüfungen.
  7. Rechenschaftspflicht
    • Schließlich schreibt die Rechenschaftspflicht (Art. 5 Abs. 2) vor, dass Unternehmen jederzeit nachweisen können müssen, wie sie die Vorgaben der DSGVO erfüllen. Das bedeutet, dass Prozesse und Maßnahmen lückenlos dokumentiert werden sollten. Ein Verzeichnis von Verarbeitungstätigkeiten, Schulungen der Mitarbeiter und regelmäßige interne oder externe Audits helfen dabei, dieser Pflicht nachzukommen.

Inhalt Verfahrensverzeichnis

Datenschutzbeauftragter Extern
Datenschutzbeauftragter Extern
  • Name oder Firmierung, sowie Anschrift der verantwortlichen Stelle
  • Gesetzliche Vertreter, Benennung Datenschutzbeauftragten
  • Zweck der Datenerhebung
  • Betroffene Personengruppen
  • Erhobene Datenkategorien
  • Empfänger oder Kategorien von Empfänger der Daten
  • Angaben zu den Löschfristen
  • Angaben zu Übermittlung an Drittstaaten

Aufbau Verarbeitungsverzeichnis

Ein Verzeichnis von Verarbeitungstätigkeiten (manchmal auch „Verarbeitungsverzeichnis“ oder „Verzeichnis der Verarbeitungstätigkeiten“ genannt) ist gemäß Artikel 30 DSGVO für viele Unternehmen und Organisationen verpflichtend. Es dient dazu, alle relevanten Informationen über die Verarbeitung personenbezogener Daten zusammenzufassen und auf Anfrage den Aufsichtsbehörden vorlegen zu können. Im Folgenden findest du eine Übersicht, wie ein Verarbeitungsverzeichnis üblicherweise aufgebaut ist:

  1. Verantwortliche Stelle und Kontaktdaten
    • Name und Kontaktdaten des Verantwortlichen (z. B. Name des Unternehmens, Anschrift, E-Mail, Telefon).
    • Falls vorhanden: Name und Kontaktdaten des Datenschutzbeauftragten.
    • Diese Angaben stellen klar, wer für die Datenverarbeitung verantwortlich ist und wer bei Fragen zum Datenschutz kontaktiert werden kann.
  2. Zweck(e) der Verarbeitung
    • Beschreibung der Zwecke, für die die Daten erhoben und verarbeitet werden.Beispiel: Personalverwaltung, Kundenbetreuung, Marketing, Buchhaltung, etc.
    • Hier wird aufgeführt, warum und wofür personenbezogene Daten verarbeitet werden. Die Nennung konkreter und eindeutiger Zwecke ist entscheidend, um den Grundsatz der Zweckbindung (Art. 5 DSGVO) zu wahren.
  3. Kategorien betroffener Personen und Daten
    • Kategorien betroffener Personen: Zum Beispiel Kunden, Mitarbeiter, Lieferanten, Website-Besucher.
    • Kategorien personenbezogener Daten: Welche Daten genau werden verarbeitet? (Beispielsweise Kontaktdaten, Zahlungsinformationen, IP-Adressen oder Gesundheitsdaten.)
    • Diese Unterteilung ermöglicht einen guten Überblick darüber, welche Art von personenbezogenen Daten wo und von wem gespeichert bzw. verarbeitet wird.
  4. Rechtsgrundlagen
    • Angabe der Rechtsgrundlage (Art. 6 DSGVO) für die Datenverarbeitung:
    • Einwilligung (Art. 6 Abs. 1 lit. a)
    • Vertragserfüllung (lit. b)
    • Rechtliche Verpflichtung (lit. c)
    • Lebenswichtige Interessen (lit. d)
    • Wahrnehmung einer Aufgabe im öffentlichen Interesse (lit. e)
    • Berechtigtes Interesse (lit. f)
    • Die Angabe der jeweiligen Rechtsgrundlage hilft dabei, die Rechtmäßigkeit der Verarbeitung transparent darzustellen.
  5. Empfänger oder Kategorien von Empfängern
    • Interne Empfänger: Abteilungen oder Teams, die die Daten erhalten (z. B. Personalabteilung, Buchhaltung).
    • Externe Empfänger: Dienstleister, Behörden, sonstige Partner (z. B. Steuerberater, Hoster, Zahlungsdienstleister).
    • Wer erhält die Daten und zu welchem Zweck? Diese Frage soll hier klar beantwortet werden, um die Datenflüsse im Unternehmen nachweisen zu können.
  6. Übermittlung in Drittländer (falls zutreffend)
    • Falls personenbezogene Daten in Drittländer (außerhalb der EU bzw. des EWR) übermittelt werden, müssen hier das Land, die Rechtsgrundlage und gegebenenfalls bestehende Garantien (z. B. Standardvertragsklauseln) aufgeführt werden.
    • Diese Angaben sind wichtig, um die Einhaltung der DSGVO und den Schutz der Daten auch im internationalen Kontext sicherzustellen.
  7. Aufbewahrungsfristen
    • Angabe darüber, wie lange die personenbezogenen Daten gespeichert werden oder nach welchen Kriterien sich die Speicherdauer bestimmt.
    • Der Grundsatz der Speicherbegrenzung (Art. 5 DSGVO) verlangt, dass Daten nur so lange vorgehalten werden, wie sie für den jeweiligen Zweck benötigt werden.
  8. Technische und organisatorische Maßnahmen (TOM)
    • Kurze Beschreibung der wichtigsten Sicherheitsmaßnahmen, um die Vertraulichkeit und Integrität der Daten zu gewährleisten (z. B. Zugriffsrechte, Verschlüsselung, sichere Passwörter, Firewalls).
    • Diese Informationen zeigen, wie das Unternehmen die Anforderungen an den Schutz personenbezogener Daten umsetzt.
  9. Besonderheiten oder Anmerkungen
    • Optional können an dieser Stelle zusätzliche Hinweise aufgenommen werden, die für den Datenschutz relevant sind (z. B. Verfahrensanweisungen, interne Richtlinien, Referenzen auf Prozessdokumentationen).

