Verarbeitungsverzeichnis – Ein How-To

Artikel 30 der Datenschutz-Grundverordnung fordert von Verantwortlichen und Auftragsverarbeitern, dass diese ein Verarbeitungsverzeichnis erstellen. Dieses ist obligatorisch und die einzige Ausnahme ist für Unternehmen oder Einrichtungen, welche weniger als 250 Mitarbeiter beschäftigen, wobei dies nur gilt, wenn keine Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, Verarbeitungen nur gelegentlich (nahezu jedes Unternehmen verarbeitet regelmäßig aus Sicht der DSGVO) oder keine Verarbeitungen von Daten nach Art. 9 Abs. 1 DSGVO oder Art. 10 DSGVO durchgeführt werden. Es ist damit festzustellen, dass die meisten Unternehmen Verarbeitungsverzeichnis-pflichtig sind und somit ein Verzeichnis erstellen müssen. In diesem How-To betrachten wir den Prozess der Erstellung und welche Inhalte vorgeschrieben sind.

Schritt 1: Der Anfang

Zu Beginn ist eine Bestandsaufnahme aller Prozesse und Verarbeitungen von personenbezogenen Daten aufzustellen. Dies geht von “E-Mail” bis hin zu “Verarbeitung von Krankmeldungen” und sollte in einer Liste dokumentiert werden. Es empfiehlt sich, die Datenerhebung aus mehreren Quellen durchzuführen und diese miteinander abzugleichen. Es bieten sich dabei Managementsysteme, bestehende Dokumentationen und Befragungen der Abteilungen an. Die erhobenen Verarbeitungen sind anschließend einem Verantwortlichen zuzuordnen, wobei es sich bewährt hat, dass es sich dabei um den Prozessverantwortlichen oder den Abteilungsleiter handelt. Aufgrund des direkten Bezuges sollte der Verarbeitungsverantwortliche für einen bestimmten Verarbeitungsschritt nicht der Verantwortliche im Sinne der DSGVO oder der Datenschutzbeauftragte sein. Wichtig ist, dass es sich dabei nur um eine interne Bezeichnung handelt. Nach Extern bleibt weiterhin der Verantwortliche für alle Verarbeitungen in der Verantwortung.

Schritt 2: Die Erstellung des Verarbeitungsverzeichnisses

Die DSGVO gibt in Artikel 30 direkte Vorgaben, welche Informationen in den einzelnen Verarbeitungseinträgen aufzunehmen sind. Diese umfassen:

  • Name und Kontaktdaten des Verantwortlichen und ggf. des gemeinsamen Verantwortlichen, des Vertreters des Verantwortlichen und eines ggf. vorhandenen Datenschutzbeauftragten
  • Zwecke der Verarbeitung
  • Beschreibung der Kategorien der betroffenen Personen (z. B. Mitarbeiter) und der Kategorien personenbezogener Daten (z. B. Adressdaten)
  • Kategorien von Empfängern, welche die personenbezogene Daten offengelegt bekommen haben oder werden, inkl. Empfänger in Drittländern oder internationale Organisationen
  • Ggf. Übermittlung von personenbezogenen Daten an ein Drittland oder internationale Organisationen, inkl. Angabe des betreffenden Drittlands oder der betreffenden Organisation. Bei Datenübermittlungen nach Artikel 49 Absatz 1 Unterabsatz 2 DSGVO die Dokumentation geeigneter Garantien.
  • Falls möglich: Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien
  • Falls möglich: Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach Artikel 32 Absatz 1 DSGVO.

Bei Auftragsverarbeitern gilt zusätzlich die Pflicht, ein Verzeichnis zu führen für alle Verarbeitungen, welche im Auftrag erfolgen. Dieses muss enthalten:

  • Namen und Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist. Ebenso ggf. des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und etwaigen Datenschutzbeauftragten.
  • Kategorien von Verarbeitungen, welche im Auftrag ausgeführt werden
  • Ggf. Übermittlung von personenbezogenen Daten an ein Drittland oder internationale Organisationen, inkl. Angabe des betreffenden Drittlands oder der betreffenden Organisation. Bei Datenübermittlungen nach Artikel 49 Absatz 1 Unterabsatz 2 DSGVO die Dokumentation geeigneter Garantien.
  • Falls möglich: Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach Artikel 32 Absatz 1 DSGVO.

Das Verzeichnis ist schriftlich (auch elektronisch möglich) zu führen und den Aufsichtsbehörden auf Anfrage zur Verfügung zu stellen.

Es empfiehlt sich zur Entlastung des Datenschutzbeauftragen und des Verantwortlichen, den Verarbeitungsverantwortlichen Einträge zur Vervollständigung zu schicken. Die datenschutzrechtliche Prüfung erfolgt durch den Datenschutzbeauftragten. Um den Prozess zu erleichtern, sollte eine einheitliche Vorlage erstellt werden und ausschließlich diese verwendet werden. Liegt ein digitales DSMS in Form einer Softwarelösung vor, so empfiehlt sich ein beschränkter Schreibzugriff.

Bevor dieser Prozess gestartet wird, ist eine Sensibilisierung und Schulung der Mitarbeiter in diesem Projekt unabdingbar, damit der Qualitätsstandard gewahrt werden kann.

Schritt 3: Die Pflege des Verzeichnisses

Die regelmäßige Überprüfung und Aktualisierung des Verarbeitungsverzeichnisses ist essenziell. Dies erfordert klar definierte und kommunizierte Prozesse, wie dies durchzuführen ist. In der Praxis hat sich als sinnvoll erwiesen, das Verarbeitungsverzeichnis mind. einmal jährlich regulär mit den jeweils Verantwortlichen zu prüfen und zeitgleich Prozesse einzuführen, wie mit neuen oder abgekündigten Verarbeitungen zu verfahren ist.

Eine Möglichkeit der Prüfung wäre, wenn die Verarbeitungseinträge nach Verarbeitungsverantwortlichen sortiert sind, dass diese “ihr” Verzeichnis zur Kontrolle bekommen und einen Prüfbericht zurückliefern. Dieser ist in das DSMS aufzunehmen. Weiterhin ist zu empfehlen, dass mind. alle zwei Jahre ein Audit durchgeführt wird, welcher das Datenschutzmanagementsystem prüft.

Fazit zum Verarbeitungsverzeichnis

Wie zu sehen ist, handelt es sich beim Verarbeitungsverzeichnis um kein hochkomplexes Element des Datenschutzes. Dennoch erfordert dieses eine strukturierte und organisierte Herangehensweise seitens des Verantwortlichen. Gerne unterstützen wir Sie bei der Erstellung eines Verarbeitungsverzeichnisses. Weitere Informationen erhalten Sie hier: Datenschutz Beratung

 

Disclaimer: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Beiträge übernehmen wir keine Gewähr. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

Beitrag teilen:

Können wir Ihnen helfen?

Können wir Ihnen helfen?

Nico Ziegler
Nach oben scrollen