Ihr Dossier ist Ihr Verzeichnis
Das Verarbeitungsverzeichnis ist eines der wichtigsten Dokumente der DSGVO. Die Aufsichtsbehorde kann es jederzeit anfordern, und Sie brauchen es, um nachzuweisen, dass Sie wissen, welche personenbezogenen Daten Sie verarbeiten und warum.
Das Problem? Die meisten Unternehmer wissen nicht, wo sie anfangen sollen. Welche Verarbeitungen habe ich? Welche Daten gehoren dazu? Was sind die korrekten Rechtsgrundlagen?
GDPRWise geht einen anderen Weg. Anstatt Sie zu bitten, ein Verzeichnis von Grund auf aufzubauen, verwalten Sie Ihr DSGVO-Dossier - Kundenprozesse, Personalprozesse und Dritte - und GDPRWise stellt das Verzeichnis aus diesen Daten zusammen. Das Verzeichnis ist ein Ergebnis Ihres Dossiers, keine separate Aufgabe.
Woher die Daten kommen
Ihr Verarbeitungsverzeichnis speist sich aus drei Quellen innerhalb von GDPRWise:
Kundendossier. Jeder Geschaftsprozess, den Sie dokumentieren und der Kundendaten betrifft, wird zu einer Zeile in Ihrem Verzeichnis. Ihr CRM, E-Mail-Marketing, Auftragsabwicklung, Kontaktformulare, Website-Analytics - jeder davon ist eine Verarbeitungstatigkeit mit seinem Zweck, seiner Rechtsgrundlage und seinen Datenkategorien.
Personaldossier. Gehaltsabrechnung, Personalverwaltung, Krankmeldungen, Leistungsbeurteilungen, Zugangsverwaltung - das sind ebenfalls Verarbeitungstatigkeiten, die in Ihr Verzeichnis gehoren. Viele Unternehmen vergessen diesen Teil vollstandig.
Drittanbieter-Dossier. Jeder externe Dienst, der in Ihrem Auftrag personenbezogene Daten verarbeitet, wird als Empfanger bei den entsprechenden Verarbeitungstatigkeiten erfasst. Ihr Hosting-Anbieter, E-Mail-Tool, CRM-Plattform, Steuerberater - sie alle erscheinen im Verzeichnis als Empfanger von Daten.
Der Website-Scan tragt bei, indem er Dritte, Cookies und Tracker erkennt, die mit Ihrer Website verbunden sind. Aber der Scan ist ein Ausgangspunkt, nicht das vollstandige Bild. Die eigentliche Vollstandigkeit kommt aus der Verwaltung Ihrer Dossiers.
Was das Verzeichnis enthalt
Jede Verarbeitungstatigkeit in Ihrem generierten Verzeichnis enthalt die Pflichtfelder aus Artikel 30:
- Zweck - warum verarbeiten Sie diese Daten? (z.B. “Versand von Newslettern”)
- Rechtsgrundlage - auf welcher rechtlichen Basis durfen Sie das tun? (z.B. Einwilligung, berechtigtes Interesse, Vertrag)
- Kategorien personenbezogener Daten - welche Daten verarbeiten Sie? (z.B. E-Mail-Adresse, Name, IP-Adresse)
- Kategorien betroffener Personen - wessen Daten sind es? (z.B. Kunden, Website-Besucher, Mitarbeiter)
- Empfanger - mit wem teilen Sie die Daten? (z.B. Mailchimp, Google Analytics)
- Aufbewahrungsfrist - wie lange bewahren Sie die Daten auf?
- Sicherheitsmassnahmen - wie schutzen Sie die Daten?
All dies wird aus dem ubernommen, was Sie bereits in Ihren Dossiers dokumentiert haben. Keine doppelte Dateneingabe.
Generieren und exportieren
Wenn Sie bereit sind, gehen Sie zum DSGVO-Dokumentenbildschirm und generieren Sie Ihr Verarbeitungsverzeichnis. Der Export ist ein professionell formatiertes PDF, das Sie der Aufsichtsbehorde oder einem Auditor vorlegen oder mit Ihrem Steuerberater teilen konnen.
Das PDF spiegelt immer den aktuellen Stand Ihrer Dossiers wider. Aktualisieren Sie einen Prozess, fugen Sie einen Dritten hinzu oder andern Sie eine Aufbewahrungsfrist in Ihrem Dossier, dann generieren Sie neu - und Ihr Verzeichnis ist aktuell.
Halten Sie es aktuell
Ihr Verarbeitungsverzeichnis ist nur wertvoll, wenn es die Realitat widerspiegelt. Wenn sich Ihr Unternehmen verandert - neue Tools, neue Prozesse, neue Personalaktivitaten - aktualisieren Sie Ihre Dossiers in GDPRWise und generieren Sie das Verzeichnis neu. Weil das Verzeichnis aus Ihren Dossiers zusammengestellt wird, ist die Aktualisierung keine separate Aufgabe. Sie ist ein naturliches Ergebnis der Pflege Ihres Dossiers.
Verwalten Sie Ihre Kunden-, Personal- und Drittanbieterdaten in GDPRWise und generieren Sie dann Ihr Verarbeitungsverzeichnis als gebrauchsfertigen Export.