Möchten Sie wissen, was genau in ein Verarbeitungsverzeichnis gehört Haben aber keine Lust auf unverständliche + langatmige Erklärungen? Kein Problem! Hier sind die 8 Mindestinhalte, die Sie unbedingt beachten sollten – kompakt und auf den Punkt gebracht.
Am Ende dieses Artikels steht ein „kostenfreies Muster-Verzeichnis“ zum Ansehen für Sie bereit.
Wir als Datenschutz-Geplagte wünschen uns das leidige Thema DSGVO endlich vom Tisch zu haben.
Dennoch: Wir alle wissen, es ist ein notwendiges Übel, dem wir uns stellen müssen.
Ein Teil des Dilemmas: Das Verarbeitungsverzeichnis.
Hier handelt es sich um kein dünnes Heftchen, sondern um einen dicken Wälzer. In der Regel umfasst dieses Dokument 100 bis 300 Seiten.
Aber was genau beinhaltet es? Ich zeige es Ihnen.
Haken Sie folgende 8 Punkte ab:
- Nennen Sie den Verantwortlichen für den Datenschutz
- Zweck der Datenverarbeitung
- Kategorien betroffener Personen
- Kategorien personenbezogener Daten
- Kategorien der Empfänger
- Datenübermittlung in Drittländer
- Löschfristen
- Technische & organisatorische Maßnahmen
Punkt 1: Nennen Sie den Verantwortlichen für den Datenschutz, damit klar ist, an wen man sich wenden muss.
Dies ist in der Regel der Geschäftsführer.
Wichtig sind hier Name und Kontaktdaten (E-Mail, Telefonnummer, Adresse).
Falls vorhanden, führen Sie auch Ihren Datenschutzbeauftragten an.
Achtung: Der Geschäftsführer darf nicht auch Datenschutzbeauftragter sein!
Punkt 2: Zweck der Datenverarbeitung angeben, um Betroffenen zu zeigen, wofür ihre Daten genutzt werden.
Fragen Sie sich: Aus welchem Grund erheben Sie die Daten?
Beispiele sind …
… das Versenden von Angeboten
… Verarbeitung + Abwicklung von Bewerbungen
… die Optimierung Ihrer Website für bessere Nutzererfahrung.
Übrigens: Wie genau so etwas in der Praxis aussieht, können Sie sich im im „kostenfreien Muster-Verarbeitungsverzeichnis“ ansehen (mehr dazu finden Sie unten am Ende dieses Artikels.)
Punkt 3: Kategorien betroffener Personen anführen, um klar zu stellen, wer betroffen ist.
Wer sind die Personen, deren Daten Sie verarbeiten? Die Wichtigsten:
- Mitarbeiter
- Kunden
- Lieferanten
Kleiner Zusatztipp: Denken Sie nicht nur an Mitarbeiter, Kunden und Lieferanten, sondern auch an weniger offensichtliche Kategorien, wie z.B. externe Dienstleister.
Wie so etwas konkret aussieht, habe ich Ihnen im „kostenfreien Muster-Verarbeitungsverzeichnis“ zusammengefasst (siehe unten).
Punkt 4: Kategorien personenbezogener Daten angeben, um zu zeigen, welche Daten gesammelt werden.
Überlegen Sie, welche Daten Sie sammeln. Die Schwierigkeit:
Verschiedene Tools speichern verschieden viele Daten. Seien Sie sorgfältig!
Typische Kategorien personenbezogener Daten:
- Name
- Adresse
- Telefonnummer
- Geburtsdatum
- Geschlecht
- Kontoinformationen
- IP-Adresse
Sie wollen Ihr Verarbeitungsverzeichnis mit der Hilfe von Juristen in wenigen Mausklicks erstellen?
Dann vereinbaren Sie gerne jederzeit einen Termin für ein kostenfreies Erstgespräch mit DSGVO Expertin Sandra Berghofer.
unverbindlich Dauer: ca. 15 min.
Punkt 5: Kategorien der Empfänger angeben, um zu zeigen, wer Zugriff auf die Daten hat.
Empfänger sind Personen oder Organisationen, die Zugriff auf die durch Sie erhobenen und verarbeiteten Daten haben. Ein Beispiel:
Wenn Sie eine E-Mail über Outlook senden, erhält Outlook auch die E-Mail-Adresse.
Gängige Empfänger sind:
- Dienstleister (z. B. CRM-System, IT-Support)
- Versandunternehmen (z. B. für Pakete)
- Marketing-Agenturen (z. B. für Werbung)
- Partnerunternehmen (z. B. für Kooperationen)
Wie genau so etwas in der Praxis aussieht, können Sie sich im im „kostenfreien Muster-Verarbeitungsverzeichnis“ ansehen (mehr dazu finden Sie unten am Ende dieses Artikels.)
Punkt 6: Übermittlung von Daten in Drittländer angeben, um Betroffenenrechte auch international zu wahren.
Drittländer sind alle Länder außerhalb der EU.
