Brauch unser Unternehmen ein Verarbeitungsverzeichnis

Im Zusammenhang mit der DSGVO fällt oft der Begriff „Verzeichnis von Verarbeitungstätigkeiten“ (kurz: Verarbeitungsverzeichnis). Hier stellen sich unweigerlich Fragen, die wir Ihnen in diesem Beitrag beantworten werden. Wir erklären Ihnen, worum es sich bei dem Verzeichnis handelt und was es bei der Umsetzung zu beachten gilt.

Warum brauche ich ein Verarbeitungsverzeichnis?

Sie benötigen ein solches Verzeichnis, weil die DSGVO den Verantwortlichen die Pflicht auferlegt die Verarbeitungsprozesse möglichst einfach darzustellen und es den Betroffenen möglich sein soll nachzuvollziehen, was mit ihren Daten passiert.

„Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.“

So wird die Pflicht zur Führung eines Verarbeitungsverzeichnisses durch die Verordnung in Art. 30 Abs. 1 Satz 1 DSGVO beschrieben.

Diese Pflicht betrifft also grds. diejenigen, die als Verantwortliche oder Vertreter mit der Verarbeitung personenbezogener Daten befasst sind.

Welchen Zweck hat ein Verarbeitungsverzeichnis?

Der Zweck des Verarbeitungsverzeichnisses liegt darin, dass

  1. alle Verarbeitungsvorgänge nachvollzogen werden können und
  2. jeder Verantwortliche/jeder Auftragsverarbeiter nachweisen können soll, dass er die strengen Voraussetzungen der DSGVO einhält.

Umschrieben sind die Pflichten auch in Nummer 82 Satz 1 der Erwägungsgründe zur DSGVO:

Zum Nachweis der Einhaltung dieser Verordnung sollte der Verantwortliche oder der Auftragsverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen. Jeder Verantwortliche und jeder Auftragsverarbeiter sollte verpflichtet sein, mit der Aufsichtsbehörde zusammenzuarbeiten und dieser auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse kontrolliert werden können.“

Der Nachweis dient einerseits dem in der DSGVO verankerten „Transparenzgebot“. Die Vorgänge, die im Rahmen einer Verarbeitung personenbezogener Daten durchgeführt werden, sollen für die Betroffenen nachvollziehbar und verständlich sein.

Anderseits sollen Verantwortliche und Auftragsverarbeiter auch in der Lage sein Rechenschaft gegenüber den für sie zuständigen Aufsichtsbehörden abzulegen. Es soll nachgewiesen werden können, dass den Anforderungen der DSGVO entsprochen wird.

 

Machen Sie Ihren Online-Auftritt DSGVO-konform!

  • In wenigen Minuten erstellt.
  • Von Anwälten entwickelt.
  • Hoher Individualisierungsgrad.

Welche Vorgänge müssen im Verarbeitungsverzeichnis aufgeführt werden?

In dem Verzeichnis müssen alle ganz oder teilweise automatisierte Verarbeitungen sowie nichtautomatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, aufgeführt werden.

Verantwortliche müssen wissen, dass jede Tätigkeit, die im Zusammenhang mit der Verarbeitung personenbezogener Daten steht, dort hinterlegt werden muss.

Für jede einzelne Verarbeitungstätigkeit muss eine neue Beschreibung angefertigt werden. Findet also eine Verarbeitung bereits bekannter personenbezogenen Daten unter einem anderen Zweck statt, so muss dies in einem neuen Vorgang notiert werden.

Bsp.: Sie betreiben einen Webshop auf dem sich Kunden ein eigenes Konto erstellen und Waren kaufen können.

  1. Vorgang: Nutzer A erstellt sich ein Kundenkonto auf Ihrer Webseite. Hierbei gibt er seinen Namen, seine Adresse, seine Telefonnummer, etc. an. Hierbei handelt es sich um personenbezogene Daten, die in Ihrer Datenbank gespeichert werden.

Zweck der Verarbeitung: Kontoerstellung

  1. Vorgang: Nutzer A entscheidet sich nun bei Ihnen Ware zu kaufen. Er bestellt und möchte, dass Sie ihm die Ware zuschicken. Sie geben seinen Namen und seine Adresse an einen Paketzusteller weiter.

Zweck der Verarbeitung: Vertragsabwicklung

Auch wenn die Daten in beiden Fällen gleichbleiben, handelt es sich um zwei verschiedene Vorgänge, die auch einzeln in dem Verarbeitungsverzeichnis erwähnt werden müssen.

 

Wer muss ein Verfahrensverzeichnis führen?

Die Pflicht zum Führen eines Verfahrensverzeichnisses trifft grds. jeden „Verantwortlichen“. Dies betrifft sowohl Behörden und Unternehmen, als auch natürliche Personen und Vereine, wenn eine Verarbeitung personenbezogener Daten durchgeführt wird.

Auch Auftragsverarbeiter nach Art. 4 Nr.8 DSGVO, also diejenigen, die im Auftrag für Sie personenbezogene Daten verarbeiten, müssen nach Art. 30 Abs. 2 DSGVO ein Verfahrensverzeichnis führen.

Für Sie als Verantwortliche gilt: Verantwortliche und Auftragsverarbeiter müssen ein solches Verzeichnis selbst erstellen und führen. Dies ist gerade nicht Aufgabe eines internen oder externen Datenschutzbeauftragten.

 

 

 

Machen Sie Ihren Online-Auftritt DSGVO-konform!

  • In wenigen Minuten erstellt.
  • Von Anwälten entwickelt.
  • Hoher Individualisierungsgrad.

Gibt es Ausnahmen von der Pflicht zur Führung eines Verfahrensverzeichnisses?

Ja, es gibt enge umschriebene Ausnahmen, die von dieser Pflicht befreien.

Die DSGVO sieht bestimmte Eigenschaften vor bei deren Erfüllung ein Verfahrensverzeichnis geführt werden muss. Liegt eine der Eigenschaften vor, so muss ein Verfahrensverzeichnis zwingend geführt werden:

Ein Verfahrensverzeichnis muss nach Art. 30 Abs. 5 DSGVO nur geführt werden, wenn

  1. mindestens 250 Mitarbeiter beschäftigt werden oder
  2. die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt (bspw.: Bonitätsscoringverfahren, Betrugspräventionsverfahren, Videoüberwachung) oder
  3. eine Verarbeitung besonders sensibler Daten nach Artikel 9 Absatz 1 erfolgt (bspw. Religionszugehörigkeit, sexuelle Orientierung etc.) oder
  4. eine Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 erfolgt
  5. die Verarbeitung nicht nur gelegentlich erfolgt.

Das größte Problem für Privatpersonen und kleinere Unternehmen ergibt sich daraus, dass sie nicht sicher sein können, wann eine Verarbeitung personenbezogener Daten gelegentlich oder bereits regelmäßig erfolgt.

 

Wann liegt eine gelegentliche oder regelmäßige Datenverarbeitung vor?

Von einer gelegentlichen Datenverarbeitung spricht man, wenn

  • die Verarbeitung in großen Zeitabständen erfolgt oder
  • die Verarbeitung als unvorhersehbare Folge des eigentlichen Betriebs erfolgt.

Von einer regelmäßigen Datenverarbeitung spricht man, wenn

  • fortlaufend oder in bestimmten Abständen während eines bestimmten Zeitraums Daten verarbeitet werden oder
  • Daten immer wieder oder wiederholt zu bestimmten Zeitpunkten verarbeitet werden oder
  • Daten ständig verarbeitet werden.

Können Sie einen der letztgenannten Punkte bejahen, liegt eine regelmäßige Datenverarbeitung vor.

Folge: Ein Verfahrensverzeichnis muss geführt werden.

 

 

 

Machen Sie Ihren Online-Auftritt DSGVO-konform!

  • In wenigen Minuten erstellt.
  • Von Anwälten entwickelt.
  • Hoher Individualisierungsgrad.

Wie muss ein Verfahrensverzeichnis aussehen?

  1. a) Formelle Anforderungen
  • Schrift: In Deutschland gilt, dass das Verzeichnis in deutscher Sprache erstellt werden muss.
  • Form: 30 Abs. 3 DSGVO: das Verzeichnis muss schriftlich geführt werden; dies schließt aber nicht aus, dass es auch nur elektronisch geführt werden darf (§ 3a Abs. 2 Satz 1VwVfG).
  • Um Änderungen nachvollziehen zu können (Änderung des Verantwortlichen, Änderung des Datenschutzbeauftragten etc.), sollten Sie Änderungen ebenfalls in einer

 

Änderungshistorie festhalten.

  1. b) Inhaltliche Anforderungen

Darüber hinaus muss das Verfahrensverzeichnis eines Verantwortlichen die folgenden Angaben enthalten:

Art. 30 Abs. 1 Satz 2 lit. a)  DSGVO

Name und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragen (Adresse und Kontakt mittels Telefon und E-Mail)

Art. 30 Abs. 1 Satz 2 lit. b)  DSGVO

Zwecke der Verarbeitung (Bsp.: Personalaktenverwaltung, Urlaubsübersicht, Vertragsabwicklung, etc.)

Art. 30 Abs. 1 Satz 2 lit. c)  DSGVO

Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten (Bsp.: Kategorie „Angestellte“, „Kunden“ etc.)

Art. 30 Abs. 1 Satz 2 lit. d)  DSGVO

die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen (Bsp.: Banken, Finanzämter, Betriebsarzt, Versandunternehmen etc.)

Art. 30 Abs. 1 Satz 2 lit. e)  DSGVO

gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien

Art. 30 Abs. 1 Satz 2 lit. f)  DSGVO

wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;

Art. 30 Abs. 1 Satz 2 lit. g)  DSGVO

wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 [auf welche Weise wird die Sicherheit der Verarbeitung gewährleistet? (Bsp: Verschlüsselung, Pseudonymisierung etc.)]

 

Das Verfahrensverzeichnis eines Auftragsverarbeiters muss folgende Angaben enthalten:

Art. 30 Abs. 2 lit. a)  DSGVO

Name und Kontaktdaten des Auftragsverarbeiters und des Datenschutzbeauftragen (Adresse und Kontakt mittels Telefon und E-Mail)

Art. 30 Abs. 2 lit. b)  DSGVO

Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten (Bsp.: Kategorie „Angestellte“, „Kunden“ etc.)

Art. 30 Abs. 2 lit. c)  DSGVO

gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien

Art. 30 Abs. 2 lit. d)  DSGVO

wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 [auf welche Weise wird die Sicherheit der Verarbeitung gewährleistet? (Bsp: Verschlüsselung, Pseudonymisierung etc.)]

 

Machen Sie Ihren Online-Auftritt DSGVO-konform!

  • In wenigen Minuten erstellt.
  • Von Anwälten entwickelt.
  • Hoher Individualisierungsgrad.

Welche Schritte sind vorab notwendig, um ein Verfahrensverzeichnis zu erstellen?

Ohne sich zuvor im Klaren zu sein auf welche Weise und in welchem Umfang bei Ihnen personenbezogene Daten verarbeitet werden, kann ein Verfahrensverzeichnis nicht erstellt werden. Die folgende Checkliste hilft Ihnen bei der Informationssammlung:

  • Nutze ich Auftragsverarbeitungsverträge? Entsprechen diese der DSGVO?
  • Welche Anwendungen setze ich ein bei denen es zu einer Verarbeitung personenbezogener Daten kommt?
  • Sind meine Dokumentationssysteme zuverlässig? Erfolgt die Dokumentation vollständig? Bestehen mögliche Sicherheitsrisiken?
  • Übertrage ich personenbezogene Daten in Drittländer?

 

Beachten Sie beim Anlegen eines Verarbeitungsverzeichnisses folgende Punkte!

Wann liegen Verstöße vor?

Verstöße liegen vor, wenn

  1. ein Verfahrensverzeichnis nicht oder nicht vollständig geführt wird, obwohl die Pflicht dazu besteht oder
  2. ein Verfahrensverzeichnis trotz Aufforderung durch die Aufsichtsbehörde nicht vorgelegt wird.

 

 

 

Was droht mir im Falle eines Verstoßes?

Im Fall eines Verstoßes drohen Geldbußen in Höhe von bis zu 10.000.000 € oder bis zu 2% des erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.

 

 

 

Machen Sie Ihren Online-Auftritt DSGVO-konform!

  • In wenigen Minuten erstellt.
  • Von Anwälten entwickelt.
  • Hoher Individualisierungsgrad.

Verarbeitungsverzeichnis: viel Arbeit ohne Nutzen?

Ganz klar: das Verfahrensverzeichnis bedeutet zusätzliche Arbeit.

Durch den großen Umfang an Angaben, die dort hinterlegt werden müssen, bietet das Verzeichnis darüber hinaus auch eine Möglichkeit für jeden Verantwortlichen:

Sie können das Verarbeitungsverzeichnis nutzen, um gleichzeitig weitere durch die DSGVO auferlegte Pflichten zu erfüllen.

Dies ist möglich, indem Sie die dort zwingend geforderten Angaben möglichst ausführlich darlegen und zusätzlich weitere Angaben in das Verzeichnis aufnehmen. Dies ist nicht schädlich, sondern kann Arbeit ersparen.

Voraussetzung dafür ist, dass das Verzeichnis entsprechend ausführlich gestaltet wird.

Folgende Pflichten können darin zusätzlich erfüllt werden:

  • Pflicht zur Darlegung der Verarbeitungszwecke, Art. 5 Abs. 1 lit. b) DSGVO
  • Nachweis der Rechtmäßigkeit der Verarbeitung, Art. 5 Abs. 1 lit. a) DSGVO
  • Nachweis der Datenminimierung, Art. 5 Abs. 1 lit. c) DSGVO
  • Nachweis der Richtigkeit und Aktualität der Daten Art. 5 Abs. 1 lit. d) DSGVO
  • Pflicht zur Darlegung der Betroffenenrechte, Art. 12 DSGVO
  • Nachweis über geeignete technische und organisatorische Maßnahmen, Art. 24 Abs. 1, Art. 32 DSGVO

Anhand des Verfahrensverzeichnis kann auch abgeleitet werden, ob es einer Datenschutzfolgenabschätzung nach Art. 35 DSGVO bedarf und das Verzeichnis kann dem Datenschutzbeauftragten als Basis für seine Aufgabenerfüllung dienen.

 

Fazit

In den meisten Fällen muss ein Verfahrensverzeichnis geführt werden. Dabei soll das Verzeichnis nicht nur als Pflicht, sondern als Gelegenheit gesehen werden, um sich Arbeit zu ersparen.

Wir helfen Ihnen hierbei und bieten Ihnen Muster und ausführliche Anleitungen, mit denen Sie Ihr eigenes Verfahrensverzeichnis erstellen können.

 

 

 

Machen Sie Ihre Onlinepräsenz fir für die DSGVO! So einfach geht's:

1. Übermitteln Sie uns die Adresse Ihrer Internetseite.

2. Einer unserer spezialisierten Rechtsanwälte schaut sich den Online-Auftritt an, prüft die Rechtslage und ruft Sie zurück. Er bespricht mit Ihnen die umzusetzenden Maßnahmen - garantiert kostenfrei.

3. Im Anschluss erhalten Sie eine E-Mail mit allen relevanten Informationen. Sie können dann in Ruhe überlegen, ob Sie ein Webseitenaudit beantragen wollen.

Verwandte Themen

Das könnte Sie auch interessieren

Datenschutzgrundverordnung - Webseitenbetreiber müssen handeln

Die bereits im Mai 2016 in Kraft getretene Datenschutzgrundverordnung (DSGVO) gilt mit dem Stichtag ab dem 25. Mai 2018 in der gesamten EU. Sie betrifft alle Unternehmen, die personenbezogenen Daten von Mitarbeitern oder Kunden verarbeiten. Weil die Änderungen verpflichtend sind, müssen Unternehmer und Webseitenbetreiber umfangreiche Änderungen vornehmen.

Mehr

Google Tools DSGVO-konform einsetzen

Unternehmer, Online-Händler und Webseitenbetreiber müssen mit dem 25.05.2018 bei der der Verwendung von Google-Tools wie Google AdWords oder Google Analytics die Vorgaben der DSGVO umsetzen. Hier gehen wir darauf ein, was es für Webseitenbetreiber und Online-Shops bei der Verwendung der gängigsten Google-Programme in Bezug auf die DSGVO zu beachten gibt.

Mehr

 

Besteht für Webseiten eine Cookie-Hinweis Pflicht?

Eine der häufigst gestellten Fragen in unserer Beratungspraxis: Müssen wir einen Cookie-Hinweis auf unsere Webseite einbinden? Hier finden Sie die Antwort und die Hintergründe zum Cookie-Banner verständlich erklärt. 

Mehr

 

 

 

 

Zeugnis

Dies ist ein Typoblindtext. An ihm kann man sehen, ob alle Buchstaben da sind und wie sie aussehen. Manchmal benutzt man Worte wie Hamburgefonts, Rafgenduks oder Handgloves, um Schriften zu testen. Manchmal Sätze, die alle Buchstaben des Alphabets enthalten - man nennt diese Sätze »Pangrams«.

Mehr