Angebot einholen
Logo Barth Datenschutz
Angebot einholen

Verarbeitungsverzeichnis gemäß DSGVO – 6 Fragen, deren Antwort Sie kennen müssen

19. Juli 2021

von Achim Barth

Transparenz über den Umgang mit personenbezogenen Daten ist eines der wichtigsten Ziele der DSGVO. Neben Datenschutzerklärung und Cookie-Banner dient auch das Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis), dieses Ziel umzusetzen. Lesen Sie in diesem Beitrag die wichtigsten Informationen zu diesem Verzeichnis.

Wer braucht ein Verarbeitungsverzeichnis?

Laut Artikel 30 DSGVO, in dem das Verarbeitungsverzeichnis erläutert wird, benötigt tatsächlich nicht jedes Unternehmen ein Verzeichnis der Verarbeitungsprozesse. Ausgenommen sind

  1. Unternehmen mit weniger als 250 Mitarbeitern und nur gelegentlicher Datenverarbeitung
  2. Unternehmen, deren Datenverarbeitung kein Risiko für Betroffene darstellen kann (z.B., wenn sich auch bei einer Datenpanne keinerlei Rückschlüsse auf die betroffene Person ziehen lassen würden)
  3. Unternehmen, die keine Daten besonderer Kategorien verarbeiten, wie sie in Artikel 9 und 10 der DSGVO angeführt werden

Diese Abgrenzung ist jedoch eher theoretischer Natur. Wenn Sie Mitarbeiter beschäftigen oder eine Kundenverwaltung einsetzen, verarbeiten Sie Daten schon regelmäßig und nicht mehr gelegentlich. Führen Sie also zur Sicherheit ein Verzeichnis!

Wozu dient das Verarbeitungsverzeichnis?

Im Verarbeitungsverzeichnis werden alle Prozesse zusammengetragen, durch die personenbezogene Daten im Unternehmen ein- oder ausgehen. Dabei handelt es sich um alle Verfahren von der Videoüberwachung im Eingangsbereich bis hin zu anfallenden Informationen aus der Kundenbetreuung. Personenbezogene Daten sind nach Definition des DSGVO jene Daten, welche einen speziellen Bezug zu einer natürlichen Person herstellen. Also sämtliche Angaben, die zu einer Person gemacht werden können und diese somit bestimmbar machen. Unter anderen fallen folgende Angaben unter die personenbezogenen Daten:

  • Name
  • Anschrift
  • Telefonnummer
  • E-Mail-Adresse
  • Kfz-Kennzeichen
  • Kreditkarten- oder Kontodaten
  • Mitarbeiternummer
  • Kundennummer
  • Medizinische Informationen

Da es sich beim Verzeichnis der Verarbeitungstätigkeiten jedoch nur um Daten unter Ihrer Zuständigkeit handelt, ist sie von der Auftragsverarbeitungsvereinbarung zu unterscheiden. Bei dieser wiederum wird die Weiterleitung von Daten an externe Dienstleister (z.B. Buchhalter, Callcenter-Mitarbeiter oder Videomeeting-Anbieter) geregelt. Eine ausführliche Erklärung finden Sie im Beitrag „Auftragsverarbeitungsvereinbarung – das ist die Rechtslage“. Mit dem Verarbeitungsverzeichnis hingegen weisen Sie Datenschutzbehörden nach, dass Sie personenbezogene Daten von Mitarbeitern, Kunden, Lieferanten etc. DSGVO-konform verarbeiten. Andernfalls droht ein Bußgeld. Kunden oder Dritten müssen Sie übrigens keinen Einblick in dieses Verzeichnis gewähren.

Wer ist zuständig?

Einfach gesagt die Person im Unternehmen, die für den Datenschutz zuständig ist; also in der Regel der Geschäftsführer, Inhaber oder Vorstand.

Was gehört in das Verzeichnis der Verarbeitungstätigkeiten?

