DSGVO – Verzeichnis der Verarbeitungstätigkeiten

Die DSGVO verlangt von vielen Verantwortlichen, ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Doch welche Angaben müssen Sie darin mit aufnehmen? Und wie detailliert muss die Darstellung Ihrer Geschäftsprozesse sein? 

Benötigen Sie ein Verzeichnis der Verarbeitungstätigkeiten?

Als Verantwortlicher sollten Sie prüfen, ob Sie dazu verpflichtet sind, ein sog. „Verzeichnis der Verarbeitungstätigkeiten“ zu führen (Verarbeitungsverzeichnis Art. 30 Abs. 1 DSGVO). Grundsätzlich sind jeder Verantwortliche und neuerdings auch jeder Auftragsverarbeiter (sog. Kategorieverzeichnis nach Art. 30 Abs. 2 DSGVO) verpflichtet, ein solches Verzeichnis zu führen und auf Verlangen der Aufsichtsbehörde zu Verfügung zu stellen. Die Aufsichtsbehörde soll dadurch in die Lage versetzt werden, die Einhaltung der Vorschriften der DSGVO zu kontrollieren. Nach Art. 30 Abs. 5 DSGVO sind sowohl Verantwortliche als auch Auftragsverarbeiter von der Pflicht zur Führung eines Verzeichnisses der Vearbeitungstätigkeiten ausgenommen, wenn sie weniger als 250 Mitarbeiter beschäftigen. Zu beachten ist jedoch, dass Art. 30 Abs. 5 DSGVO von dieser Ausnahme drei Rückausnahmen vorsieht, sodass letztlich auch kleinere Unternehmen zum Führen eines Verarbeitungsverzeichnisses verpflichtet sind, wenn:

  • die von ihnen vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt – wenn ein Verantwortlicher also nach Art. 35 Abs. 1 DSGVO verpflichtet ist, eine Datenschutz-Folgeabschätzung durchzuführen, muss er meist auch ein Verzeichnis der Verarbeitungstätigkeiten führen.
  • die Verarbeitung nicht nur gelegentlich erfolgt – hiervon sind z.B. alle Unternehmen betroffen, die regelmäßig Kundendaten speichern
  • eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 (z.B. Religions- oder Gesundheitsdaten) bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 erfolgt. 

Letztlich werden viele Unternehmen aufgrund dieser Voraussetzungen zum Führen eines solchen Verzeichnisses verpflichtet sein. Ein solches Verzeichnis ist im Hinblick auf die gesamte datenschutzkonforme Umstellung sehr sinnvoll. Denn so können Sie sich einen Überblick über alle Prozesse in Ihrem Unternehmen verschaffen und besser planen, was noch zu tun ist. Schließlich genügen Sie mit einem solchen Verzeichnis bereits einem Teil Ihrer Rechenschaftspflicht (s.u.).

Welche Prozesse gehören in ein Verzeichnis der Verarbeitungstätigkeiten?

Bei dem Verzeichnis der Verarbeitungstätigkeiten handelt es sich um eine Dokumentation und Übersicht aller Verfahren, bei denen personenbezogene Daten verarbeitet werden, ähnlich dem bisherigen Verfahrensverzeichnis des BDSG a.F.. Sollten Sie bereits über ein solches verfügen, können Sie dieses als Grundlage heranziehen und aktualisieren.

Beginnen sollten Sie, indem Sie alle Geschäftsprozesse auflisten, in denen personenbezogene Daten verarbeitet werden. Hierfür sollten Sie sich zunächst einen Überblick über alle Prozesse verschaffen, in denen personenbezogene Daten verarbeitet werden. Der Begriff des „Verarbeitens“ ist in Art. 4 Nr. 2 DSGVO sehr weit gefasst und bezeichnet kurzgefasst jeden Vorgang im Zusammenhang mit personenbezogenen Daten wie „das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“ Dabei ist nicht von Bedeutung, ob die Daten auf Papier oder elektronisch gespeichert werden.

Für das Verzeichnis ist eine feingliedrige Darstellung Ihrer Geschäftsprozesse empfehlenswert. Bei einem zu großzügigen Clustern der Geschäftsprozesse besteht die Gefahr, dass dies nicht den Anforderungen der Datenschutzbehörden genügt. Bei der Auswahl dieser Prozesse sollten Sie sich immer in die Lage eines Kontrolleurs der Datenschutzbehörde versetzen. Diesem muss es möglich sein, anhand des Verarbeitungsverzeichnisses einen vollständigen Einblick in die Prozesse Ihres Unternehmens zu erhalten. Neben offensichtlichen Prozessen wie etwa „Neue Kunden elektronisch erfassen“ und „Mitarbeiterdaten speichern“ können dies etwa sein: Daten der Bewerber speichern, Jahresgespräche, Reisekostenabrechnung, Besucherverwaltung, E-Mail-Marketing, Papier- und Aktenvernichtung, Telefonsupport, Videoüberwachung, etc. Letztlich werden in fast allen internen wie externen Prozessen Daten verarbeitet. Bilden Sie Ihr Geschäft daher möglichst umfangreich ab.

Welche Inhalte gehören in ein Verzeichnis der Verarbeitungstätigkeiten?

Anschließend müssen die in Art. 30 DSGVO genannten Angaben in das Verzeichnis mit aufgenommen werden. So müssen Sie etwa identifizieren, woher die Daten in den jeweiligen Prozessen stammen, zu welchem Zweck sie verarbeitet werden, wer Zugriff hat und an wen sie weitergegeben werden. Zudem müssen Sie als Verantwortlicher hier folgende Punkte auflisten (Art. 30 Abs. 1 S. 2 DSGVO):

  • Name und Kontaktdaten des Verantwortlichen und ggf. des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  • die Zwecke der Verarbeitung;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49  Abs. 1 DSGVO genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32  Abs. 1 DSGVO

Die Inhalte des Verzeichnisses für Auftragsverarbeiter ergeben sich aus Art. 30 Abs. 2 DSGVO.

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (2 Bewertungen, Durchschnitt: 5,00 von 5)