Das Verarbeitungsverzeichnis nach Art. 30 Abs. 1 DSGVO – Dokumentationspflichten, die jedes Unternehmen betreffen

Das Führen des Verarbeitungsverzeichnisses bzw. streng nach dem Gesetzeswortlaut Verzeichnis über Verarbeitungstätigkeiten ist für viele eine leidige Aufgabe.

Was ist im Verarbeitungsverzeichnis zu dokumentieren?

Darin sind Geschäftsprozesse zu dokumentieren, bei denen personenbezogene Daten verarbeitet werden. Pauschale Beschreibungen und ein reines „Copy paste“ reichen hier nicht aus. Warum? Jede Organisation tickt und organisiert ihre Prozesse anders. Das betrifft auch den Umfang und die Komplexität des Verzeichnisses: Dies kann von einigen Einträgen sein bis zu einem 100-erte Verfahren umfassende Dokumentation in Konzernen sein.

Wie wird das Verarbeitungsverzeichnis geführt?

Das Verzeichnis wird in größeren Unternehmen regelmäßig softwareunterstützt erstellt. In kleineren Unternehmen hingegen des Öfteren noch als Word-Dokument bzw. oft auch in Kombination mit Excel.

Hinweis: Bei nicht softwareunterstützten Verzeichnissen auf die Versionierung und Aktualisierung achten und hierzu idealerweise einen eigenen Abschnitt anlegen.

 

Wer muss ein Verarbeitungsverzeichnis führen: Jedes Unternehmen. Denn die Ausnahme ist die Regel.

 

Die Verpflichtung zum Führen des Verarbeitungsverzeichnisses gilt grundsätzlich nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen. Gerade zum Zeitpunkt des Inkrafttretens der DSGVO sorgte diese Regelungen für viel Unklarheit, weswegen sich auch das European Data Protection Board  damit näher beschäftigte.

Diese Grundregel von den 250 Mitarbeitern wird jedoch durch eine weitreichende Ausnahmeregelung in der DSGVO weitestgehend obsolet:

Auch Unternehmen mit weniger 250 Mitarbeitern müssen ein Verarbeitungsverzeichnis führen, wenn die Verarbeitung

  • ein hohes Risiko für die Betroffenen birgt,
  • nicht nur gelegentlich erfolgt oder
  • besonderer Kategorien personenbezogener Daten erfolgt.

Sensible Daten

Was bedeutet gelegentlich in diesem Zusammenhang:

  • fortlaufend oder in bestimmten Abständen während eines bestimmten Zeitraums vorkommend,
  • immer wieder oder wiederholt zu bestimmten Zeitpunkten auftretend,
  • ständig oder regelmäßig stattfindend.

Wer führt das Verarbeitungsverzeichnis im Unternehmen?

Die Verantwortung zum Führen des Verzeichnisses liegt formal-juristisch betrachtet bei der verantwortlichen Stelle, also dessen Geschäftsführenden oder sonstigen zur Vertretung befugten Person.

In der Praxis ergibt sich hier die Auffassung, dass der Datenschutzbeauftragte das Verzeichnis führt. Dieses Mysterium soll heute und hier aufgeklärt werden:

Auch in der Funktion als Datenschutzbeauftragter bzw. in der Datenschutzberatung bedarf es der internen Unterstützung beim Erstellen und Up-to-Date-Halten des Verarbeitungsverzeichnisses. Der Datenschutzbeauftragte bzw. Datenschutzberater übernimmt die Prüfung auf Vollständigkeit, spricht Empfehlungen zur Risikominimierung aus und veranlasst den Abschluss von erforderlichen Datenschutzverträgen (Vertrag zur Auftragsverarbeitung  oder gemeinsame Verantwortung ).

Pflichtangaben im Verarbeitungsverzeichnisses

Die verpflichtenden Inhalte definiert Art. 30 Abs. 2 DSGVO. Das Verarbeitungsverzeichnis muss folgenden Inhalt haben:

  • Namen und Kontaktdaten des Verantwortlichen und Datenschutzbeauftragten ,
  • Die definierten Verarbeitungszwecke,
  • Eine Beschreibung der Kategorien von betroffenen Personen
  • Eine Beschreibung der betroffenen Daten,
  • Kategorien von Empfängern von Datenübermittlungen,
  • Offenlegungen aller Datenübertragungen in Drittländer sowie die getroffenen Garantien dafür,
  • Soweit möglich die vorgesehenen Löschfristen für die Daten,
  • Beschreibung der allgemeinen technisch-organisatorischen Maßnahmen.

