Verarbeitungsverzeichnis

Die Führung eines guten Verarbeitungsverzeichnisses stellt heutzutage eine rechtliche Pflicht für nahezu Jeden dar, der personenbezogene Daten verarbeitet. Dabei handelt es sich um eine Dokumentation, die grundsätzlich aufzeigt, wie das Unternehmen als Verantwortlicher mit personenbezogenen Daten umgeht.

Es beschreibt insbesondere, welche Sicherheitsvorkehrungen der Verantwortliche trifft, um die Daten vor unrechtmäßigen Gebrauch zu schützen. Nur so steht das Unternehmen bei Prüfungen der Aufsichtsbehörden auf der sicheren Seite. Das Interesse der Aufsichtsbehörde bei jeder Prüfung oder Beschwerde richtet sich zu allererst auf dieses Verzeichnis.  

Das Wichtigste auf einen Blick

1. Was ist ein Verarbeitungsverzeichnis ? 

Nach der europäischen Datenschutzgrundverordnung ist jeder Verantwortliche, der personenbezogene Daten verarbeitet, verpflichtet die Datenverarbeitungsvorgänge in einem ausführlichen Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren. Das Verzeichnis von Verarbeitungstätigkeiten, ist in der DSGVO in Art. 30 DSGVO geregelt.

Darin muss eine akribische Dokumentation aller Verarbeitungsvorgänge innerhalb des Unternehmens erfolgen. Insbesondere welche Datenkategorie gespeichert wird, auf welcher Rechtsgrundlage dies geschieht, wie lange eine Datenspeicherung erfolgt, an wen eine Datenübermittlung erfolgt und wie die verarbeiteten Daten geschützt werden. 

2. Wann ist ein Verarbeitungsverzeichnis notwendig? 

Nahezu jeder Verantwortliche ist nach der DSGVO verpflichtet ein ausführliches Verzeichnis über die Verarbeitungstätigkeit zuführen. Dies betrifft sowohl Behörden und Unternehmen, als auch natürliche Personen und Vereine, sobald eine Verarbeitung personenbezogener Daten durchgeführt wird. 

Ferner ist zu beachten, dass nicht nur Verantwortliche ein Verarbeitungsverzeichnis führen müssen, sondern auch Auftragsverarbeiter, Art. 30 Abs. 2 DSGVO. Dementsprechend muss jeder Auftragsverarbeiter oder ggf. dessen Vertreter ein Verzeichnis über alle im Auftrag eines Verantwortlichen vorgenommenen Verarbeitungstätigkeiten führen. Dieses unterliegt im Verhältnis zum Datenschutzverantwortlichen im Wesentlichen denselben  inhaltlichen Anforderungen.   

Muss ein Verarbeitungsverzeichnis geführt werden, stehen für die Dokumentation der Verarbeitungstätigkeiten im Sinne der DSGVO einige Möglichkeiten zur Verfügung. Als Verantwortlicher kann das Verzeichnis selbstständig erstellt werden, was im Falle einer rechtlich unerfahrenen Person mit viel Aufwand verbunden, zudem fehleranfällig und risikobehaftet ist.

Die Beauftragung eines Spezialisten stellt stets die sicherste Möglichkeit dar, jedoch auch die kostenintensivste. Einen Mittelweg stellt die selbstständige Erstellung eines Verarbeitungsverzeichnisses mithilfe eines Datenschutz-Management-Systems dar, das von Spezialisten für diesen Zweck erstellt wurde.

Von der Verwendung eines der zahlreichen allgemeingehaltenen oder gar veralteten Muster, die im Internet kursieren ist dagegen abzuraten, da das Risiko unnötiger und gravierender Fehler extrem hoch ist.  

Im Rahmen der DSGVO kann unter Umständen von einer Verpflichtung zur Führung eines Verarbeitungsverzeichnisses abgesehen werden.  

Demnach muss ein Verarbeitungsverzeichnis nach Art. 30 Abs. 5 DSGVO nur geführt werden, wenn 

1. mindestens 250 Mitarbeiter beschäftigt werden oder 

2. die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt oder 

3. eine Verarbeitung besonders sensibler Daten nach Artikel 9 Abs. 1 erfolgt (bspw. Religionszugehörigkeit, sexuelle Orientierung) oder 

4. eine Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO erfolgt 

5. die Verarbeitung nicht nur gelegentlich erfolgt 

Da es keine klare Aussage (Rechtsprechung oder Literatur) darüber gibt, wann eine Verarbeitung personenbezogener Daten gelegentlich oder regelmäßig erfolgt, könnte dies ein Problem für kleinere Unternehmen darstellen. Eine gelegentliche Datenverarbeitung liegt grundsätzlich vor, wenn diese in großen Zeitabständen erfolgt oder die Verarbeitung eine unvorhersehbare Folge des eigentlichen Betriebs ist.  

