Verarbeitungsverzeichnis nach DSGVO – Pflicht für jedes Unternehmen!

Gemäß § 70 BDSG Neu bzw. Art. 30 EU-DSGVO sind Sie als Unternehmer dazu verpflichtet ein Verarbeitungsverzeichnis zu führen. In diesem Dokument müssen Sie sehr genau beschreiben, wie Sie mit personenbezogenen Daten umgehen, wie Sie diese Daten schützen, an wen sie weitergegeben werden und so weiter.

Und kommt es zu Beschwerden von Betroffenen, wird die Aufsichtsbehörde als aller Erstes gleich einmal nach diesem Verzeichnis fragen. Ein gutes Verarbeitungsverzeichnis ist daher nicht nur eine rechtliche Pflicht, sondern auch das datenschutzrechtliche Aushängeschild eines jeden Unternehmens!

Aber was muss in so einem Verzeichnis von Verarbeitungstätigkeiten dokumentiert werden? Und welche Möglichkeiten zur Erstellung hat man?

Was ist ein Verarbeitungsverzeichnis?

Die DSGVO schreibt vor, dass jeder Verantwortliche, der personenbezogene Daten verarbeitet, seine Verarbeitungsvorgänge in einem ausführlichen “Verzeichnis der Verarbeitungstätigkeiten” dokumentieren muss.

Diese personenbezogene Daten sind zum Beispiel:

  • Bestelldaten von Kunden
  • Namen und Anschrift des Kunden
  • die E-Mail-Adresse in einem Newsletter
  • die IP-Adresse
  • u.s.w.

Vor Einführung der DSGVO im Jahr 2018 war es nur für größere Unternehmen Pflicht, ein sogenanntes Verfahrensverzeichnis zu führen.  Mit der DSGVO heißt dieses “Verfahrensverzeichnis” jetzt aber “Verarbeitungsverzeichnis”. Dieses Verzeichnis von Verarbeitungstätigkeiten muss nun von jedem Unternehmen geführt werden.

Beachten Sie auch auf alle Fälle, dass ein Verarbeitungsverzeichnis aktuell zu halten ist. Ein Ausdruck der älter als 3 Monate ist, nutzt im Ernstfall gar nicht, da eine Verpflichtung zur laufenden Weiterentwicklung des Datenschutzes in der DSGVO enthalten ist.

Was wird in einem Verarbeitungsverzeichnis dokumentiert?

Jedes Unternehmen muss ein Verzeichnis der Verarbeitungstätigkeiten führen. Neben dem Verantwortlichen und dem Datenschutzbeauftragten sind dort je Verarbeitung folgende Angaben erforderlich:

  • Welche Daten (personenbezogen) Sie für welchen Zweck verarbeiten.
  • Wie Sie diese Daten schützen.
  • Wann Sie diese Daten löschen.
  • Welche Rechtsgrundlage Sie für die Verarbeitung haben.
  • Den Namen und die Kontaktdaten des Verantwortlichen (gegebenenfalls auch des Datenschutzbeauftragten)
  • Beschreibung der Betroffenenkategorien
  • Beschreibung der Datenkategorien
  • Empfängerkategorien
  • Wenn möglich die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
  • Wenn möglich eine allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen

Die Führung des Verzeichnisses von Verarbeitungen hat schriftlich zu erfolgen.

Datenschutzerklärung Homepage

Wie kann man bei Erstellung des Verarbeitungsverzeichnisses vorgehen?

Der Unternehmer bzw. der Datenschutzverantwortliche sollte jeweils eine Liste von

  • seinen Verarbeitungstätigkeiten (Personalverwaltung, Buchhaltung, Marketing etc.),
  • den betroffenen Personengruppen (Kunden, Mitarbeiter, Agenturen, Interessenten, Kooperationspartner etc.) sowie
  • den durch ihn verarbeiteten Datenkategorien (Namen, Adresse, Geburtsdatum, Bankdaten etc.) erstellen.

Im Anschluss daran müssen die Listen zusammengeführt werden. Konkret bedeutet das, dass man die verarbeiteten Daten den jeweiligen Verarbeitungstätigkeiten sowie jeder Verarbeitungstätigkeit den zutreffenden Rechtfertigungsgrund (z.B: Vertragserfüllung oder Einwilligung) zuordnet. Darüber hinaus sollten die jeweiligen Löschfristen dokumentiert werden.

Klingt das für Sie kompliziert und zu aufwendig? Dann holen Sie sich am Besten den DSGVO Schutzbrief! Denn hier ist Erstellung des gesamten Verarbeitungsverzeichnisses bereits inkludiert!

Unser Tipp!

Im DSGVO Schutzbrief ist die vollständige Erstellung und laufende Aktualisierung des Verarbeitungsverzeichnisses bereits inkludiert!

  • Ihre digitale Datenschutzassistentin führt Sie mit intuitiven & einfachen Online-Fragebögen Schritt für Schritt durch das Datenschutzaudit. Auf Basis dessen erstellt Sie Ihnen vollautomatisiert Ihre gesetzlich verpflichtende DSGVO Dokumentation inkl. Verarbeitungsverzeichnis. Dabei berücksichtigt sie +500 verschiedene DSGVO-relevante Punkte und generiert Ihnen passend zu Ihren Angaben auch die Datenschutz­erklärung für Ihre Website.
  • Ein zertifizierter Datenschutzberater geht mit Ihnen anschließend alle Angaben des Datenschutzaudits mit Ihnen durch und überprüft bzw. optimiert für Sie Ihr persönliches Verarbeitungsverzeichnis.
  • In der Regel umfasst diese Dokumentation 100 – 300 Seiten mit 40 bis 150 unterschiedlichen Verarbeitungen je nach Größe und Leistungen des Unternehmens.
    Ihr DSGVO Schutzbrief Vorteil: Die Anzahl der Verarbeitung sind unbeschränkt!
DSGVO Schutzbrief

Darauf sollten Sie bei der Auswahl eines externen Anbieters achten:

Bei vielen externen Datenschutzbeauftragten wird die Anzahl der dokumentierten Verarbeitungen beschränkt. Üblicherweise sind Beschränkungen auf 5 – 10 Verarbeitungen, was aus unserer Sicht völlig unzureichend ist.

Da die Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten nicht zur gesetzlich vorgeschriebenen Leistung eines Datenschutzbeauftragten gehört, werden oft Muster und leere Formulare übermittelt und der Kunde muss dann selbst die Dokumentationsaufgabe übernehmen. Der externe Datenschutzbeauftragte prüft anschließend lediglich die korrekt Erstellung.

Unsere Empfehlung: Finger weg von externen Datenschutzbeauftragten, die Ihnen zu Beginn Aktenordner übermitteln!

Das Verarbeitungsverzeichnis ist die Grundlage bei der Beantwortung von Anträgen von betroffenen Personen oder bei einem Data Breach. Es muss daher elektronisch auswertbar sein. Word, Excel oder PDF geführte Dokumentationen sind dafür nicht geeignet!

Zu beachten sind auch die Regelungen bei Beendigung des Vertragsverhältnisses. Lassen Sie sich auf alle Fälle die Übergabe erstellter Verarbeitungsverzeichnisse im elektronischen Format (PDF) bestätigen. Sonst wird es teuer, weil der nächste Datenschutzbeauftragte von vorne beginnen muss!

Was passiert, wenn ich kein aktuelles Verzeichnis der Verarbeitungstätigkeiten führe?

Führen Sie kein aktuelles Verarbeitungsverzeichnis drohen Strafen von bis zu 20 Mio. Euro bzw. 4 % des letztjährigen Umsatzes. Nach Auskunft der Aufsichtsbehörden liegen die durchschnittlichen Bußgelder bei 10.000 bis 15.000 Euro.

Haben Sie Fragen? Oder möchten Sie sich näher über den DSGVO Schutzbrief informieren?

Dann vereinbaren Sie noch heute Ihr kostenloses & unverbindliches Erstgespräch mit einem Datenschutzexperten. Wir beraten Sie gerne!

Ihr Walter Lukmann – Zertifizierter Datenschutzbeauftragter & Geschäftsführer

Der DSGVO Schutzbrief ist Ihr Rundum-Sorglos Paket
im Bereich Datenschutz

Wir erledigen die lästige DSGVO Pflicht für Sie!
Inkl. zertifizierten Datenschutzbeauftragten
Kostengünstigste Lösung am Markt
Hohe Absicherung gegen Strafen
Menü