Verfahrensverzeichnis

Anforderungen

Was muss ich tun?

Gesetzliche Notwendigkeit

Unter bestimmten Voraussetzungen müssen Datenanwendungen protokolliert werden. In der Praxis trifft dies beinahe jedes Unternehmen.

Status Quo

Das Verfahrensverzeichnis ist die Ausgangsbasi,s um einen Überblick über Datenverarbeitungen in einem Unternehmen zu bekommen. Darauf basierend können weitere Umsetzungsschritte zur Datenschutz-Grundverordnung sowie zu technischen und organisatorischen Maßnahmen im Rahmen der IT-Sicherheit abgeleitet werden.

Ausnahme

Nicht zwangsweise zu protokollieren sind Datenanwendungen, die überhaupt keine personenbezogenen Daten berücksichtigen. In diesem Fall wird eine Negativmeldung empfohlen.

Benefit: Datenmanagement

Auf Basis der Bestandsaufnahme können Anwendungen optimiert werden. Die IT kann effizienter gestaltet werden.

Benefit: Neue Möglichkeiten

Der Gesamtüberblick kann zur Auslotung neuer betriebswirtschaftlicher Erweiterungen genutzt werden.

Umsetzung

Wie gehe ich vor?

Inhalt

Das Verfahrensverzeichnis muss allgemeine Informationen zu den Verantwortlichen sowie Details zu Datenverarbeitungen von personenbezogenen Daten beinhalten. Darunter fallen z.B. Zweck, Datenkategorien, Löschfristen und Empfänger der Informationen.

Vorgehensweise

Der Aufwand zur Erstellung ist Abhängig von Größe und Art der Organisation, sollte aber auch bei kleinen Unternehmen nicht unterschätzt werden. Ausführende Personen müssen über Bedeutung und Anforderungen informiert werden. Um die notwendige Qualität zu erzielen, bedarf es einer strukturierten mehrstufigen Vorgehensweise. Nach der Erstellung ist das Verfahrensverzeichnis kontinuierlich zu aktualisieren.

Tools

In der Datenschutz-Grundverordnung sind lediglich die notwendigen Inhalte definiert, es gibt keine Vorschriften zur Form. Zur effizienten Umsetzung ist die Nutzung eines Tools zu empfehlen.