Verfahrensverzeichnis im Sinne der DSGVO

Sie suchen Unterstützung bei der praxisgerechten Umsetzung der DSGVO und IT-Sicherheit? – Wir liefern Ihnen die Lösung!

✓ TÜV-geprüft und zertifiziert

✓ persönliche Beratung

✓ persönliche DSGVO Umsetzung

Definition zum Verfahrensverzeichnis

Forscht man im Bundesschutzgesetz (BDSG) nach dem Begriff Verfahrensverzeichnis, sucht man dort vergebens.

Gemeint ist mit diesem Begriff ein Element des Datenschutzmanagements, das der Bestandsaufnahme über die laufenden Verarbeitungen von personenbezogenen Daten dient.

In § 4g Abs. 2 BDSG wird von einer „Übersicht“, die dem betrieblichen Datenschutzbeauftragten zur Verfügung gestellt wird, gesprochen.

Wenn man das ganze einmal genauer betrachtet, unterscheidet der Gesetzgeber zwischen zwei Arten von Verfahrensverzeichnissen, dem internen und dem öffentlichen Verfahrensverzeichnis.

Unterschiede internes und öffentliches Verfahrensverzeichnis

Der Unterschied zwischen den beiden Verfahrensverzeichnisse liegt hauptsächlich im Umfang der Aufstellung und der entsprechenden Verpflichtung, die Inhalte jedermann – also auch unbeteiligten Dritten – zugänglich zu machen.

Öffentliches Verfahrensverzeichnis

Das öffentliche Verfahrensverzeichnis soll nach außen hin Transparenz über die Datenverarbeitungsvorgänge schaffen.

Daher muss es unter gewissen Voraussetzungen für jedermann zugänglich gemacht werden.

Internes Verfahrensverzeichnis

Das interne Verfahrensverzeichnis wird auch einfach nur Verfahrensverzeichnis genannt.

Es enthält umfangreichere Angaben als das öffentliche Verfahrensverzeichnis und dient dazu, eine betriebsinterne Selbstkontrolle zu ermöglichen.

Persönliche Informationen im Verfahrensverzeichnis

Oft wird die Frage gestellt, ob das Verfahrensverzeichnis täglich mit den aktuellen Daten ergänzt werden muss. Dem ist nicht so.

In ein Verfahrensverzeichnis kommt ausschließlich die Beschreibung allgemeiner Verfahren!

Alle Verarbeitungen werden dort einmal generell beschrieben.

Namen der einzelnen Kunden, Lieferanten und Dienstleistern gehören auf keinen Fall in die Verarbeitungsübersicht.

Rechtmäßigkeit nach dem DSGVO Artikel 6

Ein Verfahren muss immer auf einer Rechtmäßigkeit nach Artikel 6 basieren:

  • Der Betroffene gibt eine freiwillige Einwilligung.
  • Die Verarbeitung der Daten basiert auf einem Vertrag oder vorvertraglichen Maßnahmen (mündlich oder schriftlich).
  • Die Verarbeitung basiert auf einem Gesetz oder sonstigen rechtlichen Verpflichtungen.
  • Es geht um den Schutz lebenswichtiger Interessen des Betroffenen.
  • Die Verarbeitung der personenbezogenen Daten ist für das Wahrnehmen von Aufgaben notwendig, die im öffentlichen Interesse liegen oder dem Ausüben öffentlicher Gewalt.
  • Das berechtigte Interesse des Verantwortlichen liegt vor und die Grundrechte der betroffenen Person werden nicht verletzt.

Beispiele für Verfahrensverzeichnisse nach DSGVO

 

Allgemeine Verfahren in einem Verfahrensverzeichnis

VerfahrenBeschreibungRechtmäßigkeitAnmerkung
Zahlungsverkehr (externe Rechnungsstellung)Erstellung von Rechnungen für erbrachte Dienstleistungen oder übergebene Waren.
Ggf. unter Einbeziehung eines externen Dienstleisters, welcher sich um die Rechnungsstellung und Zahlungsabwicklung kümmert.
Art. 6 (1) b – VertragBei externem Dienstleister für die Rechnungsstellung handelt es sich um einen Auftragsverarbeiter.
Kommunikation per E-MailDurchführung von interner und externer Kommunikation per E-Mail.Art. 6 (1) b – Vertrag oder vorvertragliche Maßnahmen

 

Art. 6 (1) c – Rechtliche Verpflichtung/ gesetzliche Vorgabe

Ist der E-Mail Provider extern, z. B. der Webhoster, dann ist er Auftragsverarbeiter.
IT- SupportZugriff auf die interne IT-Infrastruktur durch einen externen Dienstleister aufgrund von IT-Support und Wartungstätigkeiten. Dabei kann der Supportmitarbeiter Einsicht auf personenbezogene Daten von Kunden erhalten.Art. 6 (1) b – VertragBeziehen sich die Wartungs- und Supporttätigkeiten überwiegend auf Programme, die keine personenbezogenen Daten enthalten, sollte eine Geheimhaltungsvereinbarung getroffen werden. Sind aber vorrangig Programme im Support betroffene, wie z. B. Lohnverwaltung oder andere personenbezogene Daten, dann wäre ein Auftragsverarbeitungsvertrag besser.

