DSGVO: Diese 7 Angaben muss das Verzeichnis der Verarbeitungstätigkeiten enthalten

| Seit 25.05.2018 müssen Sie die Anforderungen aus der Datenschutzgrundverordnung (DSGVO) erfüllen. Eine zentrale Anforderung ist das Führen des Verarbeitungsverzeichnisses. WVV zeigt Ihnen anhand von Beispielen aus der Personal-und Kundenverwaltung, wie Sie ein solches Verzeichnis befüllen. |

Bestandteile des Verarbeitungsverzeichnisses

Nach Art. 30 DSGVO muss jeder Verantwortliche und gegebenenfalls sein Vertreter ein schriftliches Verzeichnis aller Verarbeitungstätigkeiten führen:

• 1. Namen und Kontaktdaten des Verantwortlichen (und ggf. des gemeinsam mit ihm Verantwortlichen), des Vertreters und ggf. Datenschutzbeauftragten

• 2. Zwecke der Verarbeitung

• 3. Kategorien betroffener Personen und personenbezogener Daten

• 4. Kategorien von Empfängern

• 5. Ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

• 6. Wenn möglich: Löschfristen der verschiedenen Datenkategorien

• 7. Wenn möglich: Technische und organisatorische Maßnahmen (TOM)

Muster eines Verarbeitungsverzeichnisses

Angaben zum Verantwortlichen, Vertreters etc. nennen Sie auf einem Vorblatt. Die weiteren Angaben listen Sie anschließend auf:

Löschfristen bzw. Löschkonzept

Sie dürfen personenbezogene Daten nur so lange speichern, wie dies unbedingt erforderlich ist. Sie müssen die Daten z. B. löschen, wenn die betroffene Person es verlangt („Recht auf Vergessenwerden“).

Konzept der technischen und organisatorischen Maßnahmen

Sie müssen ‒ soweit möglich ‒ die technischen und organisatorischen Maßnahmen beschreiben, die Sie zum Schutz der personenbezogenen Daten in Ihrer Agentur ergreifen (Art. 32 DSGVO). Die TOM können Sie in einem separaten Dokument auflisten und als Anhang zum Verzeichnis nehmen. In der Auflistung sollten Sie (zumindest) folgende 4 Themen berücksichtigen:

Technische und organisatorische Maßnahmen in der Agentur
1.	Vertraulichkeit (Art. 32 Abs. 1 Buchst. b DSGVO)
	Zutrittskontrolle	Elektronisches Zutrittskontrollsystem Schlüssel / Schlüsselvergabe Empfang mit Besucherregelungen
	Zugangskontrolle (Netzwerk, Computer, Betriebssystem etc.)	Passwörter (Verfahren für Vergabe, Auswahl, Wechsel) Sperrungen bei Fehlversuchen Verschlüsselung von Datenträgern, Festplatten, Sticks etc.
	Zugriffskontrolle	Berechtigungskonzept (Lese-, Schreib-, Löschrechte) Protokollierung von Veränderungen und Maßnahmen
	Trennungskontrolle	Trennung sensibler Daten
	Pseudonymisierung	Nach Art. 32 Abs. 1 Buchst. a und Art. 25 Abs. 1 DSGVO in Ausnahmefällen
2.	Integrität (Art. 32 Abs. 1 Buchst. b DSGVO)
	Weitergabekontrolle	Arten der Datenweitergabe Verschlüsselte Übertragung (SSL, TLS, IPSec etc.) Elektronische Signaturen Physische Transportsicherungen
	Eingabekontrolle	Protokollierung von Veränderungen und Maßnahmen
3.	Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 Buchst. b DSGVO)
	Verfügbarkeitskontrolle	Datenbackup und Sicherungskonzept Sicherung gegen Überspannung, unterbrochene Stromversorgung Trennung von Sicherungskopien Gespiegelte Datenträger (RAID-Verfahren) Virenschutz, Spamfilter, Firewall, Notfallpläne Brandschutz (Notfallkonzept, Brandschutztüren, Feuerlöscher, Sprinkleranlagen, Rauchmelder, Notrufsystem) Wasserschutz (dichte Aufbewahrung von Datenträgern, getrennte Aufbewahrung von Datenträgern)
	Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 Buchst. c DSGVO)	Datenbackup und Sicherungskonzept Getrennte Aufbewahrung von Datenträgern Gespiegelte Datenträger (RAID-Verfahren)
4.	Verfahren zur regelmäßigen Überprüfung, Bewertung, Evaluierung (Art. 32 Abs. 1 Buchst. d und Art. 25 Abs. 1)
	Managementsysteme und Verfahren	Datenschutz-Management Incident-Response-Management Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO) Auftragskontrolle

 

Weiterführende Hinweise

• „Datenschutz: Verarbeitungsverzeichnis-Muster“ und „Datenschutz: Technische und organisatorische Maßnahmen in der Agentur (TOM)“ finden Sie als Word-Datei zur individuellen Bearbeitung auf wvv.iww.de → Abruf-Nrn. 45304702 und 45305025

• Beitrag „Stichtag 25.05.: So setzen Sie die Datenschutzgrundverordnung in Ihrer Agentur um“, WVV 5/2018, Seite 15 → Abruf-Nr. 45245792