Demgegenüber spricht man von einer regelmäßigen Datenverarbeitung, wenn  

Liegt eine solche regelmäßige Datenverarbeitung vor, muss ein Verarbeitungsverzeichnis geführt werden. 

Die Dokumentation der Verarbeitungsvorgänge innerhalb eines Unternehmens ist besonders deswegen von Bedeutung, weil dieses gem. Art. 30 Abs. 4 DSGVO bei einer Anfrage durch die Aufsichtsbehörde vom verantwortlichen zur Verfügung gestellt werden muss, sodass es als Nachweis darüber dient, dass alle Vorschriften der DSGVO eingehalten wurden.  

3. Welchen Inhalt muss ein Verarbeitungsverzeichnis haben ? 

Die inhaltlichen Anforderungen an ein solches Verzeichnis im Hinblick auf alle Verarbeitungstätigkeiten innerhalb des Unternehmens, ergeben sich aus Art. 30 Abs. 1 S. 2 lit. a) bis lit. g) DSGVO.  

Dabei sind alle automatisierten, sowie nichtautomatisierten Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder noch gespeichert werden sollen, aufzuführen. Es ist jede Tätigkeit, die im Zusammenhang mit einer Datenverarbeitung steht in diesem Verzeichnis festzuhalten. 

Bei der Erstellung eines solchen Verzeichnisses, sollten zu aller erst alle Dateneingänge und -ausgänge erfasst werden, die in dem verarbeitenden Unternehmen anfallen.  Insofern ist beispielsweise für jede einzelne Verarbeitungstätigkeit eine neue Beschreibung anzulegen. Sobald eine Verarbeitung bereits bekannter Daten zu einem anderen Zweck stattfindet, muss diese in einem neuen Vorgang notiert werden. 

In einem Verarbeitungsverzeichnis werden nicht die einzelnen Kundendaten erfasst, sondern vielmehr die Datenschutz-Vorgänge und Datenkategorien, in denen das verarbeitende Unternehmen personenbezogene Daten speichert oder verarbeitet.

Folglich sind nur die Tätigkeiten und Datenarbeiten aufzulisten, wie etwa eine Verarbeitung von Bewerber- und Personaldaten, interne und externe Kommunikationsvorgänge des Unternehmens, Vorgänge in der Kundenbetreuung, Marketingmaßnahmen, Finanzen- und Buchhaltung, Videoüberwachungsmaßnahmen sowie der Ablauf einer Datenvernichtung.  

Ein Verarbeitungsverzeichnis sollte im wesentlichen folgende Inhalte aufweisen:  

Fallen Änderungen an, wie beispielsweise eine Änderung des Verantwortlichen oder Datenschutzbeauftragten, müssen diese in einer Änderungshistorie festgehalten werden.  

Wie detailliert das Verarbeitungsverzeichnis ausgestaltet werden muss, ist gesetzlich nicht festgelegt und ist einzelfallabhängig.  

Ist das Verzeichnis lückenhaft oder überhaupt nicht vorhanden, drohen gemäß Art. 83 Abs. 4a DSGVO  Bußgelder von bis zu 10 Millionen Euro oder bis zu 2 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.  

4. Welche Form muss ein Verarbeitungsverzeichnis haben? 

Das Verzeichnis über die Verarbeitungstätigkeiten ist schriftlich zu führen. Dies kann allerdings auch in einem elektronischen Format, erfolgen, Art. 30 Abs. 3 DSGVO. 

5. Fazit

Die Führung eines ausführlichen Verarbeitungsverzeichnisses ist in den allermeisten Fällen unumgänglich und sollte von den Unternehmen in jedem Fall als eine Pflicht wahrgenommen werden. Darüber hinaus ist ein solches Verzeichnis erforderlich, um sich einen Überblick über die Prozesse innerhalb des eigenen Unternehmens zu verschaffen. 

Da das Verarbeitungsverzeichnis im Zentrum der Rechtmäßigkeitskontrolle einer Datenverarbeitung steht und ihm somit eine wichtige Rolle bei der Überprüfung der Einhaltung datenschutzrechtlicher Bestimmungen zukommt, empfiehlt es sich für Unternehmen, vor allem um DSGVO-Haftungsrisiken zu vermeiden, stets einen Experten zu Rate zu ziehen.