Verfahren mit Dienstleistern 

In diesem Verfahrensverzeichnis werden die Dienstleistungen erfasst, welche auch mit personenbezogenen Daten in Kontakt kommen oder bei denen die Verarbeitung personenbezogener Daten dazu gehört.

In den meisten Fällen ist die Grundlage für dieses Verfahren ein Vertrag, der mit dem Kunden geschlossen wurde.

 

VerfahrenBeschreibungRechtmäßigkeitAnmerkung
KundenverwaltungVerwaltung und Organisation der Kunden- und Interessentendaten in eiern Datenbank/ ProgrammArt. 6 (1) c – Vertrag oder Art. 6 (1) f – Berechtigtes InteresseJe nach Umfang der Kundenverwaltung kann man die Erfassung der Kontaktdaten auch in den Dienstleistungsverfahren mit beschreiben.
Online-CoachingPersönliches Coaching im Rahmen von Online- oder Telefonmeetings. Aufzeichnung des Coachings als Video und Dokumentation des Gesprächs in Notizen.Art. 6 (1) c – VertragAuch hier wird es wieder individuelle Unterschiede geben.
Persönliches CoachingIndividuelle Beratung einer Person in persönlichen Gesprächen. Notizen und Empfehlungen werden während des Gesprächs in schriftlicher Form notiert.Art. 6 (1) c – VertragJe nachdem, wie genau das Coaching abläuft, muss natürlich die Beschreibung angepasst werden. Wenn das Coaching die Hauptdienstleistung ist, dann würde ich an dieser Stelle auch die Kontaktdatenerfassung mit aufnehmen und nicht als separates Verfahren beschreiben.
Schulungen/ TrainingDurchführung von Schulungen/ Trainings mit Qualifizierungstest zum AbschlussArt. 6 (1) c – VertragWenn der Dozent die Daten der Teilnehmer nicht erhält oder auch nicht benötigt, ist es kein Verfahren im Sinne des Datenschutzes.

Verfahren für Unternehmen mit Mitarbeitern

Wenn ein Unternehmen Mitarbeiter bzw. Zeitarbeiter beschäftigt, müssen einige grundsätzliche Tätigkeiten abgedeckt werden.

Wenn Mitarbeiter beispielsweise Firmenwägen oder andere personenbezogene Geräte ausgehändigt bekommen, können im Einzelfall noch zusätzliche Verfahren hinzukommen.

 

VerfahrenBeschreibungRechtmäßigkeitAnmerkung
LohnabrechnungÜberweisung von Löhnen und Gehältern. Abgabe von Steuern und Gebühren.Art. 6 (1) b – VertragExterner Dienstleister zur Lohnabrechnung ist in der Regel kein Auftragsverarbeiter, sondern eine Funktionsübertragung.
BewerbungenBewerber bewirbt sich initiativ oder konkret auf eine ausgeschriebene Stelle per E-Mail oder per Post. Bewerbungen werden bei nicht eingestellten Personen zurückgeschickt.Art. 6 (1) b – Vertrag oder vorvertraglicher Maßnahmen

 

Art. 6 (1) c – Rechtliche Verpflichtung/ gesetzliche Vorgabe (E-Mail -Archivierung)

Bewerbungen müssen gelöscht oder zurück- geschickt werden. Alternativ kann der Bewerber aktiv zustimmen, dass seine Unterlagen einbehalten werden dürfen, falls ähnliche Stellen später wieder besetzt werden müssen.

Downloads

Vorlage für ein Verfahrensverzeichnis / Verzeichnis von Verarbeitungstätigkeiten

Menü
Beratung
Telefon
Beratung Pop-up
Datenschutzerklärung

Hiermit erteile ich meine Einwilligung, ein Angebot per Mail über die Dienstleistung von www.immerce-consulting.de zu erhalten. Dies kann ich jederzeit widerrufen.
Bitte beachten Sie unsere Datenschutzerklärung.

Telefon:

Öffnungszeiten:
Mo. - Fr.: 08:00 - 17:30 Uhr