Die DSGVO gibt klar vor, was Sie in Ihrem Verarbeitungsverzeichnis für jeden Arbeitsschritt offenlegen müssen:

  • Name des Datenschutzbeauftragten
    falls dieser erforderlich ist
  • Name und Kontaktdaten des Verantwortlichen des Verfahrens
  • Zweck der Datenaufnahme und -verarbeitung
    siehe Artikel 6 DSGVO
  • Betroffene Personen der Datenerhebung
    Wessen Daten sind das?
  • Auflistung der erhobenen Daten
    Welche Daten sind das?
  • Zugriff auf diese Daten
    Wer hat Zugriff? Handelt es sich dabei um internen oder externen Zugriff? Und erfolgt der externe Zugriff innerhalb der EU oder außerhalb?
  • Evtl. Art und Rechtmäßigkeit der Übermittlung an das Drittland
    EU-Land oder Nicht-EU-Land
  • Rechtsgrundlage der Verarbeitung
    Liegt eine Einwilligung der Betroffenen vor? Besteht mit der Datenverarbeitung ein hohes Risiko für Rechte und Freiheiten der Betroffenen?
  • Löschfristen der erhobenen Daten
    Wann werden Daten, falls vorgesehen, gelöscht?
  • Technische und organisatorische Maßnahmen zur Datenschutzgewährung
    IT-Sicherheitsmaßnahmen, Zugangskontrollen etc.

Wer als Auftragsverarbeiter tätig ist (also z.B., wie oben erwähnt, der externe Buchhalter eines Unternehmens), muss ebenfalls ein Verarbeitungsverzeichnis führen und darin für jeden seiner Auftraggeber folgende Punkte ausführen

  • Name und Kontaktdaten des Auftragsverarbeiters, des Verantwortlichen, in dessen Auftrag er handelt und ggf. des Vertreters und des Datenschutzbeauftragten
  • Kategorien, unter die verarbeitete Daten fallen
  • Art und Rechtmäßigkeit der Übermittlung an Drittländer
  • Technische und organisatorische Maßnahmen zur Datenschutzgewährung

Wie muss das Verarbeitungsverzeichnis aussehen?

Sie merken nun: Ein ordnungsgemäß geführtes Verarbeitungsverzeichnis ist sehr umfangreich und mitunter auch mühsam – besonders, wenn Sie es zum ersten Mal anlegen. Die DSGVO verlangt jedoch nur, dass das Verzeichnis schriftlich geführt wird; elektronisch oder auf Papier. Wer es ganz simpel halten will, kann es deshalb auch in Form einer einfachen Tabelle anlegen.

Beachten Sie dabei: Wie auch Datenschutzerklärung, Impressum und Cookie-Information muss das Verzeichnis der Verarbeitungstätigkeiten ständig auf dem aktuellen Stand gehalten werden. Es handelt sich dabei keinesfalls um eine einmalige Dokumentation, die von nun an ein tristes Dasein in der hintersten Ecke eines Aktenschranks fristet. Führen Sie dieses Verzeichnis bitte aktiv: Ergänzen Sie sofort jeden Prozess, der hinzukommt und streichen Sie Verfahren heraus, die nicht mehr eingesetzt werden.

Deshalb ist auch vom ungeprüften Einsatz von Muster abzuraten, die überall im Internet zum Download zur Verfügung stehen. Erstellen Sie Ihr Verarbeitungsverzeichnis besser in Zusammenarbeit mit einem zertifizierten Datenschutzberater, um wirklich alle wichtigen Fragen und Feinheiten angemessen zu beantworten.

Fazit: Nehmen Sie das Verzeichnis nicht auf die leichte Schulter

Die Vorgaben der DSGVO werden nach wie vor von vielen Unternehmen als viel zu kompliziert und aufwendig gesehen. Die Verpflichtung zu einer solchen detaillierten Dokumentation wie dem Verarbeitungsverzeichnis verbessert diese Einstellung sicherlich nicht. Dennoch sollten Sie hier genau hinsehen und das Verzeichnis gewissenhaft führen bzw. führen lassen. Andernfalls drohen hohe Bußgelder, wenn Sie Datenschutzbehörden die Dokumentation auf Verlangen nicht oder nur fehlerhaft vorlegen können. Kommt das an die Öffentlichkeit, dürften Sie außerdem noch mit einem Vertrauensverlust seitens Ihrer Kunden rechnen. Auch hier gilt also wie so oft beim Datenschutz: Lieber einmal wirklich ausführlich mit dem Thema beschäftigen und alles DSGVO-konform erledigen! Gerne unterstütze ich Sie dabei, das Verarbeitungsverzeichnis praxisgerecht umzusetzen. Sprechen Sie mich an!

Diese Blogbeiträge dürften Sie ebenfalls interessieren