Übermitteln Sie Daten in ein unsicheres Drittland, sind zusätzliche Maßnahmen erforderlich. Diese erfolgen z.B. …
… durch den Abschluss von Standardvertragsklauseln.
Hier können Sie diese herunterladen.
Punkt 7: Löschfristen dokumentieren, um sicherzustellen, dass Daten nicht länger als nötig aufbewahrt werden.
Löschfristen sind wichtig! Halten Sie fest, wann Sie personenbezogene Daten löschen.
Warum?
- Rechtliche Anforderungen: Sie müssen nachweisen, dass Sie Daten rechtzeitig entfernen.
- Transparenz schaffen: Klare Löschfristen fördern das Vertrauen Ihrer Kunden.
Beispiele für Löschfristen:
- Newsletter-Abmeldung: sofortige Löschung.
- Bewerberdaten: nach 6 Monaten.
- Kundendaten: nach 5 Jahren ohne Aktivität.
Wie das konkret aussieht, sehen Sie im „kostenfreien Muster-Verarbeitungsverzeichnis“ (siehe unten).
Punkt 8: Technische & organisatorische Maßnahmen anführen.
Sie sind Ihre ersten Verteidigungslinien beim Schutz personenbezogener Daten.
Hier einige Beispiele:
- Technische Maßnahmen: starke Passwörter, Firewalls, regelmäßige Software-Updates
- Organisatorische Maßnahmen: Schulungen für Mitarbeiter, klare Protokolle für den Umgang mit sensiblen Daten
So sieht ein Verarbeitungsverzeichnis in der Praxis aus:
Fazit: Ein Verarbeitungsverzeichnis ist kein Hexenwerk.
Beachten Sie die 8 Mindestinhalte, dann haben Sie das Thema schnell vom Tisch.
Das könnte Sie auch interessieren:
Über den Autor: Daniel Lukmann
Daniel Lukmann ist externer Datenschutzbeauftragter und Mitgründer des DSGVO Schutzteam.
2018 war er als junger Unternehmer im Consulting-Bereich tätig. Alles lief gut, bis zum „Ausbruch“ der DSGVO.
Er bildete sich zum Datenschutzbeauftragten weiter und entwickelte ein System.
Der Rest ist Geschichte.
Mittlerweile hilft das DSGVO Schutzteam über 3500 Unternehmen bei ihren Datenschutz-Sorgen.
Verarbeitungsverzeichnis – Was gehört rein? Diese 8 Inhalte sind Pflicht.
Von Daniel Lukmann
Externer Datenschutzbeauftragter
Lesedauer: 11 Minuten
Möchten Sie wissen, was genau in ein Verarbeitungsverzeichnis gehört Haben aber keine Lust auf unverständliche + langatmige Erklärungen? Kein Problem! Hier sind die 8 Mindestinhalte, die Sie unbedingt beachten sollten – kompakt und auf den Punkt gebracht.
Am Ende dieses Artikels steht ein „kostenfreies Muster-Verzeichnis“ zum Ansehen für Sie bereit.
Wir als Datenschutz-Geplagte wünschen uns das leidige Thema DSGVO endlich vom Tisch zu haben.
Dennoch: Wir alle wissen, es ist ein notwendiges Übel, dem wir uns stellen müssen.
Ein Teil des Dilemmas: Das Verarbeitungsverzeichnis.
Hier handelt es sich um kein dünnes Heftchen, sondern um einen dicken Wälzer. In der Regel umfasst dieses Dokument 100 bis 300 Seiten.
Aber was genau beinhaltet es? Ich zeige es Ihnen.
Haken Sie folgende 8 Punkte ab:
- Nennen Sie den Verantwortlichen für den Datenschutz
- Zweck der Datenverarbeitung
- Kategorien betroffener Personen
- Kategorien personenbezogener Daten
- Kategorien der Empfänger
- Datenübermittlung in Drittländer
- Löschfristen
- Technische & organisatorische Maßnahmen
Punkt 1: Nennen Sie den Verantwortlichen für den Datenschutz, der im Verarbeitungsverzeichnis angegeben werden muss.
Dies ist in der Regel der Geschäftsführer.
Wichtig sind hier Name und Kontaktdaten (E-Mail, Telefonnummer, Adresse).
Falls vorhanden, führen Sie auch Ihren Datenschutzbeauftragten an.
Achtung: Der Geschäftsführer darf nicht auch Datenschutzbeauftragter sein!
Punkt 2: Zweck der Datenverarbeitung angeben, um Betroffenen zu zeigen, wofür ihre Daten genutzt werden.
Fragen Sie sich: Aus welchem Grund erheben Sie die Daten?
Beispiele sind …
… das Versenden von Angeboten
… Verarbeitung + Abwicklung von Bewerbungen
… die Optimierung Ihrer Website für bessere Nutzererfahrung.
Übrigens: Wie genau so etwas in der Praxis aussieht, können Sie sich im im „kostenfreien Muster-Verarbeitungsverzeichnis“ ansehen (mehr dazu finden Sie unten am Ende dieses Artikels.)
Punkt 3: Kategorien betroffener Personen anführen, um klar zu stellen, wer betroffen ist.
