- Datenschutz PRAXIS - https://www.datenschutz-praxis.de - DatenschutzPraxis

▷ Datenschutz­gerechtes Verzeichnis der Verarbeitungs­tätigkeiten: So geht’s nach DSGVO

Das frühere Verfahrensverzeichnis heißt nun Verzeichnis der Verarbeitungstätigkeiten. Was verlangt die Datenschutz-Grundverordnung (DSGVO) von einem Verzeichnis der Verarbeitungstätigkeiten? Welche Inhalte muss es haben, damit Verantwortliche ihren Dokumentationspflichten gerecht werden?

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten führen?

Artikel 30 der Datenschutz-Grundverordnung (DSGVO / GDPR) nennt die Anforderungen an ein Verzeichnis von Verarbeitungstätigkeiten, früher „Verfahrensverzeichnis“ genannt.

Der Name ist aber nicht die einzige Änderung im Vergleich zum Verfahrensverzeichnis, wie es aus dem früheren Bundesdatenschutzgesetz (BDSG-alt) bekannt ist.

Mit der Datenschutz-Grundverordnung [1] (DSGVO) entfällt die Pflicht, jedermann das (öffentliche) Verfahrensverzeichnis auf Antrag in geeigneter Weise verfügbar zu machen. Es gibt in der DSGVO kein öffentliches Verfahrensverzeichnis mehr.

Ein internes Verzeichnis von Verarbeitungstätigkeiten nach DSGVO müssen sowohl Verantwortliche für den Datenschutz als auch Auftragsverarbeiter führen.

Auftragsverarbeiter sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten.

Es gibt einige Ausnahmen von der Pflicht, das Verzeichnis zu führen (Art. 30 Abs. 5 DSGVO). Doch für die meisten Unternehmen greifen diese Ausnahmen nicht.

Das Verzeichnis ist in erster Linie dafür gedacht, es auf Anfrage der zuständigen Datenschutz-Aufsichtsbehörde vorzulegen.

Und Achtung: Es ist nicht der Datenschutzbeauftragte [2], der das Verzeichnis führen muss, sondern der Verantwortliche. Sonst besteht die Gefahr, dass sich der Datenschutzbeauftragte selbst kontrolliert.

Was muss im Verzeichnis von Verarbeitungstätigkeiten stehen?

Das gehört in die Verarbeitungsübersicht bei Verantwortlichen

Als Bestandteile für ein Verzeichnis von Verarbeitungstätigkeiten, das der Verantwortliche führt, nennt die DSGVO in Art. 30 Abs. 1:

Das gehört in die Verarbeitungsübersicht bei Auftragsverarbeitern

Auftragsverarbeiter [4] führen ebenfalls ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung.

Als Bestandteile dieses Verfahrensverzeichnisses nennt die DSGVO in Art. 30 Abs. 2 insbesondere:

Welche Bedeutung hat das Verzeichnis von Verarbeitungstätigkeiten?

Arbeitsunterstützung statt Mehrarbeit

Das Verzeichnis ist nicht nur eine gesetzliche Verpflichtung.Und es dient nicht nur dazu, es im Ernstfall einer Prüfung der Datenschutz-Aufsicht vorzulegen.

Ein Verzeichnis von Verarbeitungstätigkeiten ist auch ein wichtiges Werkzeug für interne Datenschutz-Kontrollen und die Information von Dritten, also von betroffenen Personen, Stichwort „Informationspflichten [6]„.

So gibt eine Verarbeitungsübersicht insbesondere darüber Auskunft,

Damit hilft das Verzeichnis der Verarbeitungstätigkeiten auch dabei, die Betroffenenrechte umzusetzen, etwa das Recht auf Auskunft.

Denn nur so bekommt ein Verantwortlicher wirklich einen Überblick, an welcher Stelle er welche Daten wie verarbeitet.

Welche Schritte führen zur Verarbeitungsübersicht?

Um ein wirklich brauchbares Verzeichnis der Verarbeitungstätigkeiten zu erstellen, sind folgende Schritte nötig:

Pflege des Verzeichnisses nicht vergessen!

Es darf nicht in Vergessenheit geraten, das Verzeichnis regelmäßig zu pflegen. Die verantwortliche Stelle muss aktiv bleiben, um das Verzeichnis aktuell zu halten.

Genauso wie Unternehmen die Prozesse im Qualitätsmanagement oder Sicherheitsmanagement regelmäßig überprüfen und aktualisieren müssen, ist dies auch mit den Verfahren im Datenschutz.

Was ist jetzt zu tun?

Prüfen Sie, wie die verantwortliche Stelle im Unternehmen das Verzeichnis von Verarbeitungstätigkeiten nach DSGVO umgesetzt hat.

Sie finden Unterstützung zum Beispiel bei dieser Checkliste: Bestandteile des Verfahrensverzeichnisses nach DSGVO [8]

Lesen Sie zum Verzeichnis der Verarbeitungstätigkeiten auch folgende Beiträge:

Anzeige

WEKA Manager Verarbeitungs­tätigkeiten [11] Ihr WEKA Manager Verarbeitungs­tätigkeiten [11]
erstellen Sie mit einer modernen Software eine lückenlose, rechtssichere Dokumentation über alle Datenverarbeitungen in Ihrem Unternehmen, die Sie jederzeit den Aufsichtsbehörden vorlegen können.

Jetzt testen! [11]


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz.