Auftragsverarbeiter-Verzeichnis: Was gehört hinein?

Wenn Sie bereits erfahren haben, dass Sie Auftragsverarbeiter sind, wissen Sie wahrscheinlich auch schon, dass damit einige zusätzliche Verpflichtungen auf Sie zukommen. Neben einem Auftragsverarbeitungsvertrag, brauchen Sie nämlich auch ein Auftragsverarbeiter-Verzeichnis.

Sie wissen noch nicht, ob Sie Auftragsverarbeiter sind? Lesen Sie zuerst unseren Beitrag „Auftragsverarbeiter lt. DSGVO – gehören Sie dazu“?

Was ist ein Auftragsverarbeiter-Verzeichnis?

Als Auftragsverarbeiter müssen Sie (neben Ihrem eigenen Verarbeitungsverzeichnis) ein Verzeichnis zu allen Kategorien von Verarbeitungstätigkeiten, die Sie im Auftrag eines Anderen durchführen, erstellen. Das ist im Rahmen der Dokumentationspflicht der DSGVO geregelt. Dieses Verzeichnis gestaltet sich jedoch sehr viel weniger umfangreich als das allgemeine Verarbeitungsverzeichnis.

Wozu dient ein Auftragsverarbeiter-Verzeichnis?

Oftmals wird ein AV-Verzeichnis nur als lästige Pflicht angesehen. Es bringt jedoch auch einiges an Nutzen:

Es zeigt, dass der Verantwortliche seinen DSGVO Dokumentations- und Nachweispflichten nachkommt.
Es hilft dabei, die internen Datenschutzmaßnahmen zu strukturieren.
Es ist Prüfgegenstand bei einer Kontrolle durch die Aufsichtsbehörde.

Was müssen Auftragsverarbeiter in so einem Verzeichnis erfassen?

Die DSGVO stellt einige Anforderungen zum Inhalt eines AV-Verzeichnisses:

Name und Kontaktdaten des Auftragsverarbeiters (in diesem Fall Sie) und ggf. eines Vertreters

Name und Kontaktdaten jedes Verantwortlichen (und ggf. des Vertreters), in dessen Auftrag Sie tätig sind

Name und Kontaktdaten des Datenschutzbeauftragten (wenn vorhanden)

Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden

Übermittlung von personenbezogenen Daten an ein Drittland oder eine internationale Organisation inkl. Dokumentation geeigneter Garantien für den Datenschutz

(wenn möglich) eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOMs)

Bei der Beschreibung der TOMs ist zu beachten, dass der Zusatz „wenn möglich“ nicht bedeutet, dass Sie diesen Punkt als Auftragsverarbeiter einfach aus Ihrem Verzeichnis weglassen dürfen. Denn eine Aufsichtsbehörde wird hier nach einer genaueren Begründung für das Fehlen solcher Angaben fragen.

Deshalb raten wir, die implementierten TOMs so konkret wie möglich zu beschreiben bzw. mindestens so, dass die Behörde eine erste Rechtmäßigkeitsprüfung durchführen kann.

Sie haben keine Zeit für diese ganzen „zusätzlichen“ Pflichten als Auftragsverarbeiter?

Kein Problem, das DSGVO Schutzteam übernimmt das gerne für Sie. In unserem Auftragsverarbeiter Paket sind die Erstellung und laufende Aktualisierung des Auftragsverarbeiter-Verzeichnisses, die Erstellung Ihres Auftragsverarbeiter-Vertrages und sogar die Prüfung von AV-Verträgen Ihrer Lieferanten inkludiert!

Vereinbaren sie einfach ein kostenloses & unverbindliches Beratungsgespräch mit einem unserer Datenschutz-Experten und überzeugen Sie sich selbst vom DSGVO Schutzteam!

Sie haben Fragen?

Die Juristen und Datenschutzbeauftragten des DSGVO Schutzteams helfen Ihnen gerne!

Kostenfrei
Unverbindlich

DSGVO Schutzteam | Datenschutzbeauftragter Walter Lukmann

Hallo, mein Name ist Walter Lukmann und ich bin zertifizierter Datenschutzberater & Geschäftsführer der Lukmann Consulting GmbH. Wir beraten Sie gerne in Sachen Datenschutz!