Das Verarbeitungsverzeichnis

Als Verantwortlicher müssen Sie sicherstellen, dass es ein Verzeichnis aller Verarbeitungstätigkeiten gibt. In diesem Verarbeitungsverzeichnis werden die Prozesse dokumentiert, bei denen personenbezogene Daten verarbeitet werden. 

Diese Pflicht gilt laut DSGVO nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeitende beschäftigen, es sei denn: 

• Die Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen
• Es werden besonderer Datenkategorien verarbeitet.
  
• Die Verarbeitung erfolgt nur gelegentlich. 

Gerade der letzte Punkt führt in fast allen Fällen dazu, dass die Verpflichtung zum Führen eines Verarbeitungsverzeichnisses besteht. Denn wann erfolgt eine Verarbeitung von personenbezogenen Daten schon gelegentlich? Sobald Sie Mitarbeiter beschäftigten, kann schwer mit einer nur gelegentlichen Verarbeitung argumentiert werden. Und spätestens wenn Sie regelmäßige Fortbildungen oder Schulungsmaßnahmen anbieten, verarbeiten Sie auch regelmäßig Teilnehmerdaten. 

Prüfen Sie hier in jedem Fall auch die nationale Rechtsprechung. Das deutsche Bundesdatenschutzgesetz kennt die Ausnahmen für das Führen eines Verzeichnisses von Verarbeitungstätigkeiten zum Beispiel überhaupt nicht. In Deutschland muss ein solches Verzeichnis deswegen immer geführt werden.

Auch wenn es in Ihrem Land keine Verpflichtung für das Führen eines Verarbeitungsverzeichnis gibt, macht es Sinn, ein solches zu erstellen. Das Verzeichnis hilft dabei, die datenschutzrelevanten Prozesse in der Organisation sichtbar zu machen und zu bewerten. So können risikobehaftete Prozesse identifiziert und Schutzmaßnahmen ergriffen werden.

Beispiel einer Vorlage für ein Verarbeitungsverzeichnis in einer Tabellenkalkulation (Screenshot)

Wie sieht ein Verarbeitungsverzeichnis aus? 

Für ein Verarbeitungsverzeichnis gibt es keine verbindliche Vorlage. Es ist lediglich definiert, welche Informationen enthalten sein müssen. Im ersten Schritt werden alle Prozesse gesammelt, bei denen personenbezogene Daten verarbeitet werden. Das sind zum einen alle Abläufe rund um die Verwaltung der Mitarbeitenden und zum anderen alle weiteren Personen, deren Daten verarbeitet werden, wie zum Beispiel Kunden, Interessenten oder Teilnehmende. 

Beispiele für solche Prozesse sind: 

• Verwaltung der Personalakte
• Lohnabrechnung
• Bewerbungsprozesse
• E-Mail-Kommunikation im Unternehmen
• Betrieb der Webseite
• Verwaltung der Kundendatenbank
• Anmeldeprozess für ein Online-Webinar

Zu jeder Verarbeitungstätigkeit dokumentieren Sie folgende Informationen: 

• Name und Kontaktdaten der Person, die für den Prozess verantwortlich ist
  
• Zweck der Verarbeitung
  
• Beschreibung der Kategorien betroffener Personen und der Kategorie der personenbezogenen Daten
  
• Kategorie der internen und externen Empfänger (soweit vorhanden)
• Information zur Übermittlung der Daten in ein Drittland (soweit vorhanden)
• Information zu den vorgesehenen Fristen zur Löschung der Daten
  
• Hinweise zu den technischen und organisatorischen Maßnahmen, die die Sicherheit der Verarbeitung gewährleisten
  
• In der Praxis hat es sich zudem durchgesetzt, auch die Rechtsgrundlage der Verarbeitung mit in das Verzeichnis  aufzunehmen.

Vorlagen für das Verarbeitungsverzeichnis finden Sie entweder im Internet, mittlerweile gibt es auch einige Onlinetools, mit denen man das Verzeichnis digital verwalten kann. 

Vorlagen

Führt ein Unternehmen kein Verarbeitungsverzeichnis oder kann es das Verzeichnis bei Anfragen der Aufsichtsbehörde nicht vollständig zur Verfügung stellen, droht nach Art. 83 Abs. 4 a DSGVO ein Bußgeld. Der mögliche Rahmen beläuft sich hier auf bis zu 10 Mio. Euro oder 2% des Jahresumsatzes – je nach Schwere des Verstoßes.