Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO
Um die Einhaltung der Datenschutzgrundverordnung nachweisen zu können, muss jeder Verantwortliche, der personenbezogene Daten verarbeitet oder von anderen verarbeiten lässt, gemäß des Artikel 30 DSGVO ein Verzeichnis von Verarbeitungstätigkeiten führen.
In diesem Verarbeitungsverzeichnis werden alle Verarbeitungstätigkeiten dokumentiert, bei denen personenbezogene Daten verarbeitet werden.
Für die Aufsichtsbehörden ist dieses Verzeichnis im Falle einer Kontrolle von großer Bedeutung. Daher muss dieses so genau und detailliert wie möglich auf das eigene Unternehmen angefertigt werden, damit die Behörden allein mit diesem Dokument die komplette Datenverarbeitung im Unternehmen nachvollziehen können.
Wer muss ein Verzeichnis von Verarbeitungstätigkeiten erstellen?
Grundsätzlich trifft die Pflicht ein Verarbeitungsverzeichnis zu erstellen alle Verantwortlichen im Sinne des Datenschutzes. Hierzu zählen Unternehmen, Freiberufler, Schulen, Vereine und weitere Einrichtungen, die personenbezogene Daten verarbeiten oder verarbeiten lassen.
Ausgenommen von dieser Pflicht sind nach Art. 30 Abs. 5 DSGVO jedoch alle Unternehmen mit weniger als 250 Mitarbeitern. Mit dieser Ausnahmeregelung sollen klein- und mittelständige Unternehmen entlastet werden.
ACHTUNG! Allerdings greift diese Ausnahmeregelung nicht, wenn…
… das Unternehmen Verarbeitungen vornimmt, die ein Risiko für Rechte und Freiheit der Betroffenen birgt.
… die Datenverarbeitung nicht nur gelegentlich, sondern regelmäßig erfolgt.
… besondere Daten (Gesundheitsdaten) oder Daten über Straftaten verarbeitet werden.
Demnach ist nahezu jedes Unternehmen, unabhängig von der Größe und der Branche, dazu verpflichtet ein Verzeichnis von Verarbeitungstätigkeiten zu führen.
Was gehört in ein Verzeichnis von Verarbeitungstätigkeiten?
Die Anforderungen an den Inhalt eines Verzeichnisses von Verarbeitungstätigkeiten werden in Art. 30 Abs. 1 Satz 2 lit. a bis g DSGVO klar festgelegt.
a) Name und Kontaktdaten des Unternehmens und des Datenschutzbeauftragten, sofern ein Datenschutzbeauftragter bestellt wurde.
b) die Zwecke der Verarbeitung
c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
d) Kategorien von Empfänger, einschließlich Datenempfängern im Drittland
e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation
f) die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien (Speicherdauer)
g) Beschreibung der getroffenen technischen und organisatorischen Maßnahmen
Das Verzeichnis von Verarbeitungstätigkeiten kann sowohl in Papierform als auch elektronisch erstellt werden. Die Aufsichtsbehörden stellen ein blanko Muster in einer Word-Datei zur Verfügung. Dieses gestaltet sich sehr schwierig und ist zudem auch ziemlich unüberschaubar. Wir empfehlen hier die Gestaltung des Verzeichnisses in einer Excel-Tabelle.
Zudem muss das Verarbeitungsverzeichnis nach der Erstellung auch regelmäßig aktualisiert und überarbeitet werden, da sich Verarbeitungstätigkeiten und Prozesse im Unternehmen stetig ändern. Es ist empfehlenswert die Zuständigkeiten und Verantwortlichkeiten für das Verzeichnis festzulegen, so kann gewährleistet werden, dass neue Verarbeitungstätigkeiten zeitnah auf Datenschutzkonformität geprüft und im Verarbeitungsverzeichnis dokumentiert werden können.