Rund um die DSGVO

Suche
  • Team Ernst

Kein Verzicht auf ein Verzeichnis

Das aus dem BDSG bekannte Verfahrensverzeichnis wird mit Art. 30 DSGVO durch ein Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten abgelöst. Grundsätzlich ist jeder Verantwortliche zur Erstellung und Führung eines entsprechenden Verzeichnisses verpflichtet. Neu ist, dass diese Pflicht nun auch die Auftragsverarbeiter trifft.


Das Verzeichnis dient dem Nachweis der Einhaltung der DSGVO und ist zentrales Instrument zur Umsetzung der in der DSGVO geforderten Transparenzpflichten.

Die zuständige Aufsichtsbehörde kann die Vorlage des Verzeichnisses der Verarbeitungstätigkeiten verlangen, um die betreffenden Stellen zu kontrollieren.


Wer muss ein Verzeichnis der Verarbeitungstätigkeiten führen?

Die Pflicht zur Führung des Verzeichnisses trifft generell alle Unternehmen. Die DSGVO formuliert zwar Ausnahmen für Unternehmen mit weniger als 250 Mitarbeitern. Unterhalb dieser Schwelle muss ein Verzeichnis der Verarbeitungstätigkeiten nur geführt werden, wenn eine Verarbeitung personenbezogener Daten durchgeführt wird,

  1. die ein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen

  2. (z. B. Scoring und Videoüberwachung) oder

  3. die nicht nur gelegentlich erfolgt (z.B. die regelmäßige Verarbeitung von Kunden- oder Beschäftigtendaten) oder

  4. die besondere Datenkategorien gemäß Art. 9 Abs. 1 DSGVO (z.B. Gesundheitsdaten) oder strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO betreffen.


Die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten besteht, wenn mindestens eine der genannten Fallgruppen erfüllt ist UND wenn zum Beispiel auch die Möglichkeit bestehen könnte, dass Angestellte Zugriff auf die Daten haben und hier darauf zugreifen könnten (Bsp: Angestellte haben Zutritt zum Raum mit dem PC der Vorgesetzten)


Die Ausnahme greift also bereits dann nicht, wenn die Verarbeitung personenbezogener Daten „nicht nur gelegentlich“ erfolgt.

Da die Datenverarbeitung in der Regel permanent durchgeführt wird (Websites, CRM-Systeme, Lohnabrechnungssysteme, Online-Shop, …), wird diese Befreiung äußerst selten zur Anwendung kommen.


Form, Struktur und Inhalt

Die Trennung in ein internes und ein externes Verzeichnis „für Jedermann“ ist in der DSGVO nicht mehr vorgesehen. Ein „öffentliches Verfahrensverzeichnis“ wie es das BDSG a.F. noch vorschreibt, ist mit der DSGVO also nicht mehr erforderlich.

Für das Verzeichnis der Verarbeitungstätigkeiten bestehen inhaltliche Vorgaben

(Art. 30 DSGVO), es kann schriftlich oder in elektronischer Form geführt werden.

Der Umfang der Dokumentation umfasst alle Verarbeitungstätigkeiten, sobald personenbezogene Daten betroffen sind.

Dabei sollten Sie das Verzeichnis nicht als Auflistung einzelner Verarbeitungen, sondern als prozessorientierte Übersicht der Verarbeitungen verstehen. In der Praxis stellt sich die Frage, was genau nun eine Verarbeitung ist. Einen bewährten Ansatz bietet hierbei die Ausrichtung der Verfahren an Ihren Geschäftsprozessen, Sie können das Verzeichnis aber auch anhand der Verarbeitungszwecke oder der eingesetzten Systeme (Hard- und Software) strukturieren.


Das Verzeichnis muss folgende Angaben enthalten

  • Name und Kontaktdaten des/der Verantwortlichen und deren Vertreter/in

  • Name und Kontaktdaten des/der Datenschutzbeauftragten der verantwortlichen Stelle

  • die Verarbeitungszwecke

  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten

  • die Kategorien von Empfängern der personenbezogenen Daten

  • Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden Organisation

  • Löschfristen für die verschiedenen Datenkategorien

  • eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz DSGVO

Aufnahme interner Zusatzangaben im Verarbeitungsverzeichnis


Mit Blick auf die weitergehenden Rechenschaftspflichten der DSGVO („Accountability“) kann die Aufnahme von Zusatzinformationen sinnvoll sein, um eine strukturierte Datenschutzdokumentation zu erhalten und das „Pflichtinstrument“ der Verarbeitungsübersicht optimal zu nutzen. Sie sollten entscheiden, welche zusätzlichen Informationen Sie zum Nachweis der Rechtmäßigkeit benötigen und diese in die Übersicht aufnehmen. Beispiele hierfür sind Angaben zur Rechtsgrundlage der Datenverarbeitung, die Dokumentation erforderlicher Abwägungsentscheidungen, Prüfvermerke, Risikobewertungen, Angaben zu der eingesetzten Hard- und Software und zu eingesetzten Auftragsverarbeitern, Schnittstellen, Sicherheitskonzepte oder verantwortliche Ansprechpartner in den Fachbereichen.

Etwaige Auftragsverarbeiter müssen ebenfalls ein Verzeichnis zu allen Kategorien der von ihnen im Auftrag durchgeführten Verarbeitungstätigkeiten führen. Die darin aufzunehmenden Angaben gleichen weitgehend den hier genannten.


Verstöße durch eine fehlende oder nicht vollständige Führung eines Verzeichnisses oder das Nichtvorlegen des Verzeichnisses nach Aufforderung durch die Aufsichtsbehörde sind nun nach Art. 83 Abs. 4 lit. a DSGVO bußgeldbewehrt.


Unser Tipp: Die Verarbeitungsübersicht ist die Basis Ihrer Datenschutzdokumentation. Nur wer die eigenen Verarbeitungsprozesse kennt, kann gezielt Maßnahmen ergreifen, um eine rechtmäßige Verarbeitung personenbezogener Daten sicherzustellen.

Wenn Sie bereits ein strukturiertes Verfahrensverzeichnis nach BDSG erstellt haben, verringert sich der Aufwand für die Erstellung der Verarbeitungsübersicht. Bestehende Verfahrensverzeichnisse sind also eine gute Grundlage, müssen aber an die neuen Anforderungen der DSGVO angepasst werden.

6 Ansichten

© 2023 by Team Ernst, die Datenschutzexperten, Rundfunkplatz 2, 80335 München