.st0{fill:#FFFFFF;}

Verarbeitungsverzeichnis

Wichtige Datenschutz-Themen von Profis aufbereitet

Verarbeitungsverzeichnis

Die Führung eines guten Verarbeitungsverzeichnisses stellt heutzutage eine rechtliche Pflicht für nahezu Jeden dar, der personenbezogene Daten verarbeitet. Dabei handelt es sich um eine Dokumentation, die grundsätzlich aufzeigt, wie das Unternehmen als Verantwortlicher mit personenbezogenen Daten umgeht.

Es beschreibt insbesondere, welche Sicherheitsvorkehrungen der Verantwortliche trifft, um die Daten vor unrechtmäßigen Gebrauch zu schützen. Nur so steht das Unternehmen bei Prüfungen der Aufsichtsbehörden auf der sicheren Seite. Das Interesse der Aufsichtsbehörde bei jeder Prüfung oder Beschwerde richtet sich zu allererst auf dieses Verzeichnis.  

 

Das Wichtigste auf einen Blick

  • Das Verzeichnis von Verarbeitungstätigkeiten, muss von jeder datenverarbeitenden Stelle angefertigt werden 
  • Das Verzeichnis muss in schriftlicher Form geführt werden. Dies kann auch in einem elektronischen Format erfolgen 
  • Die inhaltlichen Vorgaben richten sich nach dem Katalog in Art. 30 Abs. 1 S. 2 lit. a) bis lit. g) DSGVO 
  • Ein lückenhaftes oder fehlendes Verzeichnis kann Bußgelder von bis zu 10 Millionen Euro oder bis zu 2 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres begründen,  Art. 83 Abs. 4 lita) DSGVO  

1. Was ist ein Verarbeitungsverzeichnis ? 

Nach der europäischen Datenschutzgrundverordnung ist jeder Verantwortliche, der personenbezogene Daten verarbeitet, verpflichtet die Datenverarbeitungsvorgänge in einem ausführlichen Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren. Das Verzeichnis von Verarbeitungstätigkeiten, ist in der DSGVO in Art. 30 DSGVO geregelt.

Darin muss eine akribische Dokumentation aller Verarbeitungsvorgänge innerhalb des Unternehmens erfolgen. Insbesondere welche Datenkategorie gespeichert wird, auf welcher Rechtsgrundlage dies geschieht, wie lange eine Datenspeicherung erfolgt, an wen eine Datenübermittlung erfolgt und wie die verarbeiteten Daten geschützt werden. 


2. Wann ist ein Verarbeitungsverzeichnis notwendig? 

Nahezu jeder Verantwortliche ist nach der DSGVO verpflichtet ein ausführliches Verzeichnis über die Verarbeitungstätigkeit zuführen. Dies betrifft sowohl Behörden und Unternehmen, als auch natürliche Personen und Vereine, sobald eine Verarbeitung personenbezogener Daten durchgeführt wird. 

Ferner ist zu beachten, dass nicht nur Verantwortliche ein Verarbeitungsverzeichnis führen müssen, sondern auch Auftragsverarbeiter, Art. 30 Abs. 2 DSGVO. Dementsprechend muss jeder Auftragsverarbeiter oder ggf. dessen Vertreter ein Verzeichnis über alle im Auftrag eines Verantwortlichen vorgenommenen Verarbeitungstätigkeiten führen. Dieses unterliegt im Verhältnis zum Datenschutzverantwortlichen im Wesentlichen denselben  inhaltlichen Anforderungen.   

Muss ein Verarbeitungsverzeichnis geführt werden, stehen für die Dokumentation der Verarbeitungstätigkeiten im Sinne der DSGVO einige Möglichkeiten zur Verfügung. Als Verantwortlicher kann das Verzeichnis selbstständig erstellt werden, was im Falle einer rechtlich unerfahrenen Person mit viel Aufwand verbundenzudem fehleranfällig und risikobehaftet ist.

Die Beauftragung eines Spezialisten stellt stets die sicherste Möglichkeit dar, jedoch auch die kostenintensivste. Einen Mittelweg stellt die selbstständige Erstellung eines Verarbeitungsverzeichnisses mithilfe eines Datenschutz-Management-Systems dar, das von Spezialisten für diesen Zweck erstellt wurde.

