Das Wichtigste in Kürze
- Das Verarbeitungsverzeichnis ist eine zentrale Pflicht nach Art. 30 DSGVO für die meisten Unternehmen.
- Es dient als interne Dokumentation aller Datenverarbeitungsvorgänge und unterscheidet sich von der Datenschutzerklärung.
- Ein fehlendes Verzeichnis kann bei Datenschutzvorfällen einen negativen Eindruck hinterlassen und zu Bußgeldern führen.
- Es hilft Unternehmen, sich ihrer Verarbeitungsvorgänge bewusst zu werden und weitere DSGVO-Pflichten nachzuweisen.
- Die digitale Führung des Verzeichnisses ist zulässig und vereinfacht die Handhabung.
Das Verarbeitungsverzeichnis: Eine zentrale Pflicht unter der DSGVO
Vielen ist seit letztem Mai das Bewusstsein dafür geschärft worden, dass eine Datenschutzerklärung auf einer Webseite, in einer App und in zahlreichen anderen Situationen unerlässlich ist. Dennoch wissen die wenigsten, dass fast jeder auch ein Verarbeitungsverzeichnis benötigt.
- welche Kundendaten gespeichert werden
- wo und wie diese Daten aufbewahrt werden
- wie lange sie gespeichert bleiben
- wer Zugriff darauf hat
Die Pflicht zur Führung eines Verarbeitungsverzeichnisses ist in Art. 30 DSGVO klar geregelt. Jeder Verantwortliche und gegebenenfalls sein Vertreter muss ein solches Verzeichnis aller Verarbeitungstätigkeiten führen, die seiner Zuständigkeit unterliegen. Diese Pflicht betrifft heute mehr Unternehmen und Verantwortliche, als man zunächst annehmen könnte.
Die […] genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn […] die Verarbeitung erfolgt nicht nur gelegentlich […].
Wann ist ein Verarbeitungsverzeichnis Pflicht? Die Auslegung von "gelegentlich"
Die DSGVO verwendet den Begriff „gelegentlich“ nicht präzise, was oft zu Unsicherheiten führt. Trotz fehlender klarer Definition dürfte diese Ausnahmeregelung jedoch die meisten Unternehmen nicht entlasten.
Sobald Sie Kundendaten verarbeiten, beispielsweise durch eingeloggte Nutzer, den Verkauf von Produkten oder Dienstleistungen oder das Anbieten virtueller Gegenstände, ist eine "gelegentliche" Verarbeitung unwahrscheinlich. In der Praxis bedeutet dies, dass fast alle operativ tätigen Unternehmen ein Verarbeitungsverzeichnis führen müssen.
Rechtliche Konsequenzen bei fehlendem Verzeichnis
Die Datenschutzbehörden sind sehr aktiv und prüfen die Existenz solcher Verzeichnisse genau. Besonders bei einem Datenschutzvorfall wird dies eine der ersten Fragen sein. Ein fehlendes Verzeichnis hinterlässt einen katastrophalen Eindruck und signalisiert mangelnde Auseinandersetzung mit dem Thema Datenschutz im Unternehmen.
Das Verarbeitungsverzeichnis unterscheidet sich grundlegend von einer Datenschutzerklärung. Es wird nicht öffentlich zugänglich gemacht, sondern dient als interne Dokumentation. Es stellt eine umfassende Übersicht aller datenschutzrelevanten Vorgänge dar.
- Die Übergabe von Daten an externe Dienstleister wie Steuerberater oder Inkassounternehmen
- Der Umgang mit Payment-Anbietern
- Die Verarbeitung von Mitarbeiterdaten (Gehälter, Sozialversicherungsdaten)
- Daten in CRM-Systemen, aus Pitches, Angeboten oder Bewerbungen
- Alle weiteren Aspekte, die persönliche Daten betreffen
- Die Übergabe von Daten an externe Dienstleister wie Steuerberater oder Inkassounternehmen.
- Der Umgang mit Payment-Anbietern.
- Die Verarbeitung von Mitarbeiterdaten (Gehälter, Sozialversicherungsdaten).
- Daten in CRM-Systemen, aus Pitches, Angeboten oder Bewerbungen.
- Alle weiteren Aspekte, die persönliche Daten betreffen.
Umfang und Inhalt des Verarbeitungsverzeichnisses
- Die Zwecke der Verarbeitung
- Eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
- Die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt wurden oder noch offengelegt werden (insbesondere bei Übertragungen in Drittländer)
- Die Rechtsgrundlagen für die Speicherung der Daten
- Die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
- Eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO
- Die Zwecke der Verarbeitung.
- Eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten.
- Die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt wurden oder noch offengelegt werden. Hierbei ist insbesondere auf Übertragungen in Drittländer zu achten.
- Die Rechtsgrundlagen für die Speicherung der Daten.
- Die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien.
- Eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO.
Die Sicherheit der Daten ist ein oft unterschätzter Punkt, der für Datenschutzbehörden jedoch von großer Bedeutung ist.
Vorteile eines gut geführten Verzeichnisses
Auch wenn kaum ein Verarbeitungsverzeichnis perfekt ist, würdigen Datenschutzbeauftragte die Bemühung, ein solches geführt zu haben, bei der Ermittlung möglicher Bußgelder. Ein gut geführtes Verzeichnis hilft zudem, sich der eigenen Verarbeitungsvorgänge bewusst zu werden und zahlreiche Pflichten zu erfüllen. Dazu gehören:
- Die Pflicht zur Darlegung der Verarbeitungszwecke nach Art. 5 Abs. 1 lit. b) DSGVO.
- Der Nachweis der Rechtmäßigkeit der Verarbeitung gemäß Art. 5 Abs. 1 lit. a) DSGVO.
- Der Nachweis der Datenminimierung nach Art. 5 Abs. 1 lit. c) DSGVO.
- Der Nachweis der Richtigkeit und Aktualität der Daten nach Art. 5 Abs. 1 lit. d) DSGVO.
Die Erstellung eines Verarbeitungsverzeichnisses unterstützt somit die Einhaltung zahlreicher weiterer datenschutzrechtlicher Pflichten und trägt maßgeblich zur Nachweisbarkeit der Compliance bei.
Digitale Führung des Verarbeitungsverzeichnisses
Das Verarbeitungsverzeichnis muss nicht zwingend in Papierform geführt werden. Es kann selbstverständlich auch elektronisch erstellt und gepflegt werden, was die Handhabung erheblich vereinfacht und den administrativen Aufwand reduziert.
Fazit zum Verarbeitungsverzeichnis
Das Verarbeitungsverzeichnis ist ein zentrales Element des Datenschutzes und für die meisten Unternehmen eine unverzichtbare Pflicht. Es dient nicht nur der Einhaltung der DSGVO, sondern auch der internen Transparenz und Risikominimierung. Eine sorgfältige Führung wird von den Datenschutzbehörden honoriert und ist ein starkes Signal für einen verantwortungsvollen Umgang mit personenbezogenen Daten.
Haben Sie noch Fragen? Kontaktieren Sie mich gerne.