Verarbeitungsverzeichnis nach DSGVO – Pflicht für jedes Unternehmen!

Gemäß § 70 BDSG Neu bzw. Art. 30 EU-DSGVO sind Sie als Unternehmer dazu verpflichtet, ein Verarbeitungsverzeichnis zu führen. In diesem Dokument müssen Sie sehr genau beschreiben, wie Sie mit personenbezogenen Daten umgehen, wie Sie diese Daten schützen, an wen sie weitergegeben werden etc.

Kommt es zu Beschwerden von Betroffenen, wird die Aufsichtsbehörde als aller Erstes nach diesem Verzeichnis fragen. Ein gutes Verarbeitungsverzeichnis ist daher nicht nur eine rechtliche Pflicht, sondern auch das datenschutzrechtliche Aushängeschild eines jeden Unternehmens!

Aber was muss in so einem Verzeichnis von Verarbeitungstätigkeiten dokumentiert werden? Und welche Möglichkeiten zur Erstellung hat man?

Was ist ein Verarbeitungsverzeichnis?

Die DSGVO schreibt vor, dass jeder Verantwortliche, der personenbezogene Daten verarbeitet, seine Verarbeitungsvorgänge in einem ausführlichen “Verzeichnis der Verarbeitungstätigkeiten” dokumentieren muss.

Diese personenbezogenen Daten sind zum Beispiel:

  • Bestelldaten von Kunden
  • Name und Anschrift der Kunden
  • die E-Mail-Adresse in einem Newsletter
  • die IP-Adresse
  • u.s.w.

Vor Einführung der DSGVO im Jahr 2018 war es nur für größere Unternehmen Pflicht, ein sogenanntes Verfahrensverzeichnis zu führen. Mit der DSGVO heißt dieses “Verfahrensverzeichnis” jetzt aber “Verarbeitungsverzeichnis”. Dieses Verzeichnis von Verarbeitungstätigkeiten muss nun von jedem Unternehmen geführt werden.

Beachten Sie auf alle Fälle auch, dass ein Verarbeitungsverzeichnis aktuell zu halten ist. Ein Ausdruck, der älter als 3 Monate ist, nutzt im Ernstfall gar nichts, da eine Verpflichtung zur laufenden Weiterentwicklung des Datenschutzes in der DSGVO enthalten ist.

Was wird in einem Verarbeitungsverzeichnis dokumentiert?

Jedes Unternehmen muss ein Verzeichnis der Verarbeitungstätigkeiten führen. Neben dem Namen und den Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten sind dort je Verarbeitung folgende Angaben erforderlich:

  • Welche Daten (personenbezogen) für welchen Zweck verarbeitet werden
  • Wie diese Daten geschützt werden
  • Wann diese Daten gelöscht werden
  • Welche Rechtsgrundlage für die Verarbeitung vorliegt
  • Der Name und die Kontaktdaten des Verantwortlichen (gegebenenfalls auch des Datenschutzbeauftragten)
  • Die Beschreibung der Betroffenenkategorien
  • Die Beschreibung der Datenkategorien
  • Die Empfängerkategorien
  • Wenn möglich die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
  • Wenn möglich eine allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen

Die Führung des Verzeichnisses von Verarbeitungen hat schriftlich zu erfolgen.

Wie kann man bei der Erstellung des Verarbeitungsverzeichnisses vorgehen?

Der Unternehmer bzw. der Datenschutzverantwortliche sollte jeweils eine Liste von

  • seinen Verarbeitungstätigkeiten (Personalverwaltung, Buchhaltung, Marketing etc.),
  • den betroffenen Personengruppen (Kunden, Mitarbeiter, Agenturen, Interessenten, Kooperationspartner etc.) sowie
  • den durch ihn verarbeiteten Datenkategorien (Namen, Adresse, Geburtsdatum, Bankdaten etc.) erstellen.

Im Anschluss müssen diese Listen zusammengeführt werden. Konkret bedeutet das, dass man die verarbeiteten Daten den jeweiligen Verarbeitungstätigkeiten sowie jeder Verarbeitungstätigkeit den zutreffenden Rechtfertigungsgrund (z.B: Vertragserfüllung oder Einwilligung) zuordnet. Darüber hinaus sollten die jeweiligen Löschfristen dokumentiert werden.

