Jeder Verantwortliche (früher "Verantwortliche Stelle") ist gemäß Art. 30 Abs. 1 DSGVO zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet. Dieses Verzeichnis ist der zentrale Bestandteil der Datenschutzdokumentation und listet alle Verarbeitungen von personenbezogenen Daten im Unternehmen auf. Das Verzeichnis muss dabei die folgenden Angaben enthalten:
- Name und Kontaktdaten des Verantwortlichen
- Name und Kontaktdaten des Datenschutzbeauftragten
- Zweck der Verarbeitung
- Beschreibung der Kategorien betroffener Personen
- Beschreibung der Kategorien personenbezogener Daten
- Aufzählung der Empfänger der personenbezogenen Daten
- Fristen für die Löschung der personenbezogenen Daten
- allgemeine Beschreibung der technischen und organisatorischen Maßnahmen
Bestehende Verzeichnisse prüfen
Das Verzeichnis ist eines der zentralen Dokumente für die Datenschutzorganisation. Innerhalb dieses Verzeichnisses können auch weitere Dokumentationspflichten, wie etwa durchgeführte Risikoanalysen oder Datenschutz-Folgeabschätzungen erfüllt werden. Unternehmen sollten bestehende Verzeichnisse stets auf Vollständigkeit und Aktualität prüfen, insbesondere dann, wenn eine neue Verarbeitungstätigkeit aufgenommen wird (z. B. die Implementierung einer neuen HR-Software). Es sollte daher ein Mechanismus im Unternehmen etabliert werden, damit das Verzeichnis stets auf dem aktuellen Stand ist. Im Bereich des Beschäftigtendatenschutzes ist hier allen voran an folgende Verarbeitungen zu denken, die in dem Verzeichnis der Verarbeitungen dokumentiert werden sollten:
- Verwaltung der Personalakten
- Arbeitszeiterfassung
- Lohn- und Gehaltsabrechnung
- Bewerbungsmanagement
- Betriebliche Altersvorsorge
Bei der Erstellung, Prüfung und Überarbeitung von Verarbeitungsverzeichnissen können Unternehmen auf die Publikationen der Aufsichtsbehörden zurückgreifen.[1]
Das ist nur ein Ausschnitt aus dem Produkt Personal Office Premium. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen