Datenschutz-Nachrichten

Wie erstelle ich ein Verarbeitungsverzeichnis? -Teil 1

Wie erstelle ich ein Verarbeitungsverzeichnis? -Teil 1

Von Timo Schutt 3. Dezember 2019

Warum ist das Verarbeitungsverzeichnis so wichtig?

Jeder Verantwortliche und jeder Auftragsverarbeiter muss nach der EU-Datenschutzgrundverordnung (DSGVO) ein Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten erstellen und führen. Mit Führen ist das aktuell halten & pflegen gemeint. Dieses Verzeichnis ersetzt die nach dem alten Recht als Verfahrensverzeichnis bekannten Dokumentationspflichten aus dem Bundesdatenschutzgesetz (BDSG).

In dem Verarbeitungsverzeichnis sind alle Datenverarbeitungsvorgänge von personenbezogenen Daten zu erfassen und zu beschreiben.

Das Verzeichnis kann jederzeit von der Aufsichtsbehörde für den Datenschutz angefordert werden. Fehlt es oder ist es unvollständig, drohen hohe Bußgelder. Meine Erfahrung mit den Aufsichtsbehörden ist, dass bei Aufforderungen zur Stellungnahme regelmäßig die Vorlage des Verarbeitungsverzeichnisses verlangt wird.

Wichtig: Laut DSGVO ist das Verarbeitungsverzeichnis nur auf Anfrage den Aufsichtsbehörden zur Verfügung zu stellen (Artikel 30 Absatz 4 DSGVO). Das aus dem alten Recht bekannte öffentliche Verfahrensverzeichnis oder auch Jedermannsverzeichnis genannt, gibt es nicht mehr. Daher sollte das Verarbeitungsverzeichnis auch keinem Dritten ausgehändigt werden.

Und was gehört auf jeden Fall ins das Verzeichnis hinein?

Geregelt ist das Verarbeitungsverzeichnis in Artikel 30 DSGVO

In Artikel 30 DSGVO sagt uns die Verordnung, welche Inhalte ein Verarbeitungsverzeichnis haben muss. Gleichen Sie diesen Katalog bei Erstellung des Verzeichnisses bestenfalls immer mit Ihren Angaben ab. Ist alles enthalten?

Art. 30 Verzeichnis von Verarbeitungstätigkeiten

 

(1) Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:

 

a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

 

b) die Zwecke der Verarbeitung;

 

c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;

 

d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;

 

e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;

 

f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;

 

g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

 

(2) Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, die Folgendes enthält:

 

a) den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten;

 

b) die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;

 

c) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;

 

d) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

 

(3) Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.

 

(4) Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.

 

(5) Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn, die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.

Wichtiger Baustein für die DSGVO-Umsetzung

Die Erstellung des Verarbeitungsverzeichnisses ist ein wichtiger Baustein zur Umsetzung der DSGVO-Compliance. Für mich gehört dieser Schritt ganz an den Anfang jedes DSGVO-Projekts. Denn für die Erstellung ist zunächst die Erfassung und Sammlung aller Datenverarbeitungen im Unternehmen erforderlich. Das ist zwar mühselig, vor allem, wenn es so etwas noch gar nicht gibt, verschafft aber dem Berater und dem Verantwortlichen wertvolle Informationen, die für das weitere Vorgehen sehr wichtig sind.

Daher will ich in einer losen Reihe erklären, wie ein Verarbeitungsverzeichnis erstellt wird und, wie es zu pflegen ist. Es gibt einige Muster, wie so ein Verzeichnis aussehen kann. Nicht alle davon halte ich für sinnvoll. Besonders hervorheben möchte ich aber die vom Bayerischen LDA veröffentlichten Muster-Verzeichnisse für bestimmte Branchen, die schon vorausgefüllt sind und einen sehr guten Einblick darüber geben, wie sich die Aufsichtsbehörden das Verarbeitungsverzeichnis vorstellen. Denn darauf kommt es letzten Endes an. Verschiedene Muster dazu finden Sie direkt zum Download auf der Website des LDA.

Was wird in Teil 2 erörtert?

In den nächsten Teilen dieser Beitragsreihe möchte ich Themen, wie Sinn und Zweck, Vorlagepflicht, Form, Ausnahmen, Erstellung, Aufbau und Pflege des Verzeichnisses etwas näher beschreiben.

Der zweite Teil befasst sich zunächst mit Sinn und Zweck und der Vorlagepflicht.

Timo Schutt
Datenschutz-Berater
Fachanwalt für IT-Recht
DSGVO-Man