Das Verarbeitungsverzeichnis – Wie wird es erstellt? Teil 2

Im ersten Teil meiner Beitragsreihe zum Verarbeitungsverzeichnis habe ich über die Wichtigkeit des Verzeichnisses gesprochen. Auch habe ich klargestellt, dass das Erfassen und Zusammentragen der Datenverarbeitungsvorgänge im Unternehmen ein ganz wichtiger Punkt ist. Er sollte immer am Anfang eines DSGVO-Projekts stehen sollte.

Diese ganzen Vorgänge müssen sowieso bekannt sein, um weitere Entscheidungen treffen zu können. Es handelt sich also hierbei auch um eine wichtige Vorarbeit für die weiteren Schritte der Datenschutz-Compliance.

Jetzt möchte ich im zweiten Teil über den Sinn und Zweck des Verarbeitungsverzeichnisses sprechen.

Sinn und Zweck des Verarbeitungsverzeichnisses

Der Verantwortliche für die Datenverarbeitung und der Auftragsverarbeiter soll zum Nachweis der Einhaltung der Datenschutzgrundverordnung ein Verzeichnis der Verarbeitungstätigkeiten – die seiner Zuständigkeit unterliegen – führen (= Verarbeitungsverzeichnis). Das Verzeichnis betrifft sämtliche ganz oder teilweise automatisierte Verarbeitungen. Aber auch nicht-automatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Jeder Verantwortliche und Auftragsverarbeiter ist verpflichtet, mit der Aufsichtsbehörde zusammenzuarbeiten. Dieser muss auf Anfrage das entsprechende Verzeichnis vorgelegt werden, sodass die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse kontrolliert werden können.

Die neue Regelung verpflichtet nicht nur jeden (hierzu zählen sowohl Behörden als auch zum Beispiel Unternehmen, Freiberufler und Vereine), auch die Auftragsverarbeiter, ein solches Verzeichnis zu erstellen und zu führen. Ausgehend von den Mindestanforderungen werden Inhalt und Umfang des Verzeichnisses, je nach Art und Größenordnung der Stelle eines Verantwortlichen oder Auftragsverarbeiters, zu differenzieren sein.

Einsatz und Verwendung

Hinzu kommt, dass das Verzeichnis über die reine Dokumentation hinaus sinnvollerweise auch eingesetzt und verwendet werden kann:

Hierfür sind zwangsläufig zusätzliche Informationen im Verzeichnis nötig. Zum Beispiel einzelne Datenfelder, Herkunft bzw. Quelle der Daten, Rechtsgrundlage für die Verarbeitung, verantwortlicher Mitarbeiter und zugriffsberechtigte Personen/Personengruppen etc.

Somit wird das Verzeichnis in der Praxis wegen der Unterschiede bei den eingesetzten Verfahren auch oft aus einer Reihe von Einzelbeschreibungen bestehen müssen.

Wann das Verarbeitungsverzeichnis vorgelegt werden muss und eine kleine Aussicht zum Inhalt von Teil 3 der Reihe „Verarbeitungsverzeichnis“ können Sie in meinem Beitrag nachlesen.

Timo Schutt
Datenschutz-Berater
Fachanwalt für IT-Recht
DSGVO-Man

Urheberangabe für das Foto für diesen Beitrag:

  • download data folder file document report information: yupiramos - 123RF.com