Wer sind die Personen, deren Daten Sie verarbeiten? Die Wichtigsten:
- Mitarbeiter
- Kunden
- Lieferanten
Kleiner Zusatztipp: Denken Sie nicht nur an Mitarbeiter, Kunden und Lieferanten, sondern auch an weniger offensichtliche Kategorien, wie z.B. externe Dienstleister, die ins Verarbeitungsverzeichnis müssen.
Wie so etwas konkret aussieht, habe ich Ihnen im „kostenfreien Muster-Verarbeitungsverzeichnis“ zusammengefasst (siehe unten).
Punkt 4: Kategorien personenbezogener Daten angeben, um zu zeigen, welche Daten gesammelt werden.
Überlegen Sie, welche Daten Sie sammeln. Die Schwierigkeit:
Verschiedene Tools speichern verschieden viele Daten. Seien Sie sorgfältig!
Typische Kategorien personenbezogener Daten:
- Name
- Adresse
- Telefonnummer
- Geburtsdatum
- Geschlecht
- Kontoinformationen
- IP-Adresse
Sie wollen Ihr Verarbeitungsverzeichnis mit der Hilfe von Juristen in wenigen Mausklicks erstellen?
Dann vereinbaren Sie gerne jederzeit einen Termin für ein kostenfreies Erstgespräch mit DSGVO Expertin Sandra Berghofer.
unverbindlich Dauer: ca. 15 min.
Punkt 5: Kategorien der Empfänger angeben, um zu zeigen, wer Zugriff auf die Daten hat.
Empfänger sind Personen oder Organisationen, die Zugriff auf die durch Sie erhobenen und verarbeiteten Daten haben. Ein Beispiel:
Wenn Sie eine E-Mail über Outlook senden, erhält Outlook auch die E-Mail-Adresse.
Gängige Empfänger sind:
- Dienstleister (z. B. CRM-System, IT-Support)
- Versandunternehmen (z. B. für Pakete)
- Marketing-Agenturen (z. B. für Werbung)
- Partnerunternehmen (z. B. für Kooperationen)
Wie genau so etwas in der Praxis aussieht, können Sie sich auch im im „kostenfreien Muster-Verarbeitungsverzeichnis“ ansehen (mehr dazu finden Sie unten am Ende dieses Artikels.)
Punkt 6: Übermittlung von Daten in Drittländer angeben, um Betroffenenrechte auch international zu wahren.
Drittländer sind alle Länder außerhalb der EU.
Übermitteln Sie Daten in ein unsicheres Drittland, sind zusätzliche Maßnahmen erforderlich. Diese erfolgen z.B. …
… durch den Abschluss von Standardvertragsklauseln.
Hier können Sie diese herunterladen.
Punkt 7: Löschfristen dokumentieren, um sicherzustellen, dass Daten nicht länger als nötig aufbewahrt werden.
Löschfristen sind wichtig! Halten Sie fest, wann Sie personenbezogene Daten löschen.
Warum?
- Rechtliche Anforderungen: Sie müssen nachweisen, dass Sie Daten rechtzeitig entfernen.
- Transparenz schaffen: Klare Löschfristen fördern das Vertrauen Ihrer Kunden.
Beispiele für Löschfristen:
- Newsletter-Abmeldung: sofortige Löschung.
- Bewerberdaten: nach 6 Monaten.
- Kundendaten: nach 5 Jahren ohne Aktivität.
Wie das konkret aussieht, sehen Sie im „kostenfreien Muster-Verarbeitungsverzeichnis“ (siehe unten).
Punkt 8: Technische & organisatorische Maßnahmen anführen.
Sie sind Ihre ersten Verteidigungslinien beim Schutz personenbezogener Daten.
Hier einige Beispiele:
- Technische Maßnahmen: starke Passwörter, Firewalls, regelmäßige Software-Updates
- Organisatorische Maßnahmen: Schulungen für Mitarbeiter, klare Protokolle für den Umgang mit sensiblen Daten
So sieht ein Verarbeitungsverzeichnis in der Praxis aus:
Fazit: Ein Verarbeitungsverzeichnis ist kein Hexenwerk.
Beachten Sie die 8 Mindestinhalte, dann haben Sie das Thema schnell vom Tisch.
Das könnte Sie auch interessieren:
Über den Autor: Daniel Lukmann
Daniel Lukmann ist externer Datenschutzbeauftragter und Mitgründer des DSGVO Schutzteam.
2018 war er als junger Unternehmer im Consulting-Bereich tätig. Alles lief gut, bis zum „Ausbruch“ der sogenannten DSGVO.
Statt sich von den Trümmern überwältigen zu lassen, bildete er sich zum Datenschutzbeauftragten weiter.
Die Erkenntnis: Am Ende zahlt man hier Strafen oft aus reiner Unwissenheit.
Er entwickelte ein System. Der Rest ist Geschichte.
Mittlerweile hilft das DSGVO Schutzteam über 3500 Unternehmen bei ihren Datenschutz-Sorgen.