Von der Verwendung eines der zahlreichen allgemeingehaltenen oder gar veralteten Muster, die im Internet kursieren ist dagegen abzuraten, da das Risiko unnötiger und gravierender Fehler extrem hoch ist.  


Im Rahmen der DSGVO kann unter Umständen von einer Verpflichtung zur Führung eines Verarbeitungsverzeichnisses abgesehen werden.  

Demnach muss ein Verarbeitungsverzeichnis nach Art. 30 Abs. 5 DSGVO nur geführt werden, wenn 

  1. mindestens 250 Mitarbeiter beschäftigt werden oder 

  1. die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt oder 

  1. eine Verarbeitung besonders sensibler Daten nach Artikel 9 Abs. 1 erfolgt (bspw. Religionszugehörigkeit, sexuelle Orientierung) oder 

  1. eine Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO erfolgt 

  1. die Verarbeitung nicht nur gelegentlich erfolgt 

Da es keine klare Aussage (Rechtsprechung oder Literatur) darüber gibt, wann eine Verarbeitung personenbezogener Daten gelegentlich oder regelmäßig erfolgt, könnte dies ein Problem für kleinere Unternehmen darstellen. Eine gelegentliche Datenverarbeitung liegt grundsätzlich vor, wenn diese in großen Zeitabständen erfolgt oder die Verarbeitung eine unvorhersehbare Folge des eigentlichen Betriebs ist.  

Demgegenüber spricht man von einer regelmäßigen Datenverarbeitung, wenn  

  • fortlaufend oder in bestimmten Abständen während eines bestimmten Zeitraums Daten verarbeitet werden oder
  • Daten immer wieder oder wiederholt zu bestimmten Zeitpunkten verarbeitet werden oder
  • Daten ständig verarbeitet werden.

Liegt eine solche regelmäßige Datenverarbeitung vor, muss ein Verarbeitungsverzeichnis geführt werden. 

Die Dokumentation der Verarbeitungsvorgänge innerhalb eines Unternehmens ist besonders deswegen von Bedeutung, weil dieses gem. Art. 30 Abs. 4 DSGVO bei einer Anfrage durch die Aufsichtsbehörde vom verantwortlichen zur Verfügung gestellt werden muss, sodass es als Nachweis darüber dient, dass alle Vorschriften der DSGVO eingehalten wurden.  


3. Welchen Inhalt muss ein Verarbeitungsverzeichnis haben ? 

Die inhaltlichen Anforderungen an ein solches Verzeichnis im Hinblick auf alle Verarbeitungstätigkeiten innerhalb des Unternehmens, ergeben sich aus Art. 30 Abs. 1 S. 2 lit. a) bis lit. g) DSGVO.  

Dabei sind alle automatisierten, sowie nichtautomatisierteVerarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder noch gespeichert werden sollen, aufzuführen. Es ist jede Tätigkeit, die im Zusammenhang mit einer Datenverarbeitung steht in diesem Verzeichnis festzuhalten. 

Bei der Erstellung eines solchen Verzeichnisses, sollten zu aller erst alle Dateneingänge und -ausgänge erfasst werden, die in dem verarbeitenden Unternehmen anfallen.  Insofern ist beispielsweise für jede einzelne Verarbeitungstätigkeit eine neue Beschreibung anzulegen. Sobald eine Verarbeitung bereits bekannter Daten zu einem anderen Zweck stattfindet, muss diese in einem neuen Vorgang notiert werden. 

In einem Verarbeitungsverzeichnis werden nicht die einzelnen Kundendaten erfasst, sondern vielmehr die Datenschutz-Vorgänge und Datenkategorien, in denen das verarbeitende Unternehmen personenbezogene Daten speichert oder verarbeitet.

Folglich sind nur die Tätigkeiten und Datenarbeiten aufzulisten, wie etwa eine Verarbeitung von Bewerber- und Personaldaten, interne und externe Kommunikationsvorgänge des Unternehmens, Vorgänge in der Kundenbetreuung, Marketingmaßnahmen, Finanzen- und Buchhaltung, Videoüberwachungsmaßnahmen sowie der Ablauf einer Datenvernichtung.  