Verarbeitungsverzeichnis: Praktische Tipps zur Umsetzung

Fehlt in einem bestehenden Unternehmen die Dokumentation muss ermittelt werden, wann und wie personenbezogene Daten verarbeitet werden. Hiervon können Kunden, Lieferanten aber auch Beschäftigte betroffen sein.

SCALELINE arbeitet hier im ersten Schritt mit einer Übersicht, in der die Verarbeitungen nach Abteilungen bzw. Schwerpunkten sowie darin typischen Prozessen kategorisiert erfasst werden. Zur Eruierung weiterer Datenverarbeitungen, die bisher nicht erfasst bzw. als solche erkannt wurde, kann hier auch eine Hilfstabelle mit den eingesetzten Tools, Anwendungen oder Prozessen erstellt werden.

Verarbeitungsverzeichnis: Praktische Tipps zur Umsetzung der Rechtmäßigkeitsprüfung

Es empfiehlt sich auch, nicht nur bei kritischen Datenverarbeitungen, die Rechtmäßigkeitsprüfung zu dokumentieren. Verantwortliche Stellen unterliegen einer umfassenden Rechenschaftspflicht. Um dieser nachzukommen und Beanstandungen durch die Behörde zu vermeiden, sollte eine Dokumentation erfolgen. Auch lassen sich so Verbesserungsmaßnahmen ableiten und eine Erweiterung der technisch-organisatorischen Maßnahmen für bestimmte Datenverarbeitungen.

Bei Umstellungen oder Änderungen an den bereits definierten Prozessen sowie Änderungen der Zuständigkeiten im Unternehmen.

Weiters hat eine Aktualisierung zu erfolgen, wenn es geplant ist, eine neue Software einzusetzen, neue Prozesse zu etablieren oder neue Dienstleister einzubeziehen.

Bei der Planung neuer Prozesse, ist es auch empfehlenswert, dass von vorneweg der externe Datenschutzbeauftragte sowie Datenschutzkoordinator im Unternehmen miteinbezogen wird, um eine Vielzahl an Schleifen zu vermeiden und von vorneweg rechtssicherem Weg beschreiten zu können.

  1. Klarheit über die eigenen Prozesse,
  2. Schnittpunkte erkennen und dokumentieren,
  3. Dienstleister und Empfänger von Daten.

Dies ist gerade auch dann vorteilhaft, wenn eine Betroffenenanfrage einlagt oder eine Anfrage der Behörde beantwortet werden muss.

Welche Befugnisse hat die Aufsichtsbehörde hinsichtlich des Verarbeitungsverzeichnisses?

Die Behörde kann die Vorlage des Verzeichnisses verlangen. Zur Vermeidung von Panik bei diesen Anfragen ist es empfehlenswert, das Verzeichnis kontinuierlich zu führen und zu aktualisieren. Denn so kann dem Vorlageauftrag der Behörde binnen der gesetzten Frist nachgekommen werden. Die Frist beträgt erfahrungsgemäß zwischen zwei und vier Wochen.

  • Betreiben eines Social-Media-Accounts
  • Veröffentlichung von Fotos von Mitarbeitenden, Kund:innen und Geschäftspartner:innen
  • Betreiben einer Webpräsenz
  • Führen eines CRM bzw. Datenbank über Kunden
  • Datenverarbeitungen in eingesetzten Tools bzw. Softwares

Bußgeld bei unzureichendem oder fehlenden Verarbeitungsverzeichnis

Jüngst wurde ein französisches  Unternehmen eine Strafe von € 3.000 u.a. deswegen auferlegt, da es kein Verarbeitungsverzeichnis führte. Auch die Nachbar-Datenschutzbehörde in Italien ist sehr aktiv und verhängte Strafen in Höhe von € 400.000 , zweimal  € 30.000  gegen Unternehmen, die kein Verarbeitungsverzeichnis führten.

 

Weitere Blog Artikel

Sport ist …

Sport ist für viele Mord. Sie plagen sich ins Fitnessstudio und strampeln sich ab. Der Gedanke dabei, von einer Videokamera

Weiterlesen »
Scroll to Top