Was ist ein Datenbearbeitungsverzeichnis und wer muss dieses führen?
Ein Datenbearbeitungsverzeichnis gibt Auskunft darüber, wie (Personen-)Daten in einem Unternehmen bearbeitet werden. Dieses Verzeichnis soll dem Unternehmen eine Übersicht über alle mit Personendaten im Zusammenhang stehenden Bearbeitungsvorgänge verschaffen. Zudem ist es ein nützliches Hilfsinstrument, um Auskunftsbegehren rasch beantworten zu können.
Ein Datenbearbeitungsverzeichnis ist allerdings nicht für alle Unternehmen Pflicht. Wenn du weniger als 250 Mitarbeitende beschäftigst und weder besonders schützenswerte Personendaten bearbeitest noch Profiling mit hohem Risiko betreibst, musst du kein solches Verzeichnis führen. Aus Transparenzgründen und zur rechtlichen Absicherung empfehlen wir es dir trotzdem.
Die Form des Datenbearbeitungsverzeichnisses wird von Gesetzes wegen nicht vorgeschrieben. Du kannst dieses beispielsweise als Excel- oder Word-Dokument verfassen. Nutze hierfür unsere kostenlose Vorlage.
Wird die Verzeichnispflicht verletzt, drohen zwar keine unmittelbaren Sanktionen, der EDÖB kann jedoch die Einhaltung von Pflichten verfügen und bei den zuständigen Strafverfolgungsbehörden Anzeige erstatten. Bei Strafverfahren wegen Verletzung von Informations-, Auskunfts-, Mitwirkungs- oder Sorgfaltspflichten drohen Bussen bis zu CHF 250’000.
Was gehört in ein Datenbearbeitungsverzeichnis?
Das Gesetz sieht vor, dass das Datenbearbeitungsverzeichnis mindestens Folgendes enthalten muss:
- Identität der verantwortlichen Person
- Bearbeitungszweck
- Kategorien der betroffenen Personen und der bearbeiteten Personendaten
- Kategorien der Empfängerinnen oder Empfänger von Personendaten
- Wenn möglich die Dauer der Aufbewahrung der Personendaten (oder Kriterien anhand welcher die Dauer festgelegt wird)
- Wenn möglich Angaben dazu, wie die Datensicherheit gewährleistet wird
- Falls Personendaten ins Ausland bekanntgegeben werden, den Staat sowie Datenschutzgarantien
Wichtig zu wissen
Versuche stets, das Verzeichnis aktuell zu halten, denn so stellst du sicher, dass du zu jeder Zeit einen guten Überblick über alle Vorgänge hast. Ausserdem hilft es dir im Bedarfsfall, rasch und vollständig Auskunft erteilen zu können.
Auch wenn dieses Verzeichnis ein internes Dokument ist, kann der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) im Rahmen einer Untersuchung das Datenbearbeitungsverzeichnis kontrollieren. Führst du es sauber und hältst du es aktuell, kannst du den Nachweis, dass die datenschutzrechtlichen Vorschriften eingehalten werden, leicht erbringen.
Weitere Rechtstipps und Vorlagen zum Thema Datenschutz:
- Zu den 12 wichtigsten Punkten
- Zum nächsten Punkt: Eine Vorgehensweise für eine rasche Beantwortung der Anfragen betroffener Personen ausarbeiten
- Zurück zur Übersicht aller Rechtstipps