Klingt das für Sie kompliziert und aufwendig? Dann holen Sie sich am Besten das DSGVO Schutzteam! Denn hier ist die Erstellung des gesamten Verarbeitungsverzeichnisses bereits inkludiert!

Was passiert, wenn ich kein aktuelles Verzeichnis der Verarbeitungstätigkeiten führe?

Führen Sie kein aktuelles Verarbeitungsverzeichnis, drohen Strafen von bis zu 20 Mio. Euro bzw. 4 % des letztjährigen Umsatzes. Nach Auskunft der Aufsichtsbehörden liegen die durchschnittlichen Bußgelder bei 10.000 bis 15.000 Euro.

Darauf sollten Sie bei der Auswahl eines externen Anbieters achten:

Bei vielen externen Datenschutzbeauftragten wird die Anzahl der dokumentierten Verarbeitungen beschränkt. Üblich sind Beschränkungen auf 5 – 10 Verarbeitungen, was aus unserer Sicht völlig unzureichend ist.

Da die Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten nicht zur gesetzlich vorgeschriebenen Leistung eines Datenschutzbeauftragten gehört, werden oft Muster und leere Formulare übermittelt und der Kunde muss dann selbst die Dokumentationsaufgabe übernehmen. Der externe Datenschutzbeauftragte prüft anschließend lediglich die korrekte Erstellung.

Unsere Empfehlung: Finger weg von externen Datenschutzbeauftragten, die Ihnen zu Beginn Aktenordner übermitteln!

Das Verarbeitungsverzeichnis ist die Grundlage bei der Beantwortung von Anträgen von betroffenen Personen oder bei einem Data Breach. Es muss daher elektronisch auswertbar sein. In Word, Excel oder PDF geführte Dokumentationen sind dafür nicht geeignet!

Zu beachten sind auch die Regelungen bei Beendigung des Vertragsverhältnisses. Lassen Sie sich auf alle Fälle die Übergabe erstellter Verarbeitungsverzeichnisse im elektronischen Format (PDF) bestätigen. Sonst wird es teuer, weil der nächste Datenschutzbeauftragte von vorne beginnen muss!

Unser Tipp!

Im DSGVO Schutzteam ist die vollständige Erstellung und laufende Aktualisierung des Verarbeitungsverzeichnisses bereits inkludiert!

  • Ihre digitale Datenschutzassistentin führt Sie mit intuitiven & einfachen Online-Fragebögen Schritt für Schritt durch das Datenschutzaudit. Auf Basis dessen erstellt Sie Ihnen vollautomatisiert Ihre gesetzlich verpflichtende DSGVO Dokumentation inkl. Verarbeitungsverzeichnis. Dabei berücksichtigt sie über 500 verschiedene DSGVO-relevante Punkte und generiert Ihnen passend zu Ihren Angaben auch die Datenschutz­erklärung für Ihre Website.
  • Ein zertifizierter Datenschutzberater geht mit Ihnen anschließend alle Angaben des Datenschutzaudits persönlich durch und überprüft bzw. optimiert für Sie Ihr Verarbeitungsverzeichnis.
  • In der Regel umfasst diese Dokumentation 100 – 300 Seiten mit 40 bis 150 unterschiedlichen Verarbeitungen, je nach Größe und Leistungen des Unternehmens.
    Ihr DSGVO Schutzteam Vorteil: Die Anzahl der Verarbeitungen ist unbeschränkt!

Haben Sie Fragen? Oder möchten Sie sich näher über das DSGVO Schutzteam informieren?

Dann vereinbaren Sie noch heute Ihr kostenloses & unverbindliches Erstgespräch mit einem Datenschutzexperten. Wir beraten Sie gerne!

Ihr Walter Lukmann – Zertifizierter Datenschutzbeauftragter & Geschäftsführer

Datenschutzexperte Walter Lukmann

Das könnte Sie auch interessieren:

 

Menü