DSGVO Easy Verarbeitungsverzeichnis

Erstellen Sie ein DSGVO konformes Verarbeitungsverzeichnis nach Artikel 30 DSGVO und dem Bundesdatenschutzgesetz. Einfach und unkompliziert. Entwickelt für kleine Unternehmen, Freiberufler, Dienstleister, Vereine, Blogger, Berater und Soloselbstständige.

Datenschutz ist heute wichtiger denn je. Unternehmen, Freiberufler, Dienstleister etc. müssen sicherstellen, dass sie die Daten ihrer Kunden und Mitarbeiter sicher und rechtskonform verarbeiten. Mit DSGVO Easy Verarbeitungsverzeichnis erhalten Sie eine effektive Lösung, um Ihre Datenverarbeitung sicher zu dokumentieren, den Überblick zu behalten, vor Datenschutzverletzungen zu schützen und Aufsichtsbehörden schnell und einfach Bericht zu erstatten.

Schritt für Schritt führt Sie die Software sicher zum Ziel: Von der Erstellung der TOM-Anlagen über die Verarbeitungstätigkeiten bis zur Datenschutzrisikoeinschätzung.

DSGVO Easy Verarbeitungsverzeichnis ist speziell auf die Bedürfnisse von kleinen Unternehmen in allen Branchen sowie von Beratern, Soloselbstständigen, Vereine und Blogger zugeschnitten.

Sie können diese Software 30 Tage ohne Einschränkungen testen. Mit einem einmaligen fairen Preis von 25 Euro können Sie sich diese Software nach dem Testzeitraum leisten, ohne Ihr Budget zu sprengen.

HINTERGRUND Jeder Verantwortliche für die Datenverarbeitung und jeder Auftragsverarbeiter nach der DS-GVO ist praktisch verpflichtet ein Verzeichnis aller Verarbeitungstätigkeiten von personenbezogenen Daten zu führen. Der Zweck ergibt sich aus dem Erwägungsgrund 82 zu Art. 30 DS-GVO. Hiernach sollen der Verantwortliche und der Auftragsverarbeiter „zum Nachweis der Einhaltung dieser Verordnung“ ein Verzeichnis der Verarbeitungstätigkeiten führen. Pflicht zur Führung eines Verarbeitungsverzeichnisses Kein Verzeichnis von Verarbeitungstätigkeiten müssen nach Art. 30 Abs. 5 DS-GVO Verantwortliche und Auftragsverarbeiter mit weniger als 250 Mitarbeitern führen, es sei denn, der Verantwortliche bzw. Auftragsverarbeiter führt Verarbeitungen personenbezogener Daten durch, die ein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen oder besondere Datenkategorien gemäß Art. 9 Abs. 1 DS-GVO (Religionsdaten, Gesundheitsdaten, biometrische Daten zur eindeutigen Identifizierung etc.) oder über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DS-GVO betreffen oder nicht nur gelegentlich erfolgen (alle sonstigen Verarbeitungen, z. B. Lohnabrechnungen, Kundendatenverwaltung, Mitgliederverwaltung, IT-/Internet-/E-Mail-Protokollierung, Schulnoten).

Die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten besteht damit bereits dann, wenn mindestens eine der genannten drei Fallgruppen erfüllt ist.

Wegen der Regelmäßigkeit der Verarbeitung werden damit kaum Unternehmen, Freiberufler und Vereine von der Pflicht eines solchen Verzeichnisses generell befreit. Eine Einschätzung dazu kann im Zweifelsfall die zuständige Datenschutzaufsichtsbehörde geben.

Der Begriff „nicht nur gelegentlich“ wird vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit nach DS-GVO Artikel-29-Gruppe (WP 243) interpretiert. Nach Ziff. 2.1.4 liegt der Begriff „regelmäßig“ vor, wenn mindestens eine der folgenden Eigenschaften erfüllt ist:

fortlaufend oder in bestimmten Abständen während eines bestimmten Zeitraums vorkommend, immer wieder oder wiederholt zu bestimmten Zeitpunkten auftretend, ständig oder regelmäßig stattfindend. Verarbeitungen, die ein Risiko für die Rechte und Freiheiten der Betroffenen bergen, können z. B. sein:

Videoüberwachung, Bonitätsscoring- und Betrugspräventionsverfahren, Ortung von Mitarbeitern (z. B. mittels GPS), Verarbeitungen, bei denen Kommunikationsinhalte betroffen sind. Es ist damit davon auszugehen, dass die Ausnahme nur selten greift und vielfach das Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten geboten ist. Inhalt eines Verarbeitungsverzeichnisses Das Verarbeitungsverzeichnis betrifft sämtliche ganz oder teilweise automatisierte Verarbeitungen sowie nicht automatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Für jede einzelne Verarbeitungstätigkeit ist eine Beschreibung nach Maßgabe des Art. 30 DS-GVO anzufertigen. Als Verarbeitungstätigkeit wird im Allgemeinen ein Geschäftsprozess auf geeignetem Abstraktionsniveau verstanden. Es ist ein strenger Maßstab anzulegen, so dass jeder neue Zweck der Verarbeitung eine eigene Verarbeitungstätigkeit darstellt. Bei einer nur geringen Zweckänderung muss geprüft werden, ob eine bereits bestehende Beschreibung einer Verarbeitungstätigkeit angepasst werden muss oder ob eine vollständig neue Beschreibung anzufertigen ist. Die Summe der Einzelbeiträge ergibt das Verzeichnis von Verarbeitungstätigkeiten. DSGVO Easy Verarbeitungsverzeichnis unterstützt Sie dabei. Rechenschaftspflicht Jeder Verantwortliche und Auftragsverarbeiter ist verpflichtet, mit der Datenschutzaufsichtsbehörde zusammenzuarbeiten und dieser auf Anfrage das entsprechende Verarbeitungsverzeichnis vorzulegen, damit die einzelnen Verarbeitungsvorgänge bzw. -verfahren anhand dieser Verzeichnisse kontrolliert werden können.

Kann auf Anfrage einer Aufsichtsbehörde kein Verarbeitungsverzeichnis vorgelegt werden, droht ein Bußgeld nach Art. 83 Abs. 4 a DS-GVO. Der gesetzliche Rahmen der Bußgelder ist, wie der übliche Rahmen der DS-GVO: Bis zu 20 Mio. Euro oder bei Unternehmen bis zu 4% des Jahresumsatzes, je nachdem welcher Betrag höher ist.

Die Regelung in Art. 30 DS-GVO verpflichtet nicht nur jeden Verantwortlichen im Sinne von Art. 4 Nr. 7 DS-GVO (hierzu zählen sowohl Behörden als auch z. B. Unternehmen, Freiberufler, Vereine), sondern auch die Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DS-GVO, ein Verzeichnis von Verarbeitungstätigkeiten, welche sie im Auftrag durchführen, zu erstellen und zu führen. Die Regelung des Art. 30 DS-GVO bezieht sich dabei jeweils auch auf den Vertreter im Sinne von Art. 4 Nr. 17 DS-GVO.

Neben der Umsetzung der Verpflichtung nach Art. 30 DS-GVO kann das Verzeichnis als Grundlage zur Erfüllung weiterer datenschutzrechtlicher Pflichten verwendet werden. Vor diesem Hintergrund bietet es sich an, das Verzeichnis auch folgendermaßen einzusetzen bzw. zu verwenden:

für eine Festlegung der Verarbeitungszwecke nach Art. 5 Abs. 1 lit. b DS-GVO für Zwecke der Rechenschafts- und Dokumentationspflicht, Art. 5 Abs. 2, Art. 24 DS-GVO als Nachweis der Rechtmäßigkeit der Verarbeitung nach Art. 5 Abs. 1 lit. a DS-GVO, als Nachweis der Datenminimierung nach Art. 5 Abs. 1 lit. c DS-GVO, als Nachweis der Richtigkeit und Aktualität der Daten nach Art. 5 Abs. 1 lit. d DS-GVO als geeignete Maßnahme zur Erfüllung der Betroffenenrechte nach Art. 12 Abs. 1 DS-GVO, zur Schaffung und als Nachweis geeigneter technischer und organisatorischer Maßnahmen nach Art. 24 Abs. 1 und Art. 32 DS-GVO, zur Prüfung, ob eine Datenschutzfolgenabschätzung nach Art. 35 DS-GVO erfolgen muss, als Basis für die Aufgabenerfüllung des Datenschutzbeauftragten nach Art. 39 DS-GVO.