Auszug Verfahrensverzeichnis

Nr.VerarbeitungstätigkeitZweckBetroffene PersonenKategorien von DatenRechtsgrundlageEmpfängerDrittland?SpeicherdauerTOM (Technische und Organisatorische Maßnahmen)
1PersonalverwaltungLohn- und GehaltsabrechnungMitarbeiterKontaktdaten, Bankdaten, Steuerdaten, GesundheitsdatenArt. 6 Abs. 1 lit. b (Vertragserfüllung)Finanzamt, SteuerberaterNein10 Jahre nach AusscheidenZugriffsbeschränkungen, Passwortrichtlinien, verschlüsselter Datentransfer
2KundenbetreuungAngebotserstellung, AuftragsabwicklungKundenKontaktdaten, Bestelldaten, ZahlungsinfosArt. 6 Abs. 1 lit. b (Vertragserfüllung)Buchhaltung, externer HosterNein6 Jahre nach Ende des VertragsVerschlüsselung, Rollen- und Rechtekonzept
3NewsletterversandMarketing, KundenbindungNewsletter-AbonnentenE-Mail-Adresse, ggf. NameArt. 6 Abs. 1 lit. a (Einwilligung)E-Mail-DienstleisterJa (USA)Bis Widerruf durch KundenAuftragsverarbeitungsvertrag, Standardvertragsklauseln
Das Verarbeitungsverzeichnis gibt einen umfassenden Überblick über alle relevanten Datenverarbeitungsprozesse im Unternehmen. Hinweis: Die Tabelle sollte noch erweitert werden ob eine Datenschutzfolgeabschätzung notwendig ist (Risikobetrachtung).

Unterschiede BDSG und DSGVO

Im Gegensatz zur BDSG führt die DSGVO existenzbedrohende Strafen für alle ein, die ihre Pflicht nicht nachkommen, ein solches Verzeichnis zu führen und/oder bereitstellen. Art. 30 DSGVO zählt die Punkte auf, die in einem Verarbeitungsverzeichnis enthalten sein müssen.

Dies sind im Einzelnen Name und Kontaktdaten des Betriebs, Name und Kontaktdaten des Datenschutzbeauftragten (DSB), Zweck der Verarbeitung, Beschreibung der Kategorien betroffener Personen z.B. Kunden, Lieferanten, Mitarbeiter etc., Beschreibung der Kategorien personenbezogener Daten (pb) z.B. Gesundheitsdaten, Anschrift, Adressdaten, Steuernummer, Krankenkasse etc. und Kategorien von Empfänger z.B. Weitergabe von Daten an Dritten z.B. Creditreform, Krankenkasse, Auftragsverarbeiter etc..

Die DSGVO unterscheidet nicht zwischen einen internen und externen Verarbeitungsverzeichnis. Das Verarbeitungsverzeichnis muss aber allen Aufsichtsbehörden bei Anfrage offengelegt werden. Je nach Unternehmen kann das Verzeichnis für Verarbeitungstätigkeiten sehr umfangreich sein und sollte daher sorgfältig und transparent sowie vollständig sein.

Zusammenfassung

  • Ziel
  • Ein vollständiges, aktuelles und formal korrektes Verfahrensverzeichnis, das alle Datenverarbeitungen im Unternehmen abbildet und den rechtlichen Vorgaben (Art. 30 DSGVO, BDSG) entspricht.
  • Vorgehen
  • Verantwortlichkeiten definieren und rechtliche Vorgaben klären.
  • Template erstellen und strukturieren.
  • Daten erfassen, validieren und in einer Master-Version zusammenführen.
  • Rechtliche und technische Anforderungen prüfen und ggf. anpassen.
  • Finale Freigabe und laufende Aktualisierung sicherstellen.

Wichtig: Das Verzeichnis von Verarbeitungstätigkeiten ist kein einmaliges Projekt, sondern ein dynamisches Dokument, das sich mit den Geschäftsprozessen weiterentwickelt.

Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | IATF 16949 Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Dozent IMB Integrations Modell Bayreuth | Mitglied DGQ - Deutsche Gesellschaft für Qualität | Lead Auditor ISO 14001 u. ISO 45001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel

Cookie Consent mit Real Cookie Banner