Ein Verarbeitungsverzeichnis sollte im wesentlichen folgende Inhalte aufweisen:  

  • Benennung aller Verantwortlicher der Datenverarbeitung und deren Kontaktdaten 
  • Unter Umständen die Kontaktdaten eines etwaigen Datenschutzbeauftragten 
  • Angaben über den Zweck der Verarbeitung (Bsp. Personalakte, Urlaubsplanung, Vertragsabwicklung) 
  • Beschreibung der Kategorie der betroffenen Personen und der personenbezogenen Daten (Bspw. Kunde oder Angestellter) 
  • Angabe der Empfängerkategoriegegenüber denen eine Offenlegung der Daten erfolgt oder noch erfolgen soll (Bspw. Versandunternehmen, Ämter, Banken) 
  • Ggf. Angaben zu Übermittlungen von Daten mit Personenbezug an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation 
  • Angaben über die vorgesehenen Löschfristen der verschiedenen Datenkategorien 
  • Wenn möglich, eine allgemeine Beschreibung der technisch- organisatorischen Maßnahmen. Dabei handelt es sich um die Beschreibung, welche technischen und organisatorischen Sicherheitsvorkehrungen der Verantwortliche trifft (Bspw. Pseudonymisierung oder Verschlüsselung der Daten 

Fallen Änderungen an, wie beispielsweise eine Änderung des Verantwortlichen oder Datenschutzbeauftragten, müssen diese in einer Änderungshistorie festgehalten werden.  

Wie detailliert das Verarbeitungsverzeichnis ausgestaltet werden muss, ist gesetzlich nicht festgelegt und ist einzelfallabhängig.  

Ist das Verzeichnis lückenhaft oder überhaupt nicht vorhanden, drohen gemäß Art. 83 Abs. 4a DSGVO  Bußgelder von bis zu 10 Millionen Euro oder bis zu 2 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.  


4. Welche Form muss ein Verarbeitungsverzeichnis haben? 

Das Verzeichnis über die Verarbeitungstätigkeiten ist schriftlich zu führen. Dies kann allerdings auch in einem elektronischen Format, erfolgen, Art. 30 Abs. 3 DSGVO. 

 

5. Fazit

Die Führung eines ausführlichen Verarbeitungsverzeichnisses ist in den allermeisten Fällen unumgänglich und sollte von den Unternehmen in jedem Fall als eine Pflicht wahrgenommen werden. Darüber hinaus ist ein solches Verzeichnis erforderlich, um sich einen Überblick über die Prozesse innerhalb des eigenen Unternehmens zu verschaffen

Da das Verarbeitungsverzeichnis im Zentrum der Rechtmäßigkeitskontrolle einer Datenverarbeitung steht und ihm somit eine wichtige Rolle bei der Überprüfung der Einhaltung datenschutzrechtlicher Bestimmungen zukommt, empfiehlt es sich für Unternehmen, vor allem um DSGVO-Haftungsrisiken zu vermeiden, stets einen Experten zu Rate zu ziehen. 

Ähnliche spannende Beiträge

Artikel 82 DSGVO

Bußgeld veraltete Software

Löschung durch Anonymisierung: Alles zu den Voraussetzungen und Anforderungen. Datenschutzexperten informieren.

Weiterlesen
Videoüberwachung

Videoüberwachung DSGVO

Ist die Videoüberwachung nach der DSGVO zulässig? In diesem Artikel erhalten Sie alle wichtigen Informationen für die Praxis.

Weiterlesen
Informationspflichten DSGVO

Informationspflichten DSGVO

Die Informationspflichten der DSGVO sind vielseitig. Hier erfahren Sie, was Sie in der Praxis beachten müssen. Jetzt informieren.

Weiterlesen
Artikel 82 DSGVO

EDSA: Neue Leitlinien zur Bußgeldberechnung

Erfahren Sie mehr über die neuen Richtlinien, bei denen Unternehmen bald mit höheren Strafen für Verstöße gegen die Allgemeine Datenschutzverordnung (DSGVO) rechnen müssen.

Weiterlesen
Artikel 82 DSGVO

Datenschutz als Einzelunternehmer

Datenschutz für Einzelunternehmer: Diese Bereiche sind relevant für Sie. Jetzt informieren und Haftungsfallen vermeiden.

Weiterlesen

Datenschutzschulungen für Ihre Mitarbeiter?


Praxisnahe Online Schulungen für Datenschutz und Cybersecurity. DSGVO konform und zertifiziert.