Unternehmen sind dazu verpflichtet, die Verarbeitung personenbezogener Daten schriftlich zu dokumentieren. Das sogenannte Verarbeitungsverzeichnis weist die Einhaltung der DSGVO nach. Auf Verlangen ist es der zuständigen Datenschutzbehörde auszuhändigen. Das betrifft alle Unternehmen, die über mehr als 250 Beschäftigte verfügen.

Der Gesetzgeber plante ursprünglich, dass kleinere Firmen von der Pflicht zur Dokumentation befreit werden. Aber nicht gänzlich. Einige Verarbeitungen sind doch zu dokumentieren. Wenn eine Tätigkeit öfter als nur gelegentlich stattfindet, haben auch kleine Unternehmen mit weniger als 250 Mitarbeitern dies zu dokumentieren. Ebenso, wenn die Verarbeitung Risiken für die Betroffenen birgt. Das ist schnell der Fall. So sorgt die Vorschrift mit den Ausnahmen dafür, dass dann doch jede Verarbeitung dokumentiert wird.

In einem gültigen Verarbeitungsverzeichnis stehen unter anderem Name und Kontaktdaten des Verantwortlichen sowie der Zweck der Verarbeitung. Hat das Unternehmen einen Datenschutzbeauftragten benannt, ist er mit seinen Kontaktdaten zu nennen. Darüber hinaus ist im Verzeichnis die Kategorie der betroffenen Personen und die Art der erhobenen Daten darzustellen. Zudem ist über die Dauer der Speicherung zu informieren und es sind die technischen und organisatorischen Maßnahmen (TOM) zu beschreiben.

Die gewissenhafte Analyse der eigenen Arbeitsabläufe zeigt oft unerkannte, interne Risiken auf und kann so unbekannte Potenziale heben. Die Frage lautet daher nicht „muss“, sondern „sollte ich ein Verarbeitungsverzeichnis führen?“ Unsere Empfehlungen: Ja, definitiv. Wandeln Sie das Pflichtprogramm zu einer Kür. Halten Sie sich ihre Prozesse vor Augen. Mit aktisto gelingt das im Handumdrehen.