Verzeichnis der Verarbeitungstätigkeiten nach DSGVO

Während für viele deutsche Unternehmen schon länger als Verfahrensverzeichnis bekannt, stellt das Verzeichnis der Verarbeitungstätigkeiten nach Artikel 30 DSGVO für viele Schweizer Unternehmen ein Novum dar. Sind sie von der DSGVO betroffen, müssen auch die Unternehmen in der Schweiz aller «Prozesse» führen, in denen personenbezogene Daten verarbeitet werden. Einen Überblick zu Aufbau, Inhalten und weiterführender Literatur habe ich in einem Vortrag im Rahmen eines Fachkurses des KMU Digital Summit zusammengefasst.

Verzeichnis der Verarbeitungstätigkeiten

Das Verzeichnis der Verarbeitungstätigkeiten bildet das Herzstück der Dokumentation im Rahmen der GDPR. Es gibt zunächst Auskunft darüber, wo im Unternehmen überhaupt personenbez. Daten vorhanden sind und wer für diese verantwortlich ist. Es bildet somit einen Baustein einer generellen «Data Governance» und bildet den Ausgangspunkt für das Risikomanagement, die Auskunft gegenüber Datensubjekten und Behörden und die Umsetzung von Massnahmen zum Schutz der Daten.

Interessant wird vor allem die Frage sein, wie gewährleistet werden kann, dass das Verzeichnis mit der Realität im Unternehmen übereinstimmt. In einer deutschen Studie aus dem Jahr 2015 gaben viele der Befragten zum damaligen Verfahrensverzeichnis an, dass ein grosse Zahl der Verfahren nicht erfasst würde.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s