Das Verarbeitungsverzeichnis – Wie wird es erstellt? Teil 1

Warum ist das Verarbeitungsverzeichnis so wichtig?

Jeder Verantwortliche und jeder Auftragsverarbeiter muss nach der EU-Datenschutzgrundverordnung (DSGVO) ein Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten erstellen und führen. Mit Führen ist das aktuell halten und pflegen gemeint. Dieses Verzeichnis ersetzt die nach dem alten Recht als Verfahrensverzeichnis bekannten Dokumentationspflichten aus dem Bundesdatenschutzgesetz (BDSG).

In dem Verarbeitungsverzeichnis sind alle Datenverarbeitungsvorgänge von personenbezogenen Daten zu erfassen und zu beschreiben.

Das Verzeichnis kann jederzeit von der Aufsichtsbehörde für den Datenschutz angefordert werden. Fehlt es oder ist es unvollständig, drohen hohe Bußgelder. Meine Erfahrung mit den Aufsichtsbehörden ist, dass bei Aufforderungen zur Stellungnahme regelmäßig die Vorlage des Verarbeitungsverzeichnisses verlangt wird.

Wichtig: Laut DSGVO ist das Verarbeitungsverzeichnis nur auf Anfrage den Aufsichtsbehörden zur Verfügung zu stellen (Artikel 30 Absatz 4 DSGVO). Das aus dem alten Recht bekannte öffentliche Verfahrensverzeichnis, auch Jedermannsverzeichnis genannt, gibt es nicht mehr. Daher sollte das Verarbeitungsverzeichnis auch keinem Dritten ausgehändigt werden.

Und was gehört auf jeden Fall ins das Verzeichnis hinein?

Geregelt ist das Verarbeitungsverzeichnis in Artikel 30 DSGVO

In Artikel 30 DSGVO sagt uns die Verordnung, welche Inhalte ein Verarbeitungsverzeichnis haben muss. Gleichen Sie diesen Katalog bei Erstellung des Verzeichnisses bestenfalls immer mit Ihren Angaben ab. Ist alles enthalten?

Art. 30 Verzeichnis von Verarbeitungstätigkeiten

(1) Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:

a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

b) die Zwecke der Verarbeitung;

c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;

d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;

e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;

f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;

g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Was das Verzeichnis noch beinhalten muss, können Sie in meinem Beitrag auf unserem Portal rund um das Datenschutzrecht und die DSGVO.

Timo Schutt
Datenschutz-Berater
Fachanwalt für IT-Recht
DSGVO-Man