Verfahrensbeschreibungen erstellen lassen und datenschutzkonform Nachweispflichten erfüllen

Nach unten scrollen
Wichtige Fragen und Antworten
Verfahrensbeschreibung beauftragen

VERFAHRENSBESCHREIBUNGEN – DAS HERZSTÜCK DER DATENSCHUTZDOKUMENTATION FÜR SOFTWAREUNTERNEHMEN, SOZIALE EINRICHTUNGEN UND ORGANISATIONEN, DIE WERT AUF DATENSCHUTZ LEGEN

Falls Sie schon immer einmal wissen wollten, was das Herzstück Ihrer Datenschutzdokumentation ist und wie Sie die unterschiedlichsten Nachweispflichten erfüllen, dann sind Verfahrensbeschreibungen das, was Sie suchen. Profitieren Sie hierbei als Softwareunternehmensoziale Einrichtung oder sonstige datenschutzaffine Organisation von erfahrenen  Datenschutzbeauftragten, die Ihnen helfen, Ihre Prozessabläufe zu prüfen und zu dokumentieren, ob bzw. wie sie datenschutzkonform sind.

Was ist eine Verfahrensbeschreibung?

Die Verfahrensbeschreibung ist das Herzstück der Datenschutzdokumentation und beschreibt detailliert einzelne Verarbeitungsprozesse als Teil des Verzeichnisses von Verarbeitungstätigkeiten. Dabei sind Pflichtinhalte zu berücksichtigen, die sich aus Artikel 30 der Datenschutz-Grundverordnung (DS-GVO) ergeben. Für evangelische kirchliche Stellen enthält § 31 im Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) die erforderlichen Angaben, für katholische Stellen § 31 im Gesetz über den Kirchlichen Datenschutz (KDG).

Was ist eine Verarbeitungstätigkeit?

Als Verarbeitungstätigkeit gilt jegliche Verarbeitung von personenbezogenen Daten. Dies beinhaltet erheben, erfassen, organisieren, ordnen, speichern, anpassen oder verändern, auslesen, abfragen, verwenden, übermitteln, verbreiten, abgleichen, verknüpfen, einschränken, löschen oder vernichten von personenbezogenen Daten. Oder viel verständlicher formuliert: Egal ob Sie eine Bewerbung prüfen, ein Angebot für einen Kunden oder Interessenten erstellen, Ihr Dienstleister mit einer Fernwartungssoftware Ihnen hilft ein Problem in Ihrer Klientenverwaltungssoftware zu lösen – das alles fällt darunter.

Wer muss ein Verfahrensverzeichnis führen und was sind die Pflichtinhalte einer Verfahrensbeschreibung?

Die Pflicht gilt für Verantwortliche (also z.B. Unternehmen und soziale Einrichtungen) wenn sie mehr als 250 Personen beschäftigen. Heißt das, dass sich viele kleinere und mittlere Unternehmen nicht damit beschäftigen müssen? Leider nein, da auch diese Verarbeitungsvorgänge dokumentieren müssen, wenn diese

  • mit Risiken behaftet sind,
  • regelmäßig stattfinden oder
  • dabei Gesundheitsdaten oder Daten zu strafrechtlichen Verurteilungen beinhalten.

Im Ergebnis sind Verfahrensbeschreibungen auch für fast alle kleineren Unternehmen und soziale Einrichtungen verpflichtend, da in der Regel immer Risiken vorhanden sind und nahezu jede Organisation Gesundheitsdaten im Personalbereich verarbeitet.

Nach der DS-GVO müssen Verantwortliche und Auftragsverarbeiter ein Verarbeitungsverzeichnis dokumentieren, die sich in den Pflichtinhalten unterscheiden.

FAQ rund um das Thema Verfahrensbeschreibung 

Was sind die Pflichtinhalte für Verantwortliche?

Als Verantwortlicher müssen Organisationen und soziale Einrichtungen darin folgende Inhalte berücksichtigen (Art. 30 Absatz 1 DS-GVO enthält die rechtlichen Vorgaben):

  1. Name und Kontaktdaten des Verantwortlichen, also der Organisation, die die Daten verantwortlich verarbeitet; sofern eine gemeinsame Verantwortlichkeit vorliegt, deren Daten; ist ein Datenschutzbeauftragter bestellt, auch dessen Daten,
  2. Zwecke, für die Organisation die Daten verarbeitet,
  3. Personengruppen und deren Datenkategorien, die die Organisation verarbeitet;
  4. Empfänger, die die Daten von der Organisation erhalten, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  5. Sofern die Organisation personenbezogenen Daten in Drittland oder an eine internationale Organisation übermittelt, den Namen des Landes bzw. der der betreffenden internationalen Organisation, sowie die getroffenen Maßnahmen nach Artikel 49 Absatz 1 Unterabsatz 2 über die die Organisation ein angemessenes Datenschutzniveau sicherstellt;
  6. Löschfristen für die verschiedenen Datenkategorien;
  7. die technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten gemäß Artikel 32 Absatz 1.

Wenn Sie interessiert, wie der Gesetzestext der DS-GVO zu den Pflichtinhalten lautet, so können Sie dies in unserem Lexikonbeitrag zum Verfahrensverzeichnis nachlesen.

Was gilt für kirchliche Verantwortliche?

Die Pflichtinhalte der Verfahrensverzeichnisse nach DSG-EKD und KDG unterscheiden sich nur geringfügig. Kirchliche Stellen müssen zusätzlich dokumentieren, ob sie Profiling verwenden (§ 31 Abs. 1 Nr. 4 DSG-EKD bzw. § 31 Abs. 1 lit. d) KDG).

Was sind die Pflichtinhalte für Auftragsverarbeiter?

Auftragsverarbeiter sind bei der Auftragsverarbeitung gesetzlich verpflichtet, ebenfalls ein Verfahrensverzeichnis zu pflegen, um die Datenverarbeitungen für ihre Auftraggeber in einer abgespeckten Version zu dokumentieren:

  1. Namen und Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist; sofern eine gemeinsame Verantwortlichkeit vorliegt, deren Daten; ist ein Datenschutzbeauftragter bestellt, auch dessen Daten,
  2. die Datenkategorien, die der Auftragsverarbeiter im Auftrag jedes Verantwortlichen verarbeitet;
  3. sofern der Auftragsverarbeiter personenbezogenen Daten in ein Drittland oder an eine internationale Organisation übermittelt , den Namen des Landes bzw. der der betreffenden internationalen Organisation, sowie die getroffenen Maßnahmen nach Artikel 49 Absatz 1 Unterabsatz 2 über die die Organisation ein angemessenes Datenschutzniveau sicherstellt;
  4. die technischen und organisatorischen Maßnahmen.

Wo findet man den Gesetzestext der DS-GVO zu den Pflichtinhalten des Verfahrensverzeichnisses?

Wenn Sie interessiert, wie der Gesetzestext der DS-GVO zu den Pflichtinhalten lautet, so können Sie dies in unserem Lexikonbeitrag zum Verfahrensverzeichnis nachlesen.

Was sind Vorteile über die gesetzliche Anforderung hinaus?

Nutzen Sie die Pflicht, ein Verarbeitungsverzeichnis zu führen, als „Kür“. Vielleicht ist das der Anreiz für Sie, Ihre Prozesse erstmalig zu dokumentieren. Häufig entdecken Organisationen dabei sofort Abläufe, die sie als unnötig, nicht sinnvoll oder zumindest verbesserungswürdig bewerten. Gleichzeitig schaffen Sie Transparenz über sämtliche Verarbeitungsvorgänge und berücksichtigen Softwareanwendungen, die Sie bisher möglicherweise nicht auf dem Schirm hatten. Als weiteres Ergebnis könnten dokumentierte Prozesse oder neue Vorlagen entstehen und Sie starten Ihr eigenes internes Qualitätsmanagement.

Grundsätzlich ist die Verfahrensbeschreibung (das Verarbeitungsverzeichnis) ein wertvolles Hilfsmittel, um die Rechenschaftspflichten zum korrekten Umgang mit Daten nachzuweisen.

Was kostet eine Verfahrensbeschreibung?

Die Kosten hängen von der Komplexität der betrachteten Datenverarbeitung bzw. des Prozesses ab. Für einen einfachen Prozess wie z.B. das Pflegen von Aushängen mit Kontaktdaten dauert es nur wenige Minuten die Verfahrensbeschreibung zu erstellen. Komplexe Abläufe wie eine digitale Personalakte können hingegen mehrere Stunden dauern, wenn man dabei z.B. Löschfristen berücksichtigt.

Unser Unterstützungsangebot

Wir haben in unserer Betreuung von Softwareunternehmen und sozialen Einrichtungen schon „unzählige“ Verfahrensbeschreibungen erstellt und besitzen dadurch einen immens großen Schatz an Erfahrungswerten. Im Sinne eines Best-Practice Ansatzes geben wir gerne unsere Erfahrungen in Optimierungsvorschlägen für Ihre Prozessabläufe an Sie weiter – wenn Sie das wünschen!

  1. Wir identifizieren gemeinsam mit Ihnen die Prozesse (Verfahren) in denen Sie personenbezogene Daten verarbeiten.
  2. Dann sprechen wir mit Ansprechpartnern über die Abläufe, prüfen diese und dokumentieren diese in der gesetzlich geforderten Form.

Dabei identifizieren wir auch Abweichungen, die zu weiteren Datenschutzaufgaben führen können. Ein weiterer Vorteil besteht darin, dass eine Verfahrensbeschreibung auch für die Datenschutz-Folgenabschätzung hilft. Schlussendlich erstellen wir somit für Sie als Kunde das Verzeichnis der Verarbeitungstätigkeiten, welches aus einer Dokumentation aller Prozesse besteht.

Optional und abhängig von Ihrer Intention als unser Kunden dokumentieren wir gerne die Prozessabläufe in der Form, dass sie auch als interne Prozessbeschreibungen nutzbar sind.

Jetzt Kontakt aufnehmen

Kontaktieren Sie das Team der ENSECUR um ein für ihr Unternehmen zugeschnittenes Angebot für Verfahrensbeschreibungen zu erhalten.

Kontaktieren Sie uns

    Bildquellen: