GDPR-Register – Aufzeichnung von Verarbeitungstätigkeiten

Die DSGVO verlangt von allen Unternehmen die Führung eines „Verzeichnisses der Verarbeitungstätigkeiten“, das oft auch als GDPR-Register bezeichnet wird. Ihr GDPR-Register muss eine Liste aller Verarbeitungen enthalten, die Ihr Unternehmen mit personenbezogenen Daten vornimmt. Bei den personenbezogenen Daten kann es sich um die Ihrer Kunden, Mitarbeiter, Lieferanten, Partner usw. handeln, die alle in das Register aufgenommen werden sollten. Sie sollten getrennte Register für die Tätigkeiten führen, bei denen Sie der für die Datenverarbeitung Verantwortliche sind, und für die, bei denen Sie ein Datenverarbeiter sind.

Mit der Führung eines internen Personenregisters können Sie zwei Ziele auf einmal erreichen. Indem Sie alle Ihre Aktivitäten im Zusammenhang mit personenbezogenen Daten in das Register eintragen, machen Sie den ersten und wichtigsten Schritt zur Erfüllung Ihrer GDPR-Verpflichtung zur Transparenz.

Zweitens ist die Führung eines solchen Registers auch gesetzlich vorgeschrieben. Sobald Sie einen Kunden, Lieferanten oder Mitarbeiter haben, müssen Sie ein Datenregister führen. Wenn die Aufsichtsbehörde bei Ihnen an die Tür klopft, wird sie immer Ihr Register sehen wollen.
Es gibt kein offizielles Musterdokument oder Muster für das Datenregister, aber auf der Website Ihrer nationalen Datenschutzbehörde finden Sie Leitlinien für das Format des Registers und die darin aufzunehmenden Informationen.

Alternativ können Sie GDPRWise beitreten, da Sie Ihr GDPR-Register mit einem einzigen Klick erstellen können, sobald Sie das ausgefüllte Dossier validiert haben, das wir auf der Grundlage Ihres Industriesektors und des Landes, in dem Sie registriert sind, erstellen. Viele Unternehmen sind noch nicht mit den neuen europäischen Datenschutzvorschriften (GDPR) konform. Einige haben schnell eine Datenschutzerklärung aus dem Internet herausgesucht und auf ihre Website gestellt. Das reicht aber nicht aus, um die Dokumentationspflicht zu erfüllen.

Was sollte in Ihrem GDPR-Register stehen?

Zunächst einmal müssen Sie die Kontaktdaten des für die Verarbeitung Verantwortlichen angeben. Das ist das Unternehmen, das letztlich für die personenbezogenen Daten verantwortlich ist. Wenn Sie einen Datenschutzbeauftragten oder GDPR-Koordinator ernannt haben, müssen Sie dies ebenfalls erwähnen.

Stellen Sie sicher, dass Sie auflisten:

  • Wessen Daten verarbeiten Sie? (Kunde, Mitarbeiter, Dritte,…)
  • Welche personenbezogenen Daten werden von Ihnen verarbeitet? (Name, Wohnanschrift, E-Mail-Adresse,…)
  • Warum verarbeiten Sie die Daten? (Kundenfakturierung, Kundenkorrespondenz, Einstellung von Personal,…)
  • Auf welche Rechtsgrundlage stützen Sie sich bei der Verarbeitung? (z. B. Einwilligung, Vertragserfüllung, berechtigtes Interesse)
  • Mit welchen Dritten teilen Sie die Daten? Dritte Parteien innerhalb oder außerhalb der EU?
  • Wie lange bewahren Sie die Daten auf?
  • Welche Maßnahmen ergreifen Sie, um die Daten zu schützen?

Sobald Sie Ihr Register haben, speichern Sie es in einem zentralen GDPR-Dossier, in dem Sie alles sammeln, was Ihre GDPR-Anforderungen betrifft. Auf diese Weise können Sie leicht zeigen, dass Sie den Datenschutz ernst nehmen. Achten Sie auch darauf, das Register regelmäßig zu aktualisieren, denn es muss stets die Art und Weise widerspiegeln, wie Ihre Organisation mit Daten umgeht.