Das Verzeichnis über Datenverarbeitungstätigkeiten

Grundsätzlich müssen auch Kanzleien ein Verzeichnis über alle Datenverarbeitungstätigkeiten führen, die in ihrem Betrieb durchgeführt werden (z.B. Programme zur Mandats-, Personal- und Dienstleisterverwaltung). Es muss demnach dokumentiert werden, in welchem Zusammenhang mit personenbezogenen Daten gearbeitet wird.

Ziel des Verzeichnisses ist es, eine Übersicht über alle Verarbeitungsvorgänge in der Kanzlei zu führen, in die personenbezogene Daten eingebunden sind. Es sollen alle Prozesse der Kanzlei Eingang in das Verzeichnis der Verarbeitungstätigkeiten finden.

 

Hier herunterladen: Spezialreport DSGVO 2018

Gratis-Spezialreport hier anfordern

Jetzt heißt es handeln: Was Sie  tun können, um Ihre Kanzlei optimal auf die neuen Anforderungen durch die EU-DSGVO 2018 vorzubereiten, erfahren Sie in diesem Report!

Hier klicken und jetzt gratis anfordern!

 

Dabei ist es unerheblich, ob die Verarbeitung auf Papier oder EDV-gestützt erfolgt. Ein handgeführtes Kanzleipostbuch oder die Personalakten der Mitarbeiter zählen ebenso zur Verarbeitung wie die Finanzbuchhaltung, der Abruf der Kontenauszugsdaten oder die regelmäßige Sicherung des Datenbestandes in einem Rechenzentrum.

Inhalt des Verzeichnisses

Das Verzeichnis muss bestimmte Mindestangaben enthalten (Art. 30 Abs. 1 DSGVO):

  • den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten,
  • die jeweilige Verfahrensbezeichnung (z. B. Bewerbung, Personalverwaltung, Finanzbuchhaltung, Mandanteninfoabend),
  • die jeweilige Zweckbestimmung der Datenverarbeitung,
  • eine Beschreibung der betroffenen Personengruppen (Beschäftigte, Mandanten, Mitarbeiter von Mandanten, Besucher des Internetauftritts),
  • eine Beschreibung der personenbezogenen Daten oder Datenkategorien,
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden (z. B. IT-Dienstleister, Systempartner, Hosting-Dienstleister, Aktenvernichter), einschließlich Empfänger in Drittländern oder internationalen Organisationen,
  • für den Fall von Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation die Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation,
  • die Regelfristen für die Löschung der Daten, wobei zu beachten gilt, dass für Protokolldaten oder Videoüberwachung nicht die üblichen 10 oder 6 Jahre, sondern teilweise nur Wochen oder Stunden gelten,
  • eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen. 

Erweitertes Verzeichnisses

Es empfiehlt sich zur Kontrolle des eigenen Unternehmens, ein erweitertes Verzeichnis zu erstellen, in dem zusätzlich aufgeführt werden:

  • die konkreten Verarbeitungstätigkeiten und
  • die herangezogenen Rechtsgrundlagen (z. B.  Art. 6 DS-GVO, Arbeitsvertrag, Betriebsvereinbarung, Einwilligung oder sonstige spezielle Regelungen) aufgeführt werden.

Freistellung von der Verzeichniserstellungspflicht

Unternehmen sind von der Verpflichtung zur Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten freigestellt, wenn sie

  • weniger als 250 Mitarbeiter beschäftigen und
  • die Verarbeitung nur gelegentlich erfolgt und auch keine besonderen Datenkategorien (z.B. Religionsdaten im Rahmen der Abführung von Kirchsteuer etc.) verarbeitet werden.

Eine solche Freistellung kommt für Kanzleien nicht in Betracht.

Vorlage des Verzeichnisses

Das Verzeichnis ist nicht öffentlich und muss auch den betroffenen Personen auch nicht offengelegt werden. Es dient ausschließlich zur Vorlage gegenüber der Aufsichtsbehörde, um nachweisen zu können, in welchem Verfahren in dem jeweiligen Unternehmen oder mit personenbezogenen Daten umgegangen wird.

Form des Verzeichnisses

Das Verzeichnis ist regelmäßig und schriftlich in deutscher Sprache  zu führen. Es kann auch elektronisch vorgehalten werden.

Aktualisierung des Verzeichnisses

Das Verzeichnis muss auf aktuellem Stand gehalten werden. Änderungen sollten dokumentiert werden, um Aktualisierungen gegenüber der Aufsichtsbehörde nachweisen zu können.


» Hier Blick ins Online-Modul werfen

Das komplette Angebot: Machen Sie Ihre Kanzlei in nur 5 Wochen fit für die DSGVO. Mit umfassenden Checklisten, Mustern und Erläuterungen für Sie als Steuerberater. Von den Datenschutzexperten RA Christian Sitter und RA Christian Solmecke!

» Hier klicken und Online-Modul nutzen!

Jetzt heißt es handeln: Was Sie tun können, um ihre Kanzlei optimal auf die neuen Anforderungen durch die EU-DSGVO 2018 vorzubereiten, erfahren Sie in diesem Report!

» Jetzt gratis anfordern

Von RA Christian Sitter und RA Christian Solmecke

Machen Sie Ihre Kanzlei in nur 5 Wochen fit für die DSGVO. Mit umfassenden Checklisten, Mustern und Erläuterungen.

» Jetzt hier bestellen!