Schon ein Verarbeitungsverzeichnis angelegt?

Pflicht seit Geltung der DSGVO

Bei vielen ist in seit letztem Mai das Bewusstsein dafür geschärft worden, dass man auf einer Webseite, einer App und in zahlreichen anderen Situationen eine Datenschutzerklärung benötigt. Dass jedoch fast jeder auch ein Verarbeitungsverzeichnis braucht, weiß gefühlt keiner.

Aber genau so ist es: Im Verarbeitungsverzeichnis müssen alle Verarbeitungsvorgänge aufgelistet werden, also wo und wie Kundendaten gespeichert werden, welche Kundendaten gespeichert werden, wie lange diese gespeichert werden, wer Zugriff auf diese Daten hat und vieles weiteres.  Eine gute Übersicht zum Verarbeitungsverzeichnis findet man hier.

Das Verarbeitungsverzeichnis wird in Art. 30 DSGVO geregelt:

Jeder Verantwortliche und gegebenenfalls sein Vertreter müssen ein Verzeichnis aller Verarbeitungstätigkeiten führen, die ihrer Zuständigkeit unterliegen. Leider betrifft das inzwischen mehr Unternehmen/Verantwortliche als man zuerst denkt.

Die  […] genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn […] die Verarbeitung erfolgt nicht nur gelegentlich […].

Was ist gelegentlich?

Auch wenn das „gelegentlich“ nicht definiert ist, dürfte dies mit Sicherheit jeden betreffen, der Kundendaten verarbeitet, weil man eingeloggte Nutzer hat, weil man Nutzern Produkte oder Dienstleistungen verkauft, virtuelle Gegenstände anbietet etc.

Da die Datenschutzbehörden bereits sehr aktiv sind, wird bei einer Prüfung mit großer Sicherheit darauf geachtet, ob ein derartiges Verzeichnis angelegt wurde. Erst recht gilt dies natürlich, wenn man einen Datenschutzvorfall zu verantworten hat. Der erste Eindruck dürfte katastrophal sein, wenn man kein Verzeichnis erstellt hat und somit klar ersichtlich darstellt, dass man sich über Datenschutz im Unternehmen/als Anbieter nur sehr bedingt Gedanken gemacht hat.

Ein Verarbeitungsverzeichnis klingt dabei zunächst ähnlich wie eine Datenschutzerklärung, ist aber nichts, was man auf die Homepage etc. öffentlich zur Verfügung stellt. Vielmehr ist es eine Darstellung, welche Datenschutz relevanten Vorgänge stattfinden und betrifft natürlich die eigene Webseite, den Webshop, aber auch die Übergabe von Daten zum Steuerberater, zum Inkasso, den Umgang mit Paymentanbietern und alle weiteren Aspekte. Ebenso sind aber auch eigene Mitarbeiter, Moderatoren etc. betroffen, deren Gehälter man und Sozialversicherungsdaten man beispielsweise speichert. Bei Agenturen etc. wären dies aber auch klassische Daten, die man in ein CRM-System speichert, Pitches, Angebote, Bewerbungen und alle weiteren Aspekte mit persönlichen Daten.

Inhalt des Verarbeitungsverzeichnisses

Was muss rein in das Verarbeitungsverzeichnis? Nun mindestens die Zwecke der Verarbeitung, eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten, die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden. Dabei ist natürlich besonders auf Übertragungen in Drittländer zu achten. Hinzukommen die Rechtsgrundlagen für die Speicherung, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien und wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO, denn die Sicherheit der Daten ist ein weiterer Punkt, der gerne ignoriert wird, der aber für Datenschutzbehörden sehr wichtig ist.

Perfekt werden die wenigsten Verarbeitungsverzeichnisse sein, aber allein die Mühe, eines geführt zu haben, dürften viele Datenschutzbeauftragte bei der möglichen Ermittlung von Bußgeldern honorieren. Es dient natürlich auch sich über die Vorgänge bewusst zu werden und daher kann man damit auch Pflichten wie die Pflicht zur Darlegung der Verarbeitungszwecke nach Art. 5 Abs. 1 lit. b) DSGVO, den Nachweis der Rechtmäßigkeit der Verarbeitung entsprecht Art. 5 Abs. 1 lit. a) DSGVO, den Nachweis der Datenminimierung aus Art. 5 Abs. 1 lit. c) DSGVO, den Nachweis der Richtigkeit und Aktualität der Daten nach Art. 5 Abs. 1 lit. d) DSGVO und zahlreiche weiteren Pflichten nachkommen.

Elektronisch geht natürlich :_)

Übrigens kann das Verarbeitungsverzeichnis natürlich auch in einem elektronischen Format geführt werden. Es muss also niemand Stift und Papier zücken.

Haben Sie noch Fragen? Kontaktieren Sie mich.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.