Verzeichnis von Verarbeitungstätigkeiten: Was ist das? Was gehört hinein?

Seit Einführung der DS-GVO ist jeder Verantwortliche¹ und jeder Auftragsverarbeiter verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen, Art. 30 Abs. 1 und 2 DS-GVO, soweit die Ausnahmeregelungen des Art. 30 Abs. 5 DS-GVO nicht vorliegen. Die dort genannten Ausnahmeregelungen treffen jedoch nur auf die wenigsten Unternehmen zu, sodass Sie in der Regel davon ausgehen können, dass Sie als Verantwortlicher oder Auftragsverarbeiter ein Verzeichnis erstellen und pflegen müssen. Wenn Sie sowohl als Verantwortlicher als auch als Auftragsverarbeiter agieren, müssen Sie sogar zwei voneinander unabhängige Verzeichnisse von Verarbeitungstätigkeiten führen.

In unserem Blogartikel erklären wir, was ein Verzeichnis von Verarbeitungstätigkeiten genau ist und was hineingehört. Außerdem stellen wir Ihnen zwei Muster zum Download am Ende des Blogartikels zur Verfügung.

In einem Verzeichnis von Verarbeitungstätigkeiten dokumentiert der Verantwortliche alle Tätigkeiten, die in Bezug auf den Datenschutz relevant sind und seiner Zuständigkeit unterliegen, Art. 30 Abs. 1 S. 1 DS-GVO. Sofern eine Tätigkeit als Auftragsverarbeitung durchgeführt wird, muss auch der Auftragsverarbeiter über diese Tätigkeit ein Verzeichnis von Verarbeitungstätigkeiten führen und nicht nur der Verantwortliche, Art. 30 Abs. 2 DS-GVO. Die Dokumentationspflicht des Auftragsverarbeiters fällt jedoch nicht so umfangreich aus wie die des Verantwortlichen.

Mit „Verarbeitungstätigkeiten“ sind alle Vorgänge gemeint, wodurch personenbezogene Daten automatisiert oder nicht automatisiert verarbeitet, also z. B. gespeichert, werden, Art. 4 Nr. 2 DS-GVO. Typische Verarbeitungstätigkeiten sind beispielsweise die Personalstammdatenverarbeitung, das Bewerbendenmanagement, die Zeiterfassung, die E-Mail-Kommunikation oder der Betrieb der Website. Um sich einen Überblick zu verschaffen, welche Verarbeitungstätigkeiten in dem eigenen Unternehmen stattfinden, bietet es sich an, schrittweise vorzugehen. So können z. B. zunächst alle Geschäftsprozesse aufgelistet werden, um dann zu analysieren, welche Verarbeitungstätigkeiten dort jeweils durchgeführt werden.

Die Verzeichnisse dienen dazu, dass der Verantwortliche und der Auftragsverarbeiter die Einhaltung der DS-GVO gegenüber den Aufsichtsbehörden nachweisen können. Denn diese können die Verzeichnisse auf Anfrage vom Verantwortlichen oder dem Auftragsverarbeiter anfordern, Art. 30 Abs. 4 DS-GVO. Darüber hinaus ist es aber auch für die interne Datenschutzorganisation hilfreich, um alle Verarbeitungstätigkeiten auf einen Blick zu haben und sie in regelmäßigen Abständen auf Aktualität zu überprüfen.

Die Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten zu führen, entfällt nur unter den in Art. 30 Abs. 5 DS-GVO genannten Voraussetzungen. Danach gilt die Pflicht nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn, dass die von den Unternehmen oder Einrichtungen vorgenommenen Verarbeitungen ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder die Verarbeitung von besonderen Datenkategorien nach Art. 9 Abs. 1 DS-GVO bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne von Art. 10 DS-GVO erfolgt. Aufgrund der Nennung von „weniger als 250 Mitarbeiter“ gehen zunächst viele kleine und mittelständische Unternehmen davon aus, dass sie kein Verzeichnis von Verarbeitungstätigkeiten führen müssen. Dies ist jedoch in der Regel ein Trugschluss; denn häufig wird es an der weiteren Voraussetzung fehlen, dass die Datenverarbeitung „nur gelegentlich“ erfolgt. In der Regel verarbeiten Unternehmen regelmäßig personenbezogene Daten.

Der Verantwortliche und der Auftragsverarbeiter müssen das Verzeichnis von Verarbeitungstätigkeiten schriftlich führen, es kann aber auch elektronisch geführt werden, Art. 30 Abs. 3 DS-GVO. Bei der elektronischen Führung muss darauf geachtet werden, dass das Verzeichnis exportierbar ist und den Aufsichtsbehörden jederzeit zur Verfügung gestellt werden kann.

Was alles in ein Verzeichnis von Verarbeitungstätigkeiten formal hineingehört, ist für den Verantwortlichen in Art. 30 Abs. 1 DS-GVO und für den Auftragsverarbeiter in Art. 30 Abs. 2 DS-GVO aufgelistet. Die in den Artikeln jeweils genannten Kategorien müssen für jede Verarbeitungstätigkeit ausgefüllt werden.

Das Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 Abs. 1 DS-GVO muss enthalten:

1. den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
2. die Zwecke der Verarbeitung;
3. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
4. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
5. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
6. wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
7. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Das Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 Abs. 2 DS-GVO muss enthalten:

1. den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten;
2. die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;
3. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
4. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Die Aufsichtsbehörden können bei einem Verstoß gegen die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten erhebliche Geldbußen gegen den Verantwortlichen und Auftragsverarbeiter verhängen. Je nachdem welcher Betrag höher ist, kann die Geldbuße von bis zu 10 Millionen Euro oder im Fall eines Unternehmens von bis zu 2 % des gesamten weltweiten erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen, Art. 83 Abs. 4 lit. a) DS-GVO.

Hinweis: Wir übernehmen jedoch keinerlei Haftung für etwaige Fehler in den zur Verfügung gestellten Mustern.

Muster Verzeichnis von Verarbeitungstätigkeiten als Verantwortlicher nach Art. 30 Abs. 1 DS-GVO.

DOWNLOAD

Muster Verzeichnis von Verarbeitungstätigkeiten als Auftragsverarbeiter nach Art. 30 Abs. 2 DS-GVO.

DOWNLOAD

¹Aus Gründen der Lesbarkeit wurde im Text die männliche Form gewählt, nichtsdestoweniger beziehen sich die Angaben auf Angehörige aller Geschlechter.