Das Verarbeitungsverzeichnis – Wie wird es erstellt? Teil 4

In den ersten drei Beiträgen zum Verarbeitungsverzeichnis nach DSGVO haben wir uns eher mit den grundlegenden Anforderungen, der Form und dem Sinn und Zweck des Verzeichnisses beschäftigt. Ab diesem vierten Teil soll es um den Inhalt des Verarbeitungsverzeichnisses gehen.

Verarbeitungsverzeichnis – Der Inhalt

Verantwortliche, Artikel 30 Abs. 1

Das Verzeichnis muss sämtliche Angaben enthalten (vgl. Artikel 30 Absatz 1 Satz 2 lit a bis g DSGVO). Diese müssen aussagekräftig sein, was auch von der Unternehmensgröße abhängt.

Ich empfehle von Anfang an ein erweitertes Verzeichnis zu erstellen. Sie sollten also mehr in dem Verzeichnis erfassen, als die DSGVO verlangt. Denn je mehr Infos Sie bei den einzelnen Datenverarbeitungen ergänzen, desto besser später die Übersicht. Und auch die Möglichkeiten der Prüfung und Verwaltung aller im Unternehmen stattfindender Datenverarbeitungsvorgänge.

Sinnvoll und empfehlenswert bei einem „erweiterten Verzeichnis“ sind mindestens noch folgende Angaben:

  • Die Beschreibung der konkreten Verarbeitungstätigkeiten (erheben, speichern, abfragen, offenlegen etc.);
  • Die Nennung der herangezogenen Rechtsgrundlagen (z.B. Art. 6 DSGVO, Arbeitsvertrag, Betriebsvereinbarung, eine wirksame Einwilligung, spezielle gesetzliche Regelung etc.);
  • Soweit die Rechtsgrundlage des berechtigten Interesses genannt wird, bestenfalls auch Stichworte zur vorgenommenen Abwägung oder aber ein Verweis auf die ausführliche Abwägung, die dazu vorgenommen wurde.

Namen und Kontaktdaten – Art. 30 Absatz 1 Satz 2 Buchstabe a)

Es sind zu nennen: Die Namen und Kontaktdaten

Anzugeben sind dabei auch die postalische, elektronische und telefonische Erreichbarkeit. Denn es ist zu gewährleisten, dass die Aufsichtsbehörde den Verantwortlichen auf einfachem Wege erreichen kann. In Eilfällen auch über verschiedene Kanäle.

Bei Behörden und juristischen Personen sind nicht zwingend die Daten zu Leitungspersonen gefordert. Die Angabe des verantwortlichen Ansprechpartners ist aber sinnvoll und empfehlenswert. Die Hauptniederlassung ist anzugeben (Artikel 4 Nr. 16 Buchstabe a) DSGVO).

Hinsichtlich des Begriffs „Vertreter“ ist die Begriffsbestimmung des Artikel 4 Nr. 17 DSGVO zu beachten. Danach ist „Vertreter“ nicht nur der inländische Vertreter, sondern darüber hinaus eine in der EU niedergelassene, natürliche oder juristische Person.

Mehr zum Zweck der Verarbeitung und eine kleine Vorschau auf Teil 5 der Reihe finden Sie in meinem Beitrag auf unserem Portal rund um den Datenschutz und die DSGVO.

Timo Schutt
Datenschutz-Berater
Fachanwalt für IT-Recht

 

Urheberangabe für das Foto für diesen Beitrag:

  • Move down directory icons in rounded color menu buttons: Botond-Peter - 123RF.com