Nachdem wir uns in den ersten drei Beiträgen zum Verarbeitungsverzeichnis nach DSGVO eher mit den grundlegenden Anforderungen, der Form und dem Sinn und Zweck des Verzeichnisses beschäftigt haben, soll es ab diesem vierten Teil um den Inhalt des Verarbeitungsverzeichnisses gehen.
Inhalt des Verarbeitungsverzeichnisses
Verantwortliche, Artikel 30 Abs. 1
Das Verzeichnis muss sämtliche Angaben enthalten (vgl. Artikel 30 Absatz 1 Satz 2 lit a bis g DSGVO). Diese müssen aussagekräftig sein, was auch von der Unternehmensgröße abhängt.
Ich empfehle von Anfang an ein erweitertes Verzeichnis zu erstellen. Sie sollten also mehr in dem Verzeichnis erfassen, als die DSGVO verlangt. Denn je mehr Infos Sie bei den einzelnen Datenverarbeitungen ergänzen, desto besser später die Übersicht und die Möglichkeiten der Prüfung und Verwaltung aller im Unternehmen stattfindender Datenverarbeitungsvorgänge.
Sinnvoll und empfehlenswert bei einem „erweiterten Verzeichnis“ sind mindestens noch folgende Angaben:
- Die Beschreibung der konkreten Verarbeitungstätigkeiten (erheben, speichern, abfragen, offenlegen etc.);
- Die Nennung der herangezogenen Rechtsgrundlagen (z.B. Art. 6 DSGVO, Arbeitsvertrag, Betriebsvereinbarung, eine wirksame Einwilligung, spezielle gesetzliche Regelung etc.);
- Soweit die Rechtsgrundlage des berechtigten Interesses genant wird bestenfalls auch Stichworte zur vorgenommenen Abwägung oder aber ein Verweis auf die ausführliche Abwägung, die dazu vorgenommen wurde.
Namen und Kontaktdaten – Art. 30 Absatz 1 Satz 2 Buchstabe a)
Es sind zu nennen: Die Namen und Kontaktdaten
- des Verantwortlichen (Definition in Artikel 4 Nr. 7 DSGVO);
- eines ggf. gemeinsam mit ihm Verantwortlichen (Artikel 26 DSGVO);
- eines Vertreters für Verantwortliche aus EU-Drittstaat (Artikel 4 Nr. 17, Artikel 27 DSGVO);
- eines etwaigen Datenschutzbeauftragten (vgl. § 38 BDSG).
Anzugeben sind dabei auch die postalische, elektronische und telefonische Erreichbarkeit. Denn es ist zu gewährleisten, dass die Aufsichtsbehörde den Verantwortlichen auf einfachem Wege (und in Eilfällen auch über verschiedene Kanäle) erreichen kann.
Bei Behörden und juristischen Personen sind nicht zwingend die Daten zu Leitungspersonen gefordert. Die Angabe des verantwortlichen Ansprechpartners ist aber sinnvoll und empfehlenswert. Die Hauptniederlassung ist anzugeben (Artikel 4 Nr. 16 Buchstabe a) DSGVO).
Hinsichtlich des Begriffs „Vertreter“ ist die Begriffsbestimmung des Artikel 4 Nr. 17 DSGVO zu beachten, wonach „Vertreter“ nicht nur der inländische Vertreter ist, sondern darüber hinaus eine in der EU niedergelassene natürliche oder juristische Person.
Zwecke der Verarbeitung – Artikel 30 Absatz 1 Satz 2 Buchstabe b)
Weiterhin sind die einzelnen Zwecke der jeweiligen Datenverarbeitungsvorgänge in dem Verarbeitungsverzeichnis aufzuführen.
Bekanntlich sind für jede einzelne Datenverarbeitung vorher die Zwecke festzulegen. Denn über die Zwecke ist ja auch der Betroffene zu informieren. Es empfiehlt sich hier also einen Abgleich zu machen zwischen den nach Außen kommunizierten Zwecken und den im Verzeichnis genannten Zwecken. Nur so kann eine Diskrepanz ausgeschlossen werden.
Die Zwecke müssen eindeutig und transparent sein, damit die Aufsichtsbehörde die Angemessenheit der getroffenen Schutzmaßnahmen und die Zulässigkeit der Verarbeitung prüfen kann.
Bitte beachten Sie, dass zu allgemeine Zwecke als unzureichend angesehen werden könnten. So haben einige Aufsichtsbehörden bspw. schon den Begriff der “Werbezwecke” als zu unspezifisch angesehen und eine konkretere und transparentere Beschreibung der tatsächlich damit verbundenen Werbe- und Marketingmaßnahmen gefordert. Im Zweifle beschrieben Sie die Zwecke also lieber ausführlich, als nur mit Stichworten zu arbeiten.
In Teil 5 folgt die weitere Darstellung der einzelnen Inhalte des Verarbeitungsverzeichnisses.
Timo Schutt
Datenschutz-Berater
Fachanwalt für IT-Recht
Ihr